Vba32 AntiRootkit 3.12.*.* beta

K_Mikhail

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Серьёзно? Хм, надо будет посмотреть. Он на виртуалке нормально дропается или только на физе?
У меня на VirtualBox-е нормально отрабатывает -- сейчас перепроверил.
 

akok

Команда форума
Администратор
Сообщения
16,233
Реакции
12,923
Баллы
2,203
После запусков Vba32 AntiRootkit обнаружил файл
Код:
C:\WINDOWS\system32\drivers\7j9yb4ua.sys
который позиционируется как Vba32 Armour Driver.

Каков механизм чистки драйверов?
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
318
После запусков Vba32 AntiRootkit обнаружил файл
Код:
C:\WINDOWS\system32\drivers\7j9yb4ua.sys
который позиционируется как Vba32 Armour Driver.

Каков механизм чистки драйверов?
В обычном режиме драйвер удалится автоматически после закрытия программы.
Если устанавливался режим Extended driver, то его необходимо деинсталлировать после использования.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,615
Реакции
1,656
Баллы
593
взялся сеня за лог и работу с VBA //
вот момент (кстати в справке у вас как то не очень описано работа по удалению файлов) к примеру я вижу по логу зловреда, как я его удаляю.. получается только через проводник файловой системы (вкладка File System Explorer) я вручную нахожу необходимый файл и уже совершаю действия?? если только так пока, то это очень плохо!!! так как эти действия будут совершаться пользователями и не факт что они сделают по инструкции все.. или не промахнуться файлом..
далее предположим что будет делаться по инструкции и в имени файла будет все сверяться до буковки.. но это если их до 10 например то можно еще.. а если их больше.. 20-40 -150 ?? каждый вручную удалять??
если только так удаление то может сделать поиск какой нить (не нашел ) по имени файла??
опять же как у нас по поводу карантина и сохранения копии удаляемого файла на случай ошибки, дабы в последствии восстановить его?

Пожелания - добавить (изменить-подкорректировать уже те что есть) в справку пункты
Работа с файлами\драйверами
Работа со службами
где простое описание как добраться до объекта и какие действия можно над ним совершить, и что я получу в результате, желательно с примером.

по сохранению лога, либо сохранять по умолчанию в корень системного диска (при закрытии программы) либо в конце сканирования чтоб выводилась запись если хотите сохранить в определенное место выполнить следующие действия и сохранить туда то. ну или что то типа такого..

Добавлено через 42 минуты 31 секунду
кстати интересный момент, по логу вижу
0xEDCE2000 0xEDCFC006 0x1D000 C:\WINDOWS\system32\drivers\n9hdah6x.sys File doesn't exist
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)
он без описания и прочего..он патчен??
лог прилагаю.

и кстати раз уж смотрим лог то как понимать строки
wmplayer.exe 3780 1704
C:\Program Files\Windows Media Player\wmplayer.exe
Zombie process Signed
в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBA

Добавлено через 5 минут 45 секунд
Кстати в хроме галка Don't display trusted работает в FF не работает.. так же стоит no script и там в доверенных..
 
Последнее редактирование:

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
318
взялся сеня за лог и работу с VBA //
вот момент (кстати в справке у вас как то не очень описано работа по удалению файлов) к примеру я вижу по логу зловреда, как я его удаляю.. получается только через проводник файловой системы (вкладка File System Explorer) я вручную нахожу необходимый файл и уже совершаю действия?? если только так пока, то это очень плохо!!! так как эти действия будут совершаться пользователями и не факт что они сделают по инструкции все.. или не промахнуться файлом..
Сейчас доступны два метода удаления файлов:

1) Delete File - обычное удаление файла;
2) Wipe File - затирание файла нулями на низком уровне.

Delete File теперь несколько дубовый, т.к. реализует обыкновенное удаление. Потому от реальных троянов поможет мало. Но после того, как в текущей бета-версии мы сделали перечисление дескрипторов, а в следующей сделаем функцию CloseHandle, то вскоре появится и более продвинутый Force Delete.

Функции Delete File и Wipe File доступны из проводника Low-Level-Disk-Access. Функция Wipe File доступна из окон Kernel Modules и Process Manager. Т.е. нужный файл можно завайпить, к примеру, из окна Kernel Modules, выбрав его в списке и вызвав контекстное меню или горячую клавишу.

