Universal Virus Sniffer

Тема в разделе "Антивирусные сканеры", создана пользователем 0eck, 14 апр 2014.

↑ ↓
  1. 0eck Заблокирован
    0eck
    Ответить в чате

    Заблокирован

    Регистрация:
    05.01.2013
    Сообщения:
    4.339
    Симпатии:
    17.573
    Пол:
    Мужской
    Репа:
    +17.638 / 20 / -26
    Universal Virus Sniffer
    Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.
    Уникальные возможности:
    01. Три основных режима: работа с активными, неактивными, удаленными системами.
    02. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
    02. Создание образов автозапуска. (например для удаленного помощника).
    03. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
    04. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
    05. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
    06. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
    07. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
    08. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписей под чистой системой]
    09. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
    10. Обнаружение скрытых DLL в адресном пространстве процесса.
    11. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
    12. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
    13. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
    14. Бэкап реестра с его дефрагментацией и восстановлением.
    15. Выявление исполняемых файловых потоков.
    16. Виртуализация реестра.
    17. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.
    Общий F.A.Q.
    Q: Зачем нужен uVS?
    A: Для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами.
     
    Q: Минимальные требования к пользователю?
    A: Должен уметь руками убивать простые трояны и иметь основные познания в устройстве системы.
      Т.е. продвинутый пользователь хорошо знакомый с реестром Windows.

    Q: Является ли uVS заменой антивирусу?
    A: Нет. uVS предназначен для борьбы с вирусами, которые не способен опознать ИЛИ убить ваш любимый
      антивирус с ТЕКУЩИМИ антивирусными базами.

    Q: Является ли uVS полной заменой vscan-а 1.x?
    A: Полностью. Проект vscan закрыт.

    Q: Стоит ли запускать uVS в нормальном режиме, не лучше ли сразу запустить в безопасном?
    A: uVS предназначен для запуска именно в зараженной системе и именно в нормальном режиме.

    Q: Системные требования uVS?
    A: Win2k, WinXP x86/x64, Win2k3 x86/x64, Vista x86/x64, Win7 x86/x64,
      возможно Win2k8 x86/x64, WinPE.
      45mb+свободной оперативной памяти (+память под реестр), пароль/логин администратора,
      (!) Проверка в Windows PE 1.x возможна на компьютерах со 64(и более)Mb оперативной памяти.
          (проверка цифровых подписей НЕ_доступна)
      (!) Проверка в Windows PE 2.x-3.x возможна лишь на компьютерах с 384(и более)Mb.
          (проверка цифровых подписей доступна)

    Q: Чем uVS отличается от подобного ПО?
    A: http://dsrt.dyndns.org/uvs.htm

    Q: У меня не получается запустить uVS, что я делаю не так?
    A: Правильный способ:
      Для начала uVS рекомендуется хранить в архиве.
      Разворачивать архив непосредственно на зараженной машине в каталог
      не имеющий ограничений на запись.
      Соотв. запуск uVS непосредственно с CD/DVD-ROM или защищенной от записи флешки невозможен.

    Q: Чем отличается запуск uVS под LocalSystem от обычного запуска?
    A: LocalSystem имеет максимальные права доступа к реестру и файловой системе,
      но не имеет доступа к сети.
      Обычный запуск обеспечивает uVS теми правами, что имеет текущий пользователь.

    Q: Почему диспетчер задач показывает некий процесс
      со странным именем без расширения, а uVS его не видит?
    A: uVS запускается под случайным именем – соотв. возможно это он и есть.

    Q: Почему uVS показывает только один процесс svchost.exe, ведь их много?
    A: uVS работает с файлами, один файл - одна запись. Выгрузка или команда на
      уничтожение выгружает все процессы соотв. этому файлу.

    Q: Почему uVS не показывает LNK-файлы в автозапуске?
    A: uVS извлекает из LNK ссылки на файлы и добавляет в список реальный объект автозапуска.
      LNK добавляется в список только в случае если он испорчен, либо он НЕ является LNK, либо
      uVS не поддерживает данный тип LNK.
      LNK-файлы указывающие на отсутствующий файл находятся в соотв. разделе.
      LNK удаляется синхронно с самим объектом автозапуска.

    Q: Можно ли узнать почему файл помечен "подозрительным"?
    A: Даблклик.

