Vba32 AntiRootkit 3.12.*.* beta

После запусков Vba32 AntiRootkit обнаружил файл
Код:
C:\WINDOWS\system32\drivers\7j9yb4ua.sys
который позиционируется как Vba32 Armour Driver.

Каков механизм чистки драйверов?
 
После запусков Vba32 AntiRootkit обнаружил файл
Код:
C:\WINDOWS\system32\drivers\7j9yb4ua.sys
который позиционируется как Vba32 Armour Driver.

Каков механизм чистки драйверов?

В обычном режиме драйвер удалится автоматически после закрытия программы.
Если устанавливался режим Extended driver, то его необходимо деинсталлировать после использования.
 
взялся сеня за лог и работу с VBA //
вот момент (кстати в справке у вас как то не очень описано работа по удалению файлов) к примеру я вижу по логу зловреда, как я его удаляю.. получается только через проводник файловой системы (вкладка File System Explorer) я вручную нахожу необходимый файл и уже совершаю действия?? если только так пока, то это очень плохо!!! так как эти действия будут совершаться пользователями и не факт что они сделают по инструкции все.. или не промахнуться файлом..
далее предположим что будет делаться по инструкции и в имени файла будет все сверяться до буковки.. но это если их до 10 например то можно еще.. а если их больше.. 20-40 -150 ?? каждый вручную удалять??
если только так удаление то может сделать поиск какой нить (не нашел ) по имени файла??
опять же как у нас по поводу карантина и сохранения копии удаляемого файла на случай ошибки, дабы в последствии восстановить его?

Пожелания - добавить (изменить-подкорректировать уже те что есть) в справку пункты
Работа с файлами\драйверами
Работа со службами
где простое описание как добраться до объекта и какие действия можно над ним совершить, и что я получу в результате, желательно с примером.

по сохранению лога, либо сохранять по умолчанию в корень системного диска (при закрытии программы) либо в конце сканирования чтоб выводилась запись если хотите сохранить в определенное место выполнить следующие действия и сохранить туда то. ну или что то типа такого..

Добавлено через 42 минуты 31 секунду
кстати интересный момент, по логу вижу
0xEDCE2000 0xEDCFC006 0x1D000 C:\WINDOWS\system32\drivers\n9hdah6x.sys File doesn't exist
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)
он без описания и прочего..он патчен??
лог прилагаю.

и кстати раз уж смотрим лог то как понимать строки
wmplayer.exe 3780 1704
C:\Program Files\Windows Media Player\wmplayer.exe
Zombie process Signed
в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBA

Добавлено через 5 минут 45 секунд
Кстати в хроме галка Don't display trusted работает в FF не работает.. так же стоит no script и там в доверенных..
 
Последнее редактирование:
взялся сеня за лог и работу с VBA //
вот момент (кстати в справке у вас как то не очень описано работа по удалению файлов) к примеру я вижу по логу зловреда, как я его удаляю.. получается только через проводник файловой системы (вкладка File System Explorer) я вручную нахожу необходимый файл и уже совершаю действия?? если только так пока, то это очень плохо!!! так как эти действия будут совершаться пользователями и не факт что они сделают по инструкции все.. или не промахнуться файлом..

Сейчас доступны два метода удаления файлов:

1) Delete File - обычное удаление файла;
2) Wipe File - затирание файла нулями на низком уровне.

Delete File теперь несколько дубовый, т.к. реализует обыкновенное удаление. Потому от реальных троянов поможет мало. Но после того, как в текущей бета-версии мы сделали перечисление дескрипторов, а в следующей сделаем функцию CloseHandle, то вскоре появится и более продвинутый Force Delete.

Функции Delete File и Wipe File доступны из проводника Low-Level-Disk-Access. Функция Wipe File доступна из окон Kernel Modules и Process Manager. Т.е. нужный файл можно завайпить, к примеру, из окна Kernel Modules, выбрав его в списке и вызвав контекстное меню или горячую клавишу.

далее предположим что будет делаться по инструкции и в имени файла будет все сверяться до буковки.. но это если их до 10 например то можно еще.. а если их больше.. 20-40 -150 ?? каждый вручную удалять??
если только так удаление то может сделать поиск какой нить (не нашел ) по имени файла??

В качестве средства удаления троянов для хелперских форумов я бы вообще не рекомендовал сейчас антируткит. Тут нужно ждать скрипты. Иначе это может привести к большим проблемам, в том числе, и к описанным вами.