далее предположим что будет делаться по инструкции и в имени файла будет все сверяться до буковки.. но это если их до 10 например то можно еще.. а если их больше.. 20-40 -150 ?? каждый вручную удалять??
если только так удаление то может сделать поиск какой нить (не нашел ) по имени файла??
В качестве средства удаления троянов для хелперских форумов я бы вообще не рекомендовал сейчас антируткит. Тут нужно ждать скрипты. Иначе это может привести к большим проблемам, в том числе, и к описанным вами.

опять же как у нас по поводу карантина и сохранения копии удаляемого файла на случай ошибки, дабы в последствии восстановить его?
Только вместе со скриптами. Сейчас доступна функция Copy File.

Пожелания - добавить (изменить-подкорректировать уже те что есть) в справку пункты
Работа с файлами\драйверами
Работа со службами
где простое описание как добраться до объекта и какие действия можно над ним совершить, и что я получу в результате, желательно с примером.
Хелп будем набивать инфой по мере выхода бета-версий.

по сохранению лога, либо сохранять по умолчанию в корень системного диска (при закрытии программы) либо в конце сканирования чтоб выводилась запись если хотите сохранить в определенное место выполнить следующие действия и сохранить туда то. ну или что то типа такого..
Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit. В корень, наверное, все же не стоит. Как-то это некрасиво совсем.

Если пользователь сделал лог, но не сохранил его, то перед выходом из приложения ему выводится соответствующее предупреждение.

кстати интересный момент, по логу вижу
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)
он без описания и прочего..он патчен??
лог прилагаю.
В поле Information написано File doesn't exist, т.е. файл на диске не существует. Т.е. в память он загружен, а на диске его нет. Потому в проводнике вы его и не нашли.

и кстати раз уж смотрим лог то как понимать строки
Zombie Process - это некорректно завершенный процесс, на который остались незакрытые дескрипторы в системе, незавершенные операции ввода/вывода и др. А в вашем случае, исполнимый файл еще и подписан цифровой подписью.

в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBA
Готов подробнейшим образом на них ответить :)

Кстати в хроме галка Don't display trusted работает в FF не работает.. так же стоит no script и там в доверенных..
Беда какая-то. Будем разбираться.

Добавлено через 8 минут 54 секунды
Кстати, на NT Internals автор чуток перемудрил первоначально и теперь в Hidden Dynamic-Link Library Detection Test у нас все плюсики :)
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Реакции
4,804
Баллы
743
Ссори, что влезаю в серьезный мужской разговор. Дело в том, что до лога добиралась длительно, ибо после предложения сканировать в защищенном режиме софтина подвешивала мне систему. Читала на другом ресурсе, что в беде я не одинока-чем лечить?
 

edde

Ассоциация VN/VIP
VIP
Сообщения
1,817
Реакции
1,262
Баллы
553
Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit.
%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.log
Галка Don't display trusted работает в FF не работает даже без установленного no script
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
318
Ссори, что влезаю в серьезный мужской разговор.
;)

Дело в том, что до лога добиралась длительно, ибо после предложения сканировать в защищенном режиме софтина подвешивала мне систему. Читала на другом ресурсе, что в беде я не одинока-чем лечить?
Вы запустили антируткит в режиме выделенного рабочего стола (dedicated desktop). В данном режиме антируткит запускается с включенной по-умолчанию опцией Vba32 Defender, которая блокирует запуск новых процессов и загрузку новых драйверов. Соответственно, все это может вызывать проблемы, потому что блокируются абсолютно все процессы и драйвера.
Лечиться это доработкой данного механизма, который в будущем станет более избирательным и интеллектуальным.
Сейчас же советую соблюдать мою рекомендацию, которую я дал в своем первом посте:

Потому без лишней необходимости данный режим пока использовать не советую;
Кроме того, возможно в ближайшие пару недель мы выпустим новый билд бета-версии, в которой уберем фокус с кнопки YES при выборе режима запуска приложения, чтобы уменьшить вероятность попадания в такую ситуацию.

%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.log
Есть рекомендации Майкрософт на этот счет. И они говорят об использовании профиля юзера для сохранения настроек, логов и т.д. И это правильно.

Галка Don't display trusted работает в FF не работает даже без установленного no script
Понятно, спасибо.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,615
Реакции
1,656
Баллы
593
Тут нужно ждать скрипты. Иначе это может привести к большим проблемам, в том числе, и к описанным вами.
тогда все переходит в вялое обсуждение.. ждем релизов..
Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit. В корень, наверное, все же не стоит. Как-то это некрасиво совсем.
не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.
Кстати, на NT Internals автор чуток перемудрил первоначально и теперь в Hidden Dynamic-Link Library Detection Test у нас все плюсики
ссылки не открылись..

