Цитата(demkd @ 06.11.2011, 9:32) В общем случае да. Вообще в след. версии будет либо встроенная возможность создания образа, либо будет отдельная утилита для создания загрузочной флешки. Конечно при наличии хотя бы апдейта WAIK.Дмитрий, будет ли при этом возможность из интерфейса uVS (или отдельной утилиты) добавить кроме uVS и другие полезные программки в загрузочный образ WinPe? (far, и проч.)
Цитата(art @ 04.11.2011, 22:40) Достаточно ли этого для удаления загрузочных баннеров?Нет. Пользоваться жесткими схемами бесполезно для решения произвольной задачи.uVS это всего лишь скальпель и для его использования требуется квалифицированный хирург.Цитата(Celsus @ 06.11.2011, 12:18) Нужно положить файлы UVS и файлы из _autorun в корень ISO и записать на диск?В общем случае да. Вообще в след. версии будет либо встроенная возможность создания образа, либо будет отдельная утилита для создания загрузочной флешки. Конечно при наличии хотя бы апдейта WAIK.Цитата(Celsus @ 06.11.2011, 12:18) Верно ли я понял то, что говорят?При использовании файла сверки верно.
Цитата(demkd @ 30.09.2011, 20:18) Для этого есть Windows AIK. _atorun развернуть в корень диска если это нужно.Скачал Windows Automated Installation Kit supplement, в файле iso 2 папки AMD64 и x86, а также 4 файла COPYPE.CMD, PESETENV.CMD, SETSANPOLICY.CMD, SSSHIM.DLL. Нужно положить файлы UVS и файлы из _autorun в корень ISO и записать на диск?Второй вопрос: в форумах пишут, что метод сравнения снимков системных дисков дает почти 100 процентное выявление rootkit, при условии, что он "живет" на жестком диске, а не попадает каждый раз из сети в оперативную память. Верно ли я понял то, что говорят?
Небольшой вопрос. Правильно ли это при лечении загрузочных баннеров:1) выбрать "system.ini и Загрузчики"2) выставить галки на "скрыть проверенные" и "скрыть известные" 3) если останутся записи, имя которых начинается на MBR или VBR, то восстанавливаем его: "Руткиты"-> "Заменить загрузчик...."4) если в окне UVS остались другие записи, например, NTDETECT.COM или NTLDR, то клик правой кнопкой мыши по записи -> "Проверить внутреннюю/внешнюю цифровую подпись файла" - если проверка будет пройдена, то запись будет убрана, а если проверка НЕ будет пройдена, то следует заменить этот файл из дистрибутива. Достаточно ли этого для удаления загрузочных баннеров?
Получилось таки проверить исправление в системных службах на правильную сервисную dll. ---------до выполнения скрипта в uVS:Цитата;uVS v3.72 BETA script [http://dsrt.dyndns.org]delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\IPSDLG.8THбылопо образу автозапуска:ЦитатаПолное имя C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\IPSDLG.8THИмя файла IPSDLG.8THТек. статус ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] ... Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLLServiceDLL %CommonProgramFiles%\microsoft shared\ipsdlg.8thпо логу ESIЦитата"Сервер" = "%commonprogramfiles%\microsoft shared\ipsdlg.8th" Автоматический ; Остановлено ; ( 5: Неизвестно ) ;после выполнения скриптасталопо образу автозапускаЦитатаПолное имя C:\WINDOWS\SYSTEM32\SRVSVC.DLLИмя файла SRVSVC.DLLТек. статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] ..........Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLLServiceDLL C:\WINDOWS\SYSTEM32\SRVSVC.DLL по логу ESIЦитата"Сервер" = "c:\windows\system32\srvsvc.dll " Автоматический ; Загружено ; ( 1: Точно ) ; Server Service DLL ; Microsoft Corporation ;
Цитата(demkd @ 03.11.2011, 16:20) нельзя, uvs переписывает только загрузчик, таблицу разделов он не трогает, зловред видимо тупо заксорил таблицу разделов, тут надо смотреть.архив с mbr и pt, сделанные в bootice (из под WinPE)
Цитата(santy @ 03.11.2011, 15:05) можно как то решить проблему MBRLock с помощью WinPe&uVS если локер так же гасит определение типа файловой системы?нельзя, uvs переписывает только загрузчик, таблицу разделов он не трогает, зловред видимо тупо заксорил таблицу разделов, тут надо смотреть.Цитата(santy @ 03.11.2011, 15:05) и настройки прокси если естда, надо, но все лень.Цитата(santy @ 03.11.2011, 18:31) но при этом uVS создает список всех доступных загрузчиков со всех дисковых устройств с указанием типов файловой системы,+ возможностью исправления ошибок в определении файловой системы.он и так их создает, но вот исправления это уже дело специализированной программы - это слишком нетривиальная и мало того опасная операция.
к первому предложению,алгоритм мог бы быть такой: загружаемся с Winpe&uVS, выбираем текущий поьзователь, т.е. выбираем для анализа систему с X,но при этом uVS создает список всех доступных загрузчиков со всех дисковых устройств с указанием типов файловой системы,+ возможностью исправления ошибок в определении файловой системы.
приветствую,можно как то решить проблему MBRLock с помощью WinPe&uVS если локер так же гасит определение типа файловой системы? + предложение,добавить в образ автозапуска вместе с настройками стартовых страниц браузеров еще и настройки прокси если есть.иногда лень бывает глянуть в лог hj, а надо бы иногда ЦитатаR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.46.111.5:8080
Smit Гляну почему вылетает, а ссылку на зловреда в след. раз таки в ЛС.И да, для этого типа зловредов либо startF, который иммунный к ним, либо с диска.
вот вчера выловил на 7х64 блокирует кучу программ гадит в защищенном хосте и по моему в статических маршрутах тоже, антивири его не видят (на вирус тотал отослал) проверка цифровой подписи приводит к вылету uVS и потом семерка стоит с пустым рабочим столом и ни на что не реагирует , к стати запустить программу можно только с ключом F пришлось убивать гада из под вин пе [ссылка удалена]
PR55.RP55 Да, проверять загрузчики как минимум на vt стоит всегда, а у меня и сигнатура сработала на ipl
MBR.Rootkit.Mayachok.A Симптомы: "Некоторые сайты либо загружают какие-то буквы, цифры и т.п., либо загружаются раза с десятого, либо не загружаются вообще." Так сказать для научного анализа.А то, на странице uVS начался Брежневский период... P.S.: ГРАЖДАНЕ ПРИ РАБОТЕ С ОБРАЗАМИ ПРОВЕРЯЙТЕ MBR - берегите здоровье общественных PC !!!
ага, свет рубанули и хз когда включат.Может бесперебойное питание на пару часов уже пора приобретать? Россия и систематические отключения электроэнергии это уже норма жизни!...
Добавил постоянную Базу обновил 596433.
art это уже глюки dyndns клиента, почему-то иногда не хочет обновлять ip.на пакеты ссылки обновятся когда выйдет новая версия.
Страницы: , , , , , , , , , , , , , , , , , , , , , , , , ,
Полная версия этой страницы:
Форумы Anti-Malware.ru > Universal Virus Sniffer (uVS)
Комментариев нет:
Отправить комментарий