опять же как у нас по поводу карантина и сохранения копии удаляемого файла на случай ошибки, дабы в последствии восстановить его?

Только вместе со скриптами. Сейчас доступна функция Copy File.

Пожелания - добавить (изменить-подкорректировать уже те что есть) в справку пункты
Работа с файлами\драйверами
Работа со службами
где простое описание как добраться до объекта и какие действия можно над ним совершить, и что я получу в результате, желательно с примером.

Хелп будем набивать инфой по мере выхода бета-версий.

по сохранению лога, либо сохранять по умолчанию в корень системного диска (при закрытии программы) либо в конце сканирования чтоб выводилась запись если хотите сохранить в определенное место выполнить следующие действия и сохранить туда то. ну или что то типа такого..

Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit. В корень, наверное, все же не стоит. Как-то это некрасиво совсем.

Если пользователь сделал лог, но не сохранил его, то перед выходом из приложения ему выводится соответствующее предупреждение.

кстати интересный момент, по логу вижу
а вот через проводник файловой системы в упор не наблюдаю.. галки показывать скрытые поставил. возможно это виртуальный драйвер как и ряд других? (8o1iarn9.sys) так же обратим (к примеру) внимание на системный Beep (другие просто не вписываю, но их много)
он без описания и прочего..он патчен??
лог прилагаю.

В поле Information написано File doesn't exist, т.е. файл на диске не существует. Т.е. в память он загружен, а на диске его нет. Потому в проводнике вы его и не нашли.

и кстати раз уж смотрим лог то как понимать строки

Zombie Process - это некорректно завершенный процесс, на который остались незакрытые дескрипторы в системе, незавершенные операции ввода/вывода и др. А в вашем случае, исполнимый файл еще и подписан цифровой подписью.

в общем чую много вопросов будет к вам по утилите, видимо выделим в тему отдельную по работе с VBA

Готов подробнейшим образом на них ответить :)

Кстати в хроме галка Don't display trusted работает в FF не работает.. так же стоит no script и там в доверенных..

Беда какая-то. Будем разбираться.

Добавлено через 8 минут 54 секунды
Кстати, на NT Internals автор чуток перемудрил первоначально и теперь в Hidden Dynamic-Link Library Detection Test у нас все плюсики :)
 
Ссори, что влезаю в серьезный мужской разговор. Дело в том, что до лога добиралась длительно, ибо после предложения сканировать в защищенном режиме софтина подвешивала мне систему. Читала на другом ресурсе, что в беде я не одинока-чем лечить?
 
Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit.
%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.log
Галка Don't display trusted работает в FF не работает даже без установленного no script
 
Ссори, что влезаю в серьезный мужской разговор.

;)

Дело в том, что до лога добиралась длительно, ибо после предложения сканировать в защищенном режиме софтина подвешивала мне систему. Читала на другом ресурсе, что в беде я не одинока-чем лечить?

Вы запустили антируткит в режиме выделенного рабочего стола (dedicated desktop). В данном режиме антируткит запускается с включенной по-умолчанию опцией Vba32 Defender, которая блокирует запуск новых процессов и загрузку новых драйверов. Соответственно, все это может вызывать проблемы, потому что блокируются абсолютно все процессы и драйвера.
Лечиться это доработкой данного механизма, который в будущем станет более избирательным и интеллектуальным.
Сейчас же советую соблюдать мою рекомендацию, которую я дал в своем первом посте:

Потому без лишней необходимости данный режим пока использовать не советую;

Кроме того, возможно в ближайшие пару недель мы выпустим новый билд бета-версии, в которой уберем фокус с кнопки YES при выборе режима запуска приложения, чтобы уменьшить вероятность попадания в такую ситуацию.

edde написал(а):
%username%\vba32arkit. это далеко, тот же RSIT делает это разумно в %systemdrive%\RSIT\rsit.log

Есть рекомендации Майкрософт на этот счет. И они говорят об использовании профиля юзера для сохранения настроек, логов и т.д. И это правильно.

edde написал(а):
Галка Don't display trusted работает в FF не работает даже без установленного no script

Понятно, спасибо.
 
Тут нужно ждать скрипты. Иначе это может привести к большим проблемам, в том числе, и к описанным вами.
тогда все переходит в вялое обсуждение.. ждем релизов..
Сейчас лог по-умолчанию предлагается сохранить в директорию %username%\vba32arkit. В корень, наверное, все же не стоит. Как-то это некрасиво совсем.
не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.
Кстати, на NT Internals автор чуток перемудрил первоначально и теперь в Hidden Dynamic-Link Library Detection Test у нас все плюсики
ссылки не открылись..