Готов подробнейшим образом на них ответить
ну опят же..ждем скриптов для теста и продолжим.
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
318
Кроме того, возможно в ближайшие пару недель мы выпустим новый билд бета-версии, в которой уберем фокус с кнопки YES при выборе режима запуска приложения, чтобы уменьшить вероятность попадания в такую ситуацию.
А возможно временно снимем умолчательное положение с Vba32 Defender. Пока еще окончательно не решили.

не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.
Предпочитаем прислушиваться к рекомендациям компании, на операционной системе которой работает продукт :)

ссылки не открылись..
Да вроде открываются.

тогда все переходит в вялое обсуждение.. ждем релизов..
ну опят же..ждем скриптов для теста и продолжим.
Внимание сообщества к скриптам понятно :)
 

iskander-k

Ассоциация VN/VIP
VIP
Сообщения
3,732
Реакции
2,428
Баллы
593
XP SP3 (FAT32) KIS2009
- не запускается .

Ругается на неподдерживаемую файловую систему.

Почему бы не сделать чтобы утилита сама определяла локализацию и подключала нужный язык ?
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
318
XP SP3 (FAT32) KIS2009
- не запускается .

Ругается на неподдерживаемую файловую систему.
Попробуйте выполнить следующую команду для своего FAT32 раздела:

chkdsk /f

После этого попробуйте запустить антируткит еще раз.
Только, пожалуйста, отпишитесь о результатах :)

XПочему бы не сделать чтобы утилита сама определяла локализацию и подключала нужный язык ?
Сейчас только интерфейс с английской локализацией доступен. Про русский могу сказать, что он в планах. Но не могу пообещать, что в ближайшем будущем сделаем.

ну опят же..ждем скриптов для теста и продолжим.
Ну скрипты конечно вещь тонкая и нужная, но в данном анти-рутките есть много и другого интересного функционала.
а никто это не отрицает. Просто сейчас обратная связь при удалённом лечении размыта.
Как-то так случилось, что данный вопрос не выходил у меня из головы целый день. И я решил немного прояснить эту ситуацию, чтобы, возможно, снять некоторые вопросы.

Мы считаем, что на теперешнем этапе развития продукта, приоритетным направлением является разработка новой функциональности, которая позволяет обнаруживать вредоносные объекты и бороться с ними. Параллельно сражаясь за стабильность данного функционала. И только после того, как данный функционал не будет вызывать нареканий со стороны пользователей (и нашей испытательной лаборатории), можно приступать к реализации скриптового языка.
Потому, пока мы не выпоним свою программу-минимум по функционалу, за скрипты мы браться не станем.
Еще раз повторю, что мы также заинтересованы в скриптах, потому что у нас есть своя служба тех. поддержки, которая решает приблизительно теже задачи, что и Хелперы.
Ну и завершу тем, что, как сказал выше Рома, антируткит способен решать многие задачи, и не все они завязаны на скрипты. Я думаю, что многие здесь "лечат" компьютеры не только удаленно, но и вживую. Кто-то друзьям, кто-то зарабатывает этим деньги. Возможно Хелперы изучают последние образцы malware, высаживая их на тестовых машинах и анализируя, как они детектятся теми или иными продуктами. Может быть кто-то идет дальше и изучает вредоносы "под микроскопом" с помощью отладчиков, тогда антируткит может быть полезен тем, что предоставляет тучу полезной информации об адресах разных структур, которые нужны для ускорения анализа. И т.д.
Суммируя все это, я уверен, что даже до того, как антируткит научится работать со скриптами, он будет интересен и в сообществе Хелперов.
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
318
Уже невозможно - конвертировал раздел в NTFS. :)
Тоже правильно :)

Все проблемы с антируткитом и FAT, которые наблюдались до сих пор, возникали из-за ошибок в ФС. Чекдиск всегда помогал.
 

sergey ulasen

Активный пользователь
Сообщения
34
Реакции
34
Баллы
318
Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,615
Реакции
1,656
Баллы
593
я не говорю об определении модифицирован он ли нет, а о фиксе, привести MBR в изначальный.
 
Сверху Снизу