    Q: Что делает "Удалить все ссылки на файл"?
    A: Ссылки в реестре, lnk/pif файлы и т.п. указывающие на этот файл уничтожаются.
      (!) Команда исполняется немедленно без вопросов.

    Q: Что делает "Удалить все ссылки вместе с файлом"?
    A: Все исполняющиеся копии файла насильно выгружаются и уничтожаются ссылки на них,
      затем удаляется сам файл.
      (!) Команда исполняется немедленно без вопросов.
     
    Q: Почему не_активна кнопка "Проверить список"?
    A: Список сигнатур пуст, соотв. не на что проверять.

    Q: А почему тогда активна кнопка "Проверить каталог"?
    A: Проверка каталога не только ищет вирусы, но и подозрительные файлы в этом каталоге.

    Q: Почему при проверке каталога проверяются и отдельные файлы вне его?
    A: LNK файлы находящиеся внутри проверяемого каталога могут указывать куда угодно, соотв. uVS
      проверяет все файлы на которые указывает каждый LNK файл.

    Q: Почему uVS поставляется с пустой базой сигнатур?
    A: uVS не антивирус, базу заполняет сам пользователь только тем, что ему
      необходимо в данный момент времени для успешного лечения.

    Q: Как добавить вирусную сигнатуру?
    A: Правой кнопкой по элементу списка или кнопкой "Добавить вирусы"
      можно указать на файл(ы).

    Q: Для чего нужна длина сигнатуры?
    A: Чем меньше длина тем выше вероятность ложного срабатывания.
      8 байт подходит почти для всего.
      Для полиморфов и файловых вирусов она может быть 5,
      будет очень сложно
      Для некоторых троянов требуется 32 байта.
      Для DLL рекомендуется указывать 64 байта.
      (!) Для серьезных полиморфов сигнатурный движок uvs совершенно бесполезен,
      (!) в этом случае без хорошего антивируса победить заразу (особенно удаленно) будет очень сложно.

    Q: Можно ли менять длину уже существующей сигнатуры?
    A: Да.

    Q: Почему uVS не хочет добавлять сигнатуру из указанного файла?
    A: Добавление сигнатур возможно лишь из исполняемых файлов.

    Q: Как убить найденные вирусы?
    A: Есть 2 пути простой и правильный.
      Изложу правильный:
      Каждого обнаруженного зловреда необходимо внести в базу, затем проверить
      список нажав соотв. кнопку, убедиться, что нет ложных срабатываний и затем
      нажать кнопку "Убить вирусы". Этот способ гарантирует с вероятностью близкой
      к 100%, что ни один активный вирус из внесенных в базу не выживет, даже если
      один из вирей поддерживает другой.

    Q: Зачем нужен Zoo?
    A: Для сбора сэмплов и последующего их опознания.

    Q: Что такое "известный модуль"?
    A: Это файл имеющий определенное имя и лежащий по определенному пути.
      Списки известных модулей для каждой ОС независимы друг от друга и включают в себя базовый набор
      системных файлов.

    Q: В “известные” можно добавлять что угодно?
    A: Да, однако лучше обойтись без излишнего фанатизма.
      \Program files и \Windows не привязаны к конкретному диску, все остальное
      добавляется по абсолютному пути.

    Q: Почему так долго сохраняется реестр?
    A: В процессе происходит дефрагментация и восстановление реестра.
      (время выполнения сильно зависит от флага bFastBackup).

    Q: Как починить поврежденный реестр?
    A: Запустить uVS выбрав каталог системы с поврежденным реестром, затем сделать бэкап реестра
      и выполнить восстановление. В процессе реестр будет исправлен и дефрагментирован.

    Q: Как восстановить реестр из бэкапа uVS если Windows отказался грузиться?
    A: Загрузиться с диска/флешки и в windows\system32\config скопировать файлы
      system.uVS и software.uVS вместо system и software соотв.

    Q: Как открыть ссылку на ключ запуска в редакторе реестра?
    A: Открыть окно информации о файле и даблклик по нужной ссылке.

    Q: Тест на скрытые драйверы находит все руткиты?
    A: Нет, лишь определенный их тип. Для обнаружения любых руткитов используйте файл сверки и
      проверку цифровой подписи под WinPE не младше 2.0.

    Q: Как избавиться от найденных руткитов? Указанных uVS файлов на диске нет.
    A: см. соотв. файл.

