Выбрать дату в календареВыбрать дату в календаре

Предложения по дальнейшему развитию функций Universal Virus Sniffer
[B]Предложения по новым функциям в Universal Virus Sniffer[/B]

1. в настройки критерия (в базе snms) добавить команды deltsk, delwmi для автоматического исполнения
------------
2. установить возможность приоритета ( в случае, когда чистый (системный) файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.

Как это сделать:
2.1. либо программно, согласно алгоритму разработчика (по определению деструктивных действий), автоматически присваивается (и сохраняется) статус «подозрительные» (или ?ВИРУС?), даже, если файл с белой цифровой и чистым хэшем.

2.2. либо через категории критериев:
добавить возможность разбить все критерии по категориям.
Категория — «потенциально деструктивные».
Допустим список объектов автозапуска сканируется по базе критериев. Если файл попал под критерий из группы «потенциально деструктивные действия», добавляется к статусу файла - «потенциально деструктивный»+статус «подозрительный» (или ?ВИРУС?) в этом случае. файл в дальнейшем проверяется по цифровым и безопасным хэшам, но для определения результирующего статуса файла «подозрительный»(или ?ВИРУС?) или «проверенный» приоритетом является детект по критерию.
--------------
3. выполнить запрос по горячей клавише. Из списка объектов автозапуска. Поле для запроса — поисковая строка. «+» «выполнить». Фильтрация работает поиском введенной подстроки по всему списку полей Инфо
--------------
4. выполнить комбинированный запрос: из формы инфо.
По горячей клавише: вводим значение и работают опции "+", и "выполнить". Если "+", в этом случае формируется второе условие связанное с первым оператором И
Результат выполнения запроса добавить в категорию «текущий запрос», (все простые и комбинированные запросы выводить в данную категорию).

При каждом новом запросе переписывается данная категория на новый список. Не путать запрос  с уже реализованным фильтрующим поиском.
--------------
5. добавить пункт категории данных по образу автозапуска: файлы с цифровой, не входящей в белый список
Сброс пароля на веб-консоль ERA 6.5, не ясно с инструкцией
откуда взят этот скриншот?
Не устанавливается NOD32. Код ошибки MSI.1303, Подозрение на вирус майнер
если малваребайт не установиться,
сделайте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
Не устанавливается NOD32. Код ошибки MSI.1303, Подозрение на вирус майнер
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAMDATA\DISPLAYSESSIONCONTAINER%D.LOG
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\BAMIK\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNC­HER.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref BROWSER\[SERVICE]
delref %Sys32%\DRIVERS\MFEVTP.SYS
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %Sys32%\DRIVERS\MFEAVFK01.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2021\INVENTOR SERVER\BIN\TESTSERVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TOTALAV\TOTALAV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE ILLUSTRATOR CC 2019SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2019\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE ILLUSTRATOR CC 2019\ADOBE ILLUSTRATOR CC\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\REVIT SHARED\ASHRAEDUCT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\USERS\BAMIK\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delref %SystemDrive%\USERS\BAMIK\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES\SPYHUNTER\SPYHUNTER4.EXE
delref %SystemDrive%\PROGRAM FILES\SPYHUNTER\УДАЛИТЬ SPYHUNTER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
зашифровано с расширением *.phoenix; .phobos; Caley, Phobos
[QUOTE]Дмитрий Таракчеев написал:
Здравствуйте! Поймал шифровальщика Caley.
Во вложении зашифрованные файлы, их оригинальные копии и записки - txt и hta
Помогите кто чем может[/QUOTE]
расшифровки по phobos нет в настоящее время,
если необходима очистка системы, добавьте образ автозапуска системы
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?[/QUOTE]
пока что это тема не официальная, и разработчик не давал согласие на перенос форума, так что все предложения, так сказать до лучших времен. Если хочется что-то пообсуждать, и была возможность сохранить новые предложения.
Предложения по дальнейшему развитию функций Universal Virus Sniffer
здесь можно вносить и обсуждать новые предложения по функционалу uVS
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
в AVZ есть команда удаления по маске ?[/QUOTE]
сигнатура в данном случае - самая лучшая маска.

здесь можно вносить и обсуждать новые предложения по функционалу uVS
https://forum.esetnod32.ru/forum8/topic15904/

как и когда это будет реализовано - это другой вопрос, в первую очередь зависит от четкой формулировки предложений и свободного времени разработчика.
поговорить о uVS, Carberp, планете Земля
RP55,
зачистка мусора в системах - не самое важное сейчас для реализации в uVS. Понятно, что uVS уже не будет так часто обновляться, как это было раньше, не те времена. Потому надо в первую очередь реализовать то, что важно для быстрого анализа системы.

[QUOTE]Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.[/QUOTE]

а в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.
поговорить о uVS, Carberp, планете Земля
несколько тем ("lsass грузит ЦП") с форума virusinfo.info, которые подчеркивают уникальность функций [B]Universal Virus Sniffer[/B], в частности, обнаружение внедренных потоков в легальные, в том числе и системные процессы.
https://virusinfo.info/showthread.php?t=225067
https://virusinfo.info/showthread.php?t=224966

по второй ссылке решение, к сожалению, не было доведено до конца,
по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB

образ автозапуска из uVS подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.

[QUOTE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284[/QUOTE]

tdsskiller ничего не обнаружил из норм. режима

19:02:56.0459 0x0d80  TDSS rootkit removing tool 3.1.0.28 Apr  9 2019 21:11:46
19:02:56.0974 0x0d80  ============================================================­
19:02:56.0974 0x0d80  Current date / time: 2020/05/22 19:02:56.0974

19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0c24  Scan finished
19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0dac  Detected object count: 0
19:03:18.0373 0x0dac  Actual detected object count: 0

FRST нашел заблокированные каталоги и файлы:

==================== FLock ==============================

2020-05-22 12:46 C:\Windows\speechstracing
2020-05-22 16:23 C:\Windows\system32\config\SYSTEM
2020-05-18 19:49 C:\Windows\system32\Drivers\Wdf10283.sys

обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима,
зато из под winpe возможно уже легко обнаружить и зачистить систему.

[QUOTE]C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
a variant of Win64/Agent.KD
Действительна, однако сертификат УСТАРЕЛ
Xtreaming Technology Inc.
HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath
system32\drivers\Wdf10283.sys
тип запуска: На этапе загрузки (0)
[/QUOTE]

[QUOTE]Загружен скрипт: F:\Support\COMP.TXT
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
zoo %Sys32%\DRIVERS\WDF10283.SYS
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
--------------------------------------------------------
addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A­527C372C97CE664166E35C0A6FDBCA385911799153EBBE9E75957E639F66­9E993648 32 Trojan:Win64/CryptInject!MTB[Microsoft] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft]
--------------------------------------------------------
chklst
--------------------------------------------------------
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 2942
Найдено вирусов: 1
--------------------------------------------------------
delvir
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1
[/QUOTE]

Rootkit.Win64.Agent.bfi
https://www.virustotal.com/gui/file/520f49dbf284b9712e0a274835f179fd14cd6899fa66e9b­a6795e5f8a98c3726/detection