http://forum.esetnod32.ru Новое в теме Предложения по дальнейшему развитию функций Universal Virus Sniffer форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 14 Apr 2026 10:39:04 +0300 Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
4.11.3
---------------------------------------------------------
o Исправлены функции массовой проверки файлов на VT.

o Исправлена функция анализа внедренных потоков.
26.11.2020 15:46:23, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message111063/ http://forum.esetnod32.ru/messages/forum8/topic15904/message111063/ Thu, 26 Nov 2020 15:46:23 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
Форум открыт для доступа, комментариев и новых собщений.


====quote====
13.11.2020 1:43, Oleg Ivanov / AM Team пишет:
> Всем привет!
>
> Александр, я открыл форум по Universal Virus Sniffer. Проверьте, пожалуйста, доступ.
=============

https://www.anti-malware.ru/forum/topic/18985-%D0%BD%D0%BE%D0%B2%D1%8B%D0%B5-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%B8-%D0%B2-universal-virus-sniffer-uvs/
13.11.2020 15:42:22, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110923/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110923/ Fri, 13 Nov 2020 15:42:22 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
возможно, откроют в ближайшее время доступ к форуму uVS на AM
07.11.2020 15:35:04, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110887/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110887/ Sat, 07 Nov 2020 15:35:04 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
+
Предложение.
В меню: Файл > Сохранить список...
Реализовать добавочное меню.
а) Сохранить полный список ( т.е. в список выводиться вся информация из ИНФО. )
б) Сохранить список + SHA1 ( так, как я дал список выше )
в) Сохранить список + SHA1 + ЭЦП
г) Сохранить список + SHA1 + ЭЦП+ Адрес на V.T.
04.11.2020 20:14:07, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110861/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110861/ Wed, 04 Nov 2020 20:14:07 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
1) Проверил на uVS v4.11 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 1607 x64 (NT v10.0 SP1) build 14393 [E:\WINDOWS]
В режиме выбора системы.
Образ с проверкой ЭЦП uVS со всеми базами SHA1

Открыт на чистой uVS
Итог: 5 файлов с: Действительна, подписано Пользователем (хэш файла есть в базе проверенных)

E:\WINDOWS\SYSTEM32\LOADWOW64.EXE
845B18B4EA1B2BB78E1DE1FC045C6CB4E79C9FF8
E:\WINDOWS\SYSTEM32\SYSDM.CPL
C593E62873B74012D3EAFDAF4DD378CF096D5FD5
E:\WINDOWS\SYSTEM32\TIMEDATE.CPL
2BF0A637EE4F13DD97E85CFD5840284A5B4579B0
E:\WINDOWS\WINSXS\X86_MICROSOFT-WINDOWS-SERVICINGSTACK_31BF3856AD364E35_10.0.14393.0_NONE_DAB53140259FAD95\TIWORKER.EXE
F957687BE2DD99CCCFD0A2A9D97DA23072640D72
E:\WINDOWS\WINSXS\AMD64_MICROSOFT-WINDOWS-SERVICINGSTACK_31BF3856AD364E35_10.0.14393.0_NONE_36D3CCC3DDFD1ECB\TIWORKER.EXE
ECADC96744D724422E835F9B8E72DA5EAF3B3ED2
--------
2) uVS v4.11 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
Стандартный запуск.
Итог: 5 файлов с: Действительна, подписано Пользователем (хэш файла есть в базе проверенных)