    Q: Как запустить uVS с CD/DVD диска в т.ч. и при вставке диска.
    A: _autorun.zip

    Q: Что означает поле статус в информации о файле.
    A:
    АКТИВНЫЙ
    Процесс/Драйвер загруженный в память (по мнению системы).
    Загруженная библиотека (DLL)        (по мнению uVS).

    ВИРУС
    Файл опознанный как вирус, но его сигнатура не найдена в базе.

    Имя_вируса(глубина_совпадения_сигнатуры)+VT
    Файл опознанный как вирус (по сигнатуре из пользовательской базы данных).
    "+VT" означает что диагноз был подтвержден на VirusTotal.com.
    ?ВИРУС?
    Возможно вирус по данным VirusTotal.com
    (файл детектится как минимум одним из антивирусных движков)

    ВНЕДРЯЕМЫЙ
    Неизвестная DLL обнаруженная в адресном пространстве uVS или одного из процессов на базе
    ИЗВЕСТНОГО файла.

    ИЗВЕСТНЫЙ
    Файл имеющий определенное имя и лежащий по определенному пути внесенный в базу известных файлов.
    (не путать с ПРОВЕРЕННЫМ, содержимое файла не верифицировано!)

    ПРОВЕРЕННЫЙ
    Файл прошедший проверку цифровой подписи или проверку хэша (по SHA1) или статус "проверенный"
    был присвоен файлу пользователем вручную (в окне информации о файле).

    ПОДОЗРИТЕЛЬНЫЙ
    Файл на который стоит обратить внимание, причина добавления в подозрительные
    указана в информации о файле.

    АВТОРАНОВЫЙ
    Прописан в autorun.inf, находящемся в корне одного и логических дисков.
    драйвер/сервис (в т.ч. отключенный)
    Ясно из названия.
    Прим. я использую слово "сервис" вместо официального "служба".

    DLL
    Библиотека/модуль.
    сервисная_DLL
    DLL прописаная в ServiceDLL / Library / ProviderPath одного из сервисов.

    в Zoo
    Файл находится в Zoo.

    в автозапуске
    Файл МОЖЕТ запуститься автоматически без участия пользователя.
    (МОЖЕТ - означает, что это и сервисы в режиме ручного запуска)
    Следует понимать, что такой статус имеют не только те файлы на которые указывает ссылка
    в реестре, линк в автозагрузке и т.п. Но и те что в общем случае запустятся обязательно
    не взирая ни на что (например NTDLL.DLL).

    Firefox_плагин, Opera_плагин
    Ясно из названия

    [system.ini]
    Файл указан в system.ini

    [СЕТЕВАЯ_АКТИВНОСТЬ]
    Процесс на базе данного файла проявляет сетевую активность, т.е. владеет открытым портом или
    как минимум пытается установить соединение в т.ч. и с localhost.
    (только для TCP/TCP6, UDP/UDP6)

    [SAFE_MODE]
    Файл участвует в автозагрузке одного из вариантов безопасного режима.
    Неизвестные файлы с таким статусом обычно являются зловредами.

    [SVCHOST]
    Файл прописан в ServiceDLL / Library / ProviderPath сервиса на базе _известного_ svchost.exe

    [файловый поток]
    Ясно из названия

    загрузчик
    файлы ntldr, bootmgr и т.п. в корнях логических дисков (т.е. не только загрузчики акт. системы)

    [Запускался неявно или вручную]
    _Существующий_ файл, который не содержится в автозапуске, НО п.н. запускался в прошлом,
    соотв. либо пользователем, либо системой, либо каким-то процессом, либо он в автозапуске,
    но uVS об этом ничего не знает.

    добавлен вручную
    Файл, НЕ в автозапуске был добавлен специальной функцией в соотв. с фильтром по дате,
    либо каким-либо другим способом, но всегда строго по требованию пользователя.

    Q: Для чего все эти файлы без расширений?
    A: – тестовый файл для ловли файловых вирусов (зашифрован)

    bl.log - В файле сохраняются хэши файлов (MD5) запрещенных к запуску с помощью uVS.
    Для включения ведения лога в Settings.ini укажите в секции [Settings] значение bLogBL=1

    - списки известных модулей для соотв. OS
    (в открытом виде UTF8, km*.x64 для x64 систем)

    – база сигнатур (зашифрован) этот файл можно использовать
    с любой версией uVS.