Готов подробнейшим образом на них ответить

ну опят же..ждем скриптов для теста и продолжим.
 
Кроме того, возможно в ближайшие пару недель мы выпустим новый билд бета-версии, в которой уберем фокус с кнопки YES при выборе режима запуска приложения, чтобы уменьшить вероятность попадания в такую ситуацию.

А возможно временно снимем умолчательное положение с Vba32 Defender. Пока еще окончательно не решили.

Arbitr написал(а):
не согласен.. пусть в корне создается папка с логом, пример ComboFix RSIT это очень удобно.

Предпочитаем прислушиваться к рекомендациям компании, на операционной системе которой работает продукт :)

Arbitr написал(а):
ссылки не открылись..

Да вроде открываются.

Arbitr написал(а):
тогда все переходит в вялое обсуждение.. ждем релизов..
Arbitr написал(а):
ну опят же..ждем скриптов для теста и продолжим.

Внимание сообщества к скриптам понятно :)
 
XP SP3 (FAT32) KIS2009
- не запускается .

Ругается на неподдерживаемую файловую систему.

Почему бы не сделать чтобы утилита сама определяла локализацию и подключала нужный язык ?
 
XP SP3 (FAT32) KIS2009
- не запускается .

Ругается на неподдерживаемую файловую систему.

Попробуйте выполнить следующую команду для своего FAT32 раздела:

chkdsk /f

После этого попробуйте запустить антируткит еще раз.
Только, пожалуйста, отпишитесь о результатах :)

XПочему бы не сделать чтобы утилита сама определяла локализацию и подключала нужный язык ?

Сейчас только интерфейс с английской локализацией доступен. Про русский могу сказать, что он в планах. Но не могу пообещать, что в ближайшем будущем сделаем.

Arbitr написал(а):
ну опят же..ждем скриптов для теста и продолжим.
Rashevskiy написал(а):
Ну скрипты конечно вещь тонкая и нужная, но в данном анти-рутките есть много и другого интересного функционала.
akoK написал(а):
а никто это не отрицает. Просто сейчас обратная связь при удалённом лечении размыта.

Как-то так случилось, что данный вопрос не выходил у меня из головы целый день. И я решил немного прояснить эту ситуацию, чтобы, возможно, снять некоторые вопросы.

Мы считаем, что на теперешнем этапе развития продукта, приоритетным направлением является разработка новой функциональности, которая позволяет обнаруживать вредоносные объекты и бороться с ними. Параллельно сражаясь за стабильность данного функционала. И только после того, как данный функционал не будет вызывать нареканий со стороны пользователей (и нашей испытательной лаборатории), можно приступать к реализации скриптового языка.
Потому, пока мы не выпоним свою программу-минимум по функционалу, за скрипты мы браться не станем.
Еще раз повторю, что мы также заинтересованы в скриптах, потому что у нас есть своя служба тех. поддержки, которая решает приблизительно теже задачи, что и Хелперы.
Ну и завершу тем, что, как сказал выше Рома, антируткит способен решать многие задачи, и не все они завязаны на скрипты. Я думаю, что многие здесь "лечат" компьютеры не только удаленно, но и вживую. Кто-то друзьям, кто-то зарабатывает этим деньги. Возможно Хелперы изучают последние образцы malware, высаживая их на тестовых машинах и анализируя, как они детектятся теми или иными продуктами. Может быть кто-то идет дальше и изучает вредоносы "под микроскопом" с помощью отладчиков, тогда антируткит может быть полезен тем, что предоставляет тучу полезной информации об адресах разных структур, которые нужны для ускорения анализа. И т.д.
Суммируя все это, я уверен, что даже до того, как антируткит научится работать со скриптами, он будет интересен и в сообществе Хелперов.
 
Уже невозможно - конвертировал раздел в NTFS. :)

Тоже правильно :)

Все проблемы с антируткитом и FAT, которые наблюдались до сих пор, возникали из-за ошибок в ФС. Чекдиск всегда помогал.
 
Сейчас буткиты можно задетектировать только по косвенным признакам (наличие перехватов в IRP, скрытые драйвера и т.д.). Функционала, который однозначно определит модифицированный MBR, в данной версии продукта нет. Задача сложная, потому мы к ней постепенно подбираемся.
 
Назад
Сверху Снизу