C:\PROGRAM FILES (X86)\FASTSTONE IMAGE VIEWER\FSICONS.DB
ED31630E6EB0D39884E15BAB23EFC7F411C0F399
C:\PROGRAM FILES\UVS_V4\PORTABLE.EXE\HIJACKTHIS FORK 2.9.0.18\HIJACKTHIS.2.9.0.18 -2019.EXE
DD4275FEA0AE62E92CCB159359A22174442956A3
C:\USERSS\USERSS\DESKTOP\УПРАВЛЕНИЕ\FLASHPLAYER\INSTALL_FLASH_­PLAYER.32.0.0.142.EXE
5588F871246075EC7719A29D5B01A1932508B3BA
C:\PROGRAM FILES\UVS_V4\PROCESS HACKER 2.5\PROCESSHACKER.2.39.0.125.EXE
A0BDFAC3CE1880B32FF9B696458327CE352E3B1D
C:\PROGRAM FILES\UVS_V4\ADWCLEANER\КРАЙНЯЯ ДЛЯ ХР ADWCLEANER_6.041.EXE
322DF7084E893D96B7C4A06AADE24D6321378917
04.11.2020 20:07:28, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110860/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110860/ Wed, 04 Nov 2020 20:07:28 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
RP55 RP55 написал:
На uVS с моими базами.Проверка файлов по базе проверенных...--------------------------------------------------------Проверено файлов: 216Всего неизвестных файлов: 136Всего подписанных файлов: 101C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLLSHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8Хэш найден в базе проверенных файлов, файл помечен как проверенный--------------------------------------------------------C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLLSHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8--------------------------------------------------------При попытке удалить из базы: Хэш НЕ найден в базе проверенных файлов--------
=============

у меня  тоже самое.
возможно, глюк с удалением хэша, точнее в сообщении при удалении данного хэша.
или этот хэш есть в базе main или в VT1
(поскольку удалить из main и VT1 юзер и оператор не может)
04.11.2020 15:20:46, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110858/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110858/ Wed, 04 Nov 2020 15:20:46 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
+

Это 100% ошибка.
1) На стороне пользователя есть база проверенных файлов - это видно по логу.
C:\USERS\ZZ\DESKTOP\НОВАЯ ПАПКА (2)\МНОГОФУНКЦИОНАЛЬНАЯ УТИЛИТА\UVS_V411\SHA\VT1
Загружено хэшей проверенных файлов: 96555
-----------
Там же:
C:\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PLUG_INS\ACCESSIBILITY.API
Действительна, подписано Пользователем (хэш файла есть в базе проверенных)

C:\PROGRAM FILES (X86)\PRMT9\PREPROC\STANDARD.PRE
Действительна, подписано Пользователем (хэш файла есть в базе проверенных)
При том, что у файла есть своя легитимная ЭЦП:
https://www.virustotal.com/gui/file/c348f11ff5b03983d666e375ad95c203bd8a9da5138fb82­a25c7d007f6b1df1e/details

Нет смысла эти файлы добавлять в саму программу.
+ шедевр на фото.

04.11.2020 00:26:50, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110842/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110842/ Wed, 04 Nov 2020 00:26:50 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
santy написал:
здесь только разработчику писать
=============
т.е. тему читаем только мы ?
Сигнатуры - дело муторное.
Возможно история с rdpwrap.dll  это не решение разработчика, а ошибка в программе.
---------
Наткнулся:
Показ рекламы в приложении с помощью Microsoft Advertising SDK
Наверно можно выявлять приложения с SDK.
03.11.2020 23:15:10, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110841/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110841/ Tue, 03 Nov 2020 23:15:10 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
хэш rdpwrap.dll скорее всего добавлен разработчиком, потому что у меня он тоже показан как добавлен в базу пользователем (и выходит что подписан пользователем),
удалить хэш в данном случае не получится, потому что юзер может удалить хэш только из своей базы, а не из базы разработчика.


Полное имя                  C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
                           
Обнаруженные сигнатуры      
Сигнатура                   Win64/RDPWrap.B (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-07-29
                           

====quote====
www.virustotal.com          2020-11-02 22:13 [2016-07-15]
DrWeb                       Program.Rdpwrap.7
ESET-NOD32                  a variant of Win64/RDPWrap.B potentially unsafe
Kaspersky                   not-a-virus:RemoteAdmin.Win32.RDPWrap.h
Microsoft                   PUA:Win32/Presenoker

=============
ну, здесь только разработчику писать, чтобы он удалил данный хэш из своей базы.
--------
при том, что файл скорее всего безопасен, но используется злоумышленниками для получения удаленного доступа.