    - база проверенных файлов.

    - база поисковых критериев. (текстовый файл)

    – бэкап start.exe  (зашифрован)

    – бэкап startf.exe (зашифрован)

    - локализация uVS (зашифрован)

    – тело uVS (зашифрован)

    - модуль для подключения к удаленному компьютеру (зашифрован)

    Q: Для чего нужен xMD5?
    A: xMD5.exe предназначен для внесения хэшей из bl.log в реестр.
    xMD5 можно запускать с параметром (ip адрес или имя компьютера) или запускать без параметра
    для внесения хэшей в реестр активной системы.
    (Для применения изменений можно использовать gpupdate /force и/или перезагрузить целевой компьютер)

    Q: Какие дополнительные параметры можно настроить в settings.ini?
    [Settings]
    при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария
    bAddComment  = 1 (1 по умолчанию)

    Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)
    bAutoZooOnDelAll = 1 (0 по умолчанию)

    Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или
    при добавлении сигнатуры файла в _базу_
    (!) только для ручного добавления сигнатуры
    = 1 (0 по умолчанию)

    Автоматически добавлять команду "ZOO" в скрипт для всех найденных вирусов (по F7).
    Команда НЕ добавляется если она уже присутствует в скрипте для данного файла.
    bAutoZooOnF7 = 1 (0 по умолчанию)

    Автоматически добавлять команду "BL" в скрипт для всех найденных вирусов (по F7).
    bAutoBLOnF7 = 1 (0 по умолчанию)

    0 = Не создавать файл с логом.
    1 = Создавать лог в каталоге Zoo _перед выполнением команды CZOO.
    2 = Создавать лог _после выполнения скрипта в корневом каталоге uVS.
    3 = Создавать оба лога.
    bSaveScrLog = 2 (2 по умолчанию)

    при добавлении файла в Zoo (не для сетевого режима) помещать в Zoo файл с описанием.
    bSaveZooFileInfo  = 1 (1 по умолчанию)

    Дополнительно сканировать D&S/Users и загружать найденные профили пользователей, даже
    если их НЕТ в списке профилей пользователей, проверяемой системы.
    bAllProfiles  = 1 (0 по умолчанию)
    вести лог файлов запрещенных к запуску по MD5 хэшу
    bLogBL=1

    Управление загрузкой в сетевом режиме.
    bNetFastLoad  = 0 (0 по умолчанию, обычный  запуск)
    1 (не считывать список автозапуска)
    2 (не считывать список автозапуска и открыть удаленный рабочий стол)

    Сохранять при выходе размер и позицию окна
    bSaveWndPos = 1 (0 по умолчанию)

    Быстрый бэкап ключей реестра 1:1 (без дефрагментации результата)
    Этот параметр влияет на работу всех функций связанных с сохранением/копированием ключей.
    Параметр игнорируется если uVS работает в Windows 2000.
    Параметр всегда равен 1 для сетевого режима.
    bFastBackup = 1 (1 по умолчанию)

    Количество одновременных потоков для закачки файлов из интернета.
    Допустимые значения от 1 до 16
    MaxInetThreads = 4 (4 по умолчанию)

    Автоматически архивировать созданный образ автозапуска.
    При наличии в системе 7-Zip/WinRAR.
    bZipImage = 1 (1 по умолчанию)
    Автоматически проверять список при открытии образа
    ImgAutoF7 = 1 (1 по умолчанию)

    Автоматически проверять список по базе поисковых критериев
    ImgAutoAltF7 = 1 (1 по умолчанию)
    Автоматически проверять список по базе проверенных файлов при открытии образа
    ImgAutoF4 = 1 (1 по умолчанию)

    Имя пользовательской базы проверенных файлов
    Sha1Name (по умолчанию SHA1)

    Секция APP
    [APP]
    Внешний файловый менеджер
    Поддерживаются относительные пути.
    FM

    Используемый браузер (полный путь без кавычек)
    Выбор браузера доступен в меню "Настройка".
    Поддерживаются относительные пути.
    Browser (по умолчанию используется дефолтный)

    Используемый текстовый редактор
    Выбор редактора доступен в меню "Настройка".
    Поддерживаются относительные пути.
    TextEditor (по умолчанию используется notepad)

    Q: Почему uVS стартует очень медленно?
    A: Возможно у вас подключен кардридер или док-станция. Windows пожизненно плохо работает
    со съемными устройствами, ускорить процесс загрузки поможет перезагрузка системы
    или отключение ридера.

    Q: Есть ли горячие клавиши?
    A: Горячие клавиши:
    Esc - Сбросить фильтр (по имени файла).
    Backspace - Удалить последний введенный символ в строке фильтра.
    F1 - Скрыть/показать известные и проверенные файлы.
    Ctrl+F1 - Скрыть/показать проверенные файлы.
    Alt+F1 - Скрыть/показать известные  файлы.
    F2 - Скрывать файлы с указанным в информации о файле производителем.
    Отсутствующие файлы тоже скрываются.
    F3 - Считать "производителя" и сигнатуры для всех файлов в списке.
    (для которых они еще не считаны)
    Ctrl+F3 - Включить автосчитывание "производителя" и сигнатур для всех файлов в списке.
    - Проверка хэшей файлов в списке по базе проверенных файлов
    - Обновить список автозапуска.
    - Проверка цифр. подписей файлов в списке.
    - Проверить список автозапуска на вирусы.
    - Поднять/опустить главное окно
    - Скрыть все перекрывающие окна и опознать их владельцев
    Shift+F10 - Контекстное меню файла.
    Ctrl+O - Открыть образ автозапуска.
    Сtrl+P - Режим сканирования процессов. (альтернативный режим выявляет скрытые процессы)
    Ctrl+S - Сохранить список.
    Сtrl+B- Блокировать/разблокировать запуск служб.
    Enter - Информация о файле.
    Del - Удалить из списка.
    Alt+Del - Очистить корзину, удалить временные файлы затем удалить ссылки на отсутствующие
    Alt+Up - Предыдущая категория
    Alt+Down - Следующая  категория
    Alt+F - Запустить внешний файловый менеджер с повышенными привилегиями.
    Alt+L - Режим просмотра лога.
    Alt+S - Сохранить скрипт.
    Alt+T - Твики.
    Alt+U - Открыть окно установленных программ
    Alt+V - Удаленный рабочий стол
    Страница загрузки
    Страница программы Сайт автора
     
    • Мне нравится Мне нравится x 5
  2. 0eck Заблокирован
    0eck
    Ответить в чате

    Заблокирован

    Регистрация:
    05.01.2013
    Сообщения:
    4.339
    Симпатии:
    17.573
    Пол:
    Мужской
    Репа:
    +17.638 / 20 / -26
    Удаление вирусов/троянов с помощью Universal Virus Sniffer
    Введение

    Антивирусная утилита Universal Virus Sniffer является мощным инструментом для борьбы с различными зловредами. Рассчитана она на опытного пользователя, т.к. в неумелых руках может причинить больше вреда чем пользы, но когда пользователь видит только одно решение вирусное проблемы - переустановка Windows, то почему бы не попробовать излечить компьютер профессиональным инструментом? К тому же данная инструкция написана в стиле "от простого к сложному" и начальная ее часть позволяет избавится от вирусов, которые не может победить установленный антивирус (включая разные антивирусные сканеры), пользователю без спецзнаний.
    :: Подготовка