или добавить сигнатуру файла в базу sgnz
03.11.2020 19:49:56, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110834/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110834/ Tue, 03 Nov 2020 19:49:56 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
+
На uVS с моими базами.
Проверка файлов по базе проверенных...
--------------------------------------------------------
Проверено файлов: 216
Всего неизвестных файлов: 136
Всего подписанных файлов: 101
C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
SHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8
Хэш найден в базе проверенных файлов, файл помечен как проверенный
--------------------------------------------------------
C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
SHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8
--------------------------------------------------------
При попытке удалить из базы:
Хэш НЕ найден в базе проверенных файлов
--------
03.11.2020 19:46:58, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110833/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110833/ Tue, 03 Nov 2020 19:46:58 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
Ага...

C:\USERS\ZZ\DESKTOP\НОВАЯ ПАПКА (2)\МНОГОФУНКЦИОНАЛЬНАЯ УТИЛИТА\UVS_V411\SHA\VT1
Загружено хэшей проверенных файлов: 96555

C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
Хэш НЕ найден в базе проверенных файлов.
----------
Полное имя                  C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
Имя файла                   RDPWRAP.DLL
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SVCHOST]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SVCHOST]
File_Id                     5488AA5A22000
Linker                      12.0
Размер                      116736 байт
Создан                      26.08.2020 в 12:27:41
Изменен                     26.08.2020 в 12:27:41
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   10.12.2014 в 20:17:30
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Пользователем (хэш файла есть в базе проверенных)
                           
Оригинальное имя            rdpwrap.dll
Версия файла                1.5.0.0
Описание                    Terminal Services Wrapper Library
Производитель               Stas'M Corp.
                           
Доп. информация             на момент обновления списка
SHA1                        B3892EEF846C044A2B0785D54A432B3E93A968C8
MD5                         461ADE40B800AE80A40985594E1AC236
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE [900]
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\TermService\Parameter­s\ServiceDLL
ServiceDLL                  %ProgramFiles%\RDP Wrapper\rdpwrap.dll
Name                        Службы удаленных рабочих столов
Изменен                     26.08.2020 в 12:27:41
-----------
Специально открывал и в чистом uVS.
DESKTOP-2T6FT22_2020-10-11_17-24-11_v4.11.7z
03.11.2020 19:40:49, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110832/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110832/ Tue, 03 Nov 2020 19:40:49 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
В таком случае поясни, что ты имеешь ввиду.
если посмотреть поведение функции "проверен" на рисунке, то нажатие на эту кнопку добавляется результат в цифровую "проверен пользователем", что я считаю сомнительным. - лучше бы SHA1 файла при этом добавлялось в собственную базу оператора SHA1
--------------
добавление хэша (через контекстную функцию) в базу SHA1(на диске) выполняется после закрытия uVS.
(добавил хэш для файла на рисунке.)
SHA1: изменен: ‎3 ‎ноября ‎2020 ‎г., ‏‎22:59:44

удалил хэш файла (через контекстую функцию) из собств. базы, закрыл uVS, вижу, что дата изменения файла поменялась:
‎3 ‎ноября ‎2020 ‎г., ‏‎23:04:57

запустил по новой uVS и файл снова попал в подозрительные.


03.11.2020 18:56:42, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110830/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110830/ Tue, 03 Nov 2020 18:56:42 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
Хм...
Сейчас проверил на своей системе и такого эффекта нет.
03.11.2020 18:43:59, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110829/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110829/ Tue, 03 Nov 2020 18:43:59 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
santy написал:
у оператора есть другие возможности отметить файлы, подозрительные с его точки зрения. (сигнатуры, критерии)
=============

Мы видимо говорим о разном.
Человек загрузил uVS  > добавил в список проверенных по SHA1 ряд файлов - т.е. создал свою базу.
Оператор открывает образ... и НЕ видит файлов - фалы в базе проверенных и uVS  до лампочки, что и как.
uVS при создании образа отметил файл, как ПРОВЕРЕННЫЙ.
Как может сработать критерий, сигнатура и т.д. если оператор впервые имеет дело с этим файлом.
Оператор просто не увидит файл, а если увидит и удалит SHA из базы проверенных... ( а программа в лог,  так и напишет - файл удалён из базы... ) а реально внести изменения невозможно... невозможно удалить из своей базы то, чего в ней не было.
03.11.2020 18:27:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110828/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110828/ Tue, 03 Nov 2020 18:27:33 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
RP55 RP55 написал:
Оператор решает - что хорошо, что плохо.
=============
за работу софта отвечает разработчик. (в том числе за файл чистых)
у оператора есть другие возможности отметить файлы, подозрительные с его точки зрения. (сигнатуры, критерии)

кстати, скрипт в AVZ очищает только ключ текущего пользователя:
RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer­\DisallowRun');
в uVS очистка этого ключа через REGT 18 выполняется для всех учетных записей
03.11.2020 16:41:16, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110827/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110827/ Tue, 03 Nov 2020 16:41:16 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
santy написал:
возможно файл действительно чистый
=============
Без разницы.