    Скачайте программу Universal Virus Sniffer (UVS) с официального сайта: http://dsrt.dyndns.org/uvsfiles.htm Скаченный архив разархивируйте.
    Затем по ссылке выше скачайте архив "База проверенных файлов", его содержимое (файл MAIN) извлеките в папку SHA, которая находится в папке программы UVS.
    Если сайт разработчика программы UVS в данный момент не доступен, то скачайте с файлообменника: http://depositfiles.com/folders/A5PK4YRKA Скачивайте файл последней версииuvs_vXXXpack_ru.zip, в нем уже будет "База проверенных файлов", правда, не факт что самая свежая, но при невозможности скачать с официального сайта - это уже будет хорошо.
    Бывает так, что на зараженном компьютере проблемы с доступом в интернет, тогда произведите действия выше на здоровой системе, запишите результат на флэшку и используйте ее на зараженном компьютере.
    На зараженном компьютере запустите программу UVS с помощью файла start.exe , а в случае сложного заражения (вирус активно сопротивляется уничтожению) используйте файлstartf.exe. Если Windows версий Vista/7/8, то необходимо запускать программу щелчком правой кнопки мыши по файлу и выбора пункта "Запустить от имени администратора".
    Есть зловреды, которые блокируют запуск антивирусных программ (да и вообще всех программ), например, один известные поддельный (фэйковый) антивирус, в этом случае переименуйте файл startf.exe в winlogon.exe и запускайте его. Если все равно утилита не запускается, то найдите в папке UVS файл "_unlock.inf", вызовите контекстное меню щелчком правой кнопки мыши по файлу, выберите "Установить".
    [​IMG]
    Выберите «Запустить под LocalSystem (максимальные права, без доступа к сети)» или «Запустить под текущим пользователем». Открывается главное окно утилиты UVS, с выбранной вкладкой «Подозрительные и вирусы» в которой отображены вирусы, а также файлы и процессы, которые показались подозрительными утилите UVS.
    Нажмите клавишу F4 для скрытия известных файлов, подождите пока UVS анализирует систему. Появится галка "Скрыть известные". Затем нажмите клавишу F6 и подождите покаUVS проверят цифровые подписи файлов. Затем поставьте галку на "Скрыть известные".
    [​IMG]
    Т.к. сейчас изучаем вкладку подозрительных, то особое внимание разделу "Статус", чтобы понять почему UVS посчитала файл подозрительным, а также внимательно изучите остальную информацию. В принципе, т.к. скрыли показ известных файлов и подписанных, то в данной вкладке не должно остаться критичноважных чистых файлов, которые были бы ложно определены как подозрительные. Предлагаю приступить к уничтожению вирусов.
    Добавьте сигнатуры подозрительных файлов в вирусную базу UVS. Чтобы занести сигнатуру подозрительного файла в базу, щелкните правой кнопкой мыши по записи и выберите "Добавить сигнатуру файла в вирусную базу".
    [​IMG]
    Появится окно, в котором необходимо придумать имя вирусу. В случае, если UVS предлагает длину сигнатуры 8, то советую увеличить до 32 (воизбежание ложных срабатываний).
    [​IMG]
    Нажмите "Ok".
    Снимите (добавьте) сигнатуры со всех действительно подозрительных файлов. Затем нажмите кнопку "Проверить список". Файлы с вирусными сигнатурами будут выделены красным цветом, а в колонке "Статус" будут отображены имена вирусов, которые вы им дали.
    [​IMG]
    Простой вариант лечения - часть вторая

    Данную часть выполняйте только если есть доступ в интернет на зараженном компьютере, иначе переходите к третьей.
    Программа Universal Virus Sniffer позволяет сверить хэши файлов исследуемой системы с хэшами, которые известны таким сервисам как VirusTotal.com и virusscan.Jotti.org (если не знаете что это - доверьтесь своей интуиции). Если другими словами, то UVS позволяет проверить файлы исследуемой системы более чем тридцатью антивирусами онлайн. Для этого:"Подпись/Хэш" -> "Проверить все НЕПРОВЕРЕННЫЕ файлы на VirusTotal.com" или "Подпись/Хэш" -> "Проверить все НЕПРОВЕРЕННЫЕ файлы на virusscan.Jotti.org".
    [​IMG]
    После того как утилита проверить хэши файлов, результаты будут отображены во вкладке "Подозрительные и вирусы" (сейчас с ней как раз и работаем).
    Файлы с положительным детектом получат статус "?ВИРУС?", а в колонке "Производитель" будет отображено количество антивирусов, которые посчитали файл зараженным
    [​IMG]
    Двойном щелчок по записи, чтобы узнать подробности детекта.
    [​IMG]
    Здесь проанализируйте результаты, какие антивирусы посчитали файл зловредным и имя вируса. Помните, что любой антивирус имеет ложные срабатывания, поэтому если только какой-то один антивирус посчитал файл зловредным, то стоит дважды подумать перед удалением файла. Особенно детекты мало известных антивирусов должны подвергаться сомнению.
    Если вы посчитали результаты онлайн анализа верными, добавьте сигнатуры зараженных файлов в вирусную базу UVS (как - смотри выше). Далее нажмите "Проверить список", "Убить все вирусы".​
    :: Простой вариант лечения - часть третья

    Если не уверены, что сможете выполнить эту часть, то переходите к "последним штрихам"!
    В этой части лечения необходимо будет анализировать зловредность записей самому, поэтому давайте разберем некоторые критерии подозрительности. Файл подозрителен, если:
    • странное расположение файла;
    • странное имя файла;
    • странное расширение файла;
    • отсутствие Производителя;
    • дата создания/изменения;
    • отсутствие/подозрительные версии, описания, названия продукта, Copyright;
    • загруженные неизвестные DLL
    Записи во вкладках, рассмотренных ниже, могут быть как зловредными, так и безопасными (необходимыми!) - внимательно анализируйте данные, не удаляйте (не добавляйте сигнатуры) с записей, если не уверены в правильности своих действий.
    Выберите вкладку "Основной автозапуск". В этой вкладке также отображен автозапуск браузеров, поэтому не обращайте внимание на записи "ABOUT:BLANK", "HTTP://WWW.MICROSOFT.COM/...".
    Посмотрите на скриншот:
    [​IMG]
    Явно подозрительный файл QQEXTRENAL.EXE, двойной щелчок мыши по нему, чтобы получить больше информации:
    • Полное имя C:\WINDOWS\SYSTEM32\JARINET\QQEXTRENAL.EXE
    • Статус в автозапуске
    • Оригинальное имя xxDown.exe
    • Версия файла 1.00
    • Продукт xxd
    • Производитель China
    • Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Q
    Полученная информация о файле позволяет сделать вывод, что это зловредный файл (подозрительное расположение файла, странное имя, странная информация о продукте, странный производитель, странная ссылка в реестре). Добавляем его сигнатуру в вирусную базу (как - см. выше). И так далее, снимаем сигнатуры со всех действительно подозрительных файлов.
    Затем аналогично отработайте вкладки "Процессы", "Сервисы", "AUTORUN.INF", "Задачи", "Процессы без видимых окон".
    Вкладки "Internet/Windows Explorer" и "Другие браузеры" помогут избавиться от зловредных тулбаров, самооткрывающихся сайтов и т.п. (сигнатуры снять не получится - удаляйте все ссылки на объект через правую кнопку мыши). На записи "ABOUT:BLANK", "HTTP://WWW.MICROSOFT.COM/..." не обращайте внимания - они нужные.
    [​IMG]
    [​IMG]
    [​IMG]
    Затем нажмите "Проверить список", "Убить все вирусы".​
    :: Последние штрихи

    После удаления вирусных файлов, следует почистить систему от потенциальных последствий заражения системы и остатков зловреда с помощью утилиты UVS.
    Выберите в верхнем меню "Дополнительно" -> "Твики". Появится окно с твиками, которые помогают убрать последствия заражения.
    [​IMG]
    Щелкните по следующим твикам:
    • Сброс ключей Winlogon в начальное состояние"
    • Снять ограничения на запуск приложений в Explorer-е
    Также обратите внимание на другие твики. Например, если после удаления зловреда недоступен Диспетчер задач, то вы можете выбрать соответствующий твик для исправления. Если в результате заражения оказались заблокированы какие-то сайты, то выберите твик "Очистить HOSTS".
    Затем "Дополнительно" -> "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие". Данным действием вы прибьете возможные остатки вируса.
    И как заключительных штрих: "Дополнительно" -> "Перезагрузить проверяемый компьютер".
    После перезагрузки компьютера запустите UVS и убедитесь, что файлы зловреда не "воскресли" вновь.​
    :: Если вирус активно сопротивляется

    В случае активного сопротивления зловреда попробуйте следующее способы:
    • Загрузитесь в Безопасном режиме Windows с поддержкой командной строки. В командной строке введите explorer и нажмите Enter - загрузится Проводник, далее запускайте UVS.
    • Выберите в UVS "Дополнительно" -> "Выгрузить ВСЕ неизвестные процессы и блокировать запуск служб" или "Выгрузить ВСЕ неизвестные/непроверенные процессы и блокировать запуск служб" или "Выгрузить ВСЕ процессы, кроме системных, блокировать запуск оболочки и запуск служб
    • Лечите с LiveCD.
     
    • Мне нравится Мне нравится x 5
Похожие темы:
  1. xatop
    Ответов:
    3
    Просмотров:
    1.953
  2. 0eck
    Ответов:
    5
    Просмотров:
    1.853
  3. Garo)
    Ответов:
    24
    Просмотров:
    5.533
  4. Garo)
    Ответов:
    0
    Просмотров:
    1.850
  5. Anubis
    Ответов:
    21
    Просмотров:
    6.916
Загрузка...

Поделиться этой страницей