Файл в _его базе.
Его нет в моей базе...
Оператор решает - что хорошо, что плохо.
А мне программа говорит: Файл проверен, SHA удалена из базы - а по факту...
03.11.2020 15:16:23, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110824/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110824/ Tue, 03 Nov 2020 15:16:23 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
RP55 RP55 написал:
Смотрю образ автозапуска - Чисто.
Смотрю лог FRST - Вирус.
Повторно открывают образ > файла нет ? > Файл есть, но он в проверенных ? > удаляю файл из проверенных > файл в проверенных...
Смотрю лог, у человека есть своя база проверенных и файл в _его базе, не в моей...

Мораль:
1) Статус: Проверен - только по базе хелпера, или по настройке settings.ini
2) Не дурить оператора, что SHA удалён - а сообщать: SHA  файла невозможно удалить из базы.
3) В Инфо. каждого файла писать подробные сведения  по задействованной базе.

Как я помню вопрос уже обсуждался, но по нему не было принято процессуального решения.
=============
лучше конкретнее на примере. возможно файл действительно чистый, но может выполнять деструктивные действия, это сплошь и рядом.
03.11.2020 14:47:56, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110822/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110822/ Tue, 03 Nov 2020 14:47:56 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
Смотрю образ автозапуска - Чисто.
Смотрю лог FRST - Вирус.
Повторно открывают образ > файла нет ? > Файл есть, но он в проверенных ? > удаляю файл из проверенных > файл в проверенных...
Смотрю лог, у человека есть своя база проверенных и файл в _его базе, не в моей...

Мораль:
1) Статус: Проверен - только по базе хелпера, или по настройке settings.ini
2) Не дурить оператора, что SHA удалён - а сообщать: SHA  файла невозможно удалить из базы.
3) В Инфо. каждого файла писать подробные сведения  по задействованной базе.

Как я помню вопрос уже обсуждался, но по нему не было принято процессуального решения.
03.11.2020 14:12:04, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110821/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110821/ Tue, 03 Nov 2020 14:12:04 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
REGT 18 выполняет очистку ограничения запуска приложений

HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0

если бы лог FRST был сделан вместе с образом, можно было бы увидеть, какие приложения были ограничены
https://forum.esetnod32.ru/forum6/topic16164/
03.11.2020 12:57:48, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110815/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110815/ Tue, 03 Nov 2020 12:57:48 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
28.10.2020 22:06:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110762/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110762/ Wed, 28 Oct 2020 22:06:33 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
---------------------------------------------------------
4.11.2
---------------------------------------------------------
o Добавлена поддержка VT API v3.

o Восстановлена поддержка сервиса runscanner.net

o Исправлена функция переключения рабочих столов при работе с удаленной системой.

o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.

o Добавлены горячие клавиши при работе с активной системой:
  Alt->left и Alt->right клавиши переключают доступные рабочие столы.
28.10.2020 06:10:25, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110728/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110728/ Wed, 28 Oct 2020 06:10:25 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
Видит ли uVS записи типа:
CHR NewTab: Default ->  Active:"chrome-extension://hdpgllbnilfcbckbdchjcfgopijgllcm/index.html", Not-active:"chrome-extension://kppacdmmddediahklmcgkgdhhoojemmd/visual-bookmarks.html"
--------
CHR NewTab: Default ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Not-active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
--------
CHR NewTab: Default ->  Not-active:"chrome-extension://piioimajcjmcjbnjkgbmdefehpofbhfl/start/index.html"
--------
CHR NewTab: Default -> "chrome-extension://iflppbjnpneiigcbdfjpnkebidmkjmoi/visual-bookmarks.html"
27.10.2020 18:29:45, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110726/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110726/ Tue, 27 Oct 2020 18:29:45 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
santy написал:
Операция выгрузки объекта добавлена в очередь: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
=============
А не должно быть записи типа: выгрузка успешно завершена ?
команда есть, а где пруфы ?
24.10.2020 18:11:09, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110683/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110683/ Sat, 24 Oct 2020 18:11:09 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
кстати,
по логу uVS:
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
unload %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
Операция выгрузки объекта добавлена в очередь: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
--------------------------------------------------------
deltsk %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\FREETP­ORG.DLL
Файл скопирован в ZOO: C:\USERS\АДМИНИСТРАТОР\DESKTOP\SUPPORT\ZOO\FREETPORG.DLL._BE2292743106EC183CD2DA5B9CB0CE4548C3C5B8
--------------------------------------------------------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
--------------------------------------------------------
dirzooex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freept­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freetp­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\main.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\Module­.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\StartP­rocess.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\stub.exe
--------------------------------------------------------
deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Удалено файлов: 8 из 8
24.10.2020 18:02:34, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110682/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110682/ Sat, 24 Oct 2020 18:02:34 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
santy написал:
C:\Users\Администратор\AppData\Roaming\Microsoft\freetp\freetp­­org.dll,UpdateService
=============

https://www.virustotal.com/gui/file/3a9a7ee6bd697eb1810ff623b500dde3711658aa4f82338­96631d5df861bd1a7/detection
23.10.2020 21:04:37, Дмитрий Б.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110669/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110669/ Fri, 23 Oct 2020 21:04:37 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
RP55 RP55 написал:
https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663

Полное имя                  C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

CPU                         34.37%
CPU (1 core)             549.92%
=============
уже было такое ранее:
https://chklst.ru/discussion/1841/trojan-multi-genautorunproc-a

перенес тему:
https://forum.esetnod32.ru/forum6/topic16130/

здесь аналогичная тема:
https://virusinfo.info/showthread.php?t=225795

в hj висит задача:
O22 - Task: MicrosoftOfficeScheduledUpdate - C:\Windows\system32\rundll32.exe C:\Users\Администратор\AppData\Roaming\Microsoft\freetp\freetp­org.dll,UpdateService

хотя потоки в notepad, которые показаны в uVS здесь  не увидят
23.10.2020 15:54:58, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110668/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110668/ Fri, 23 Oct 2020 15:54:58 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663

Полное имя                  C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

CPU                         34.37%
CPU (1 core)             549.92%
23.10.2020 13:03:51, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110664/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110664/ Fri, 23 Oct 2020 13:03:51 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
RP55, ты постоянно данные темы здесь мониторишь, так что можно хотя бы раз и проверить как будет работать связка deldir+regt 18, а после этого снять логи FRST, для для большей точности, снять логи FRST+скрипт uVS с deldir+regt + новые логи FRST для проверки результата
15.10.2020 15:32:51, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110512/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110512/ Thu, 15 Oct 2020 15:32:51 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.
В uVS есть категория для отсутствующих файлов.
Можно создать отдельную категорию:  Пустые каталоги с информацией по ним.
14.10.2020 17:08:35, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110491/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110491/ Wed, 14 Oct 2020 17:08:35 +0300 Полезные программы Предложения по дальнейшему развитию функций Universal Virus Sniffer в форуме Полезные программы.

====quote====
RP55 RP55 написал:
Так, как вирусы начали блокировать установку антивирусов  появились спец. скрипт\ы лечения.

https://www.cyberforum.ru/viruses/thread2711200.html
forum.kasperskyclub.ru/topic/74431-podhvatil-virusy-ne-zapuskaetsja-skanirovanie-kvrt/
=============
да, видел эти темы. в uVS можно через exec cmd написать подобный скрипт, но опять же, чтобы это сделать, надо вначале увидеть все эти каталоги, и все равно придется получить логи в FRST, так проще тогда в FRST это сделать,
или через deldir пробовать вынести эти каталоги
14.10.2020 14:27:45, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic15904/message110490/ http://forum.esetnod32.ru/messages/forum8/topic15904/message110490/ Wed, 14 Oct 2020 14:27:45 +0300 Полезные программы