Как начать практически использовать uVS

[safety]

это визуальный пример: как создавать простые и сложные критерии. а как, и кто будет создавать критерии - это уже должна работать логика, этому труднее научить... этому уже в ВУЗ-ах и колледжах учат на прикладной математике.
---------
(я просто добавил правило: ссылка ~ newdriver)

[Arkalik]

Цитата:

Сообщение от safety

жалуется, типа вылетают запускаемые приложения с ошибкой "не win32"

По этим данным похоже на Sality, но Редактор реестра - Диспетчер задач - Свойства папки не заблокирован и ошибки win32 нету:

Цитата:

(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MMC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\REGEDIT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\LOGONUI.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\NTSD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSDTC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CMD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\TASKMGR.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSPAINT.EXE

Цитата:

Сообщение от RP55.RP55

Аналог: http://rghost.ru/41469478
Будет легче

По инструкций и по логам RP55.RP55 создал критерий поиска, оцените

Цитата:

Удовлетворяет критериям
NEWDRIVER (ССЫЛКА ~ SERVICES\NEWDRIVER)(1) AND (IMAGEPATH ~ MOKOM.SYS)(1)

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\I magePath
ImagePath \??\C:\WINDOWS\mokom.sys
newdriver тип запуска: При инициализации ядра (1)

[safety]

критерий сделан правильно, имя драйвера здесь необязательно уточнять, достаточно простого правила.
-----------
подсказываю по симптому, файловое заражение есть, но не sality

[RP55.RP55]

Так и надо написать.
Вирус меняет своё имя.
Вывод: Задавать критерий поиска по имени нельзя.
В силу того, что при смене/изменении имени критерий не сработает.
что приведёт к пропуску вируса при проверке.
Это относиться и к SHA1 файла.
И привести пример устойчивых значений.
Это:
расширение файла.
отсутствие/наличае цифровой подписи.
тип старта/запуска/приоритета

[safety]

RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.

[RP55.RP55]

+
Если есть сомнение в критерии - его надёжности
рекомендую задавать значения для сложного критерия через Или.
т.е. нет одного значения сработает другое.

---------- Добавлено в 23:10 ---------- Предыдущее сообщение было написано в 23:08 ----------

Цитата:

Сообщение от safety

RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.

Хорошо.
Только сразу нужно учить так, чтобы потом не переучивать.

[safety]

напиши рекомендации по созданию критериев в виде небольшой статьи - это будет полезнее, чем заниматься здесь разговорами.
------
+ добавлю, что цель здесь (в статье) не ставится научить человека понимать мат_логику, это далеко выходит за рамки статьи, цель - показать как вообще создаются критерии.

[Arkalik]

safety, Да это же Virus.Win32.Neshta.a

Цитата:

После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%\svchost.com

Цитата:

Имя файла SVCHOST.COM
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 0 байт
Создан 15.09.2012 в 21:39:27
Изменен 05.11.2012 в 14:14:02
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E

Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*

Рекомендацию к пользователю:
Компьютер заражен файловым вирусом Neshta, пролечите систему с помощью Live.CD
DrWeb
http://www.freedrweb.com/livecd/
или ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/

[safety]

хорошо, допустим юзер вылечит систему от neshta (это правильный диагноз), но теперь exe файлы не запускаются. это надо (и можно) пролечить скриптом в uVS

[Arkalik]

Цитата:

Сообщение от safety

но теперь exe файлы не запускаются. это надо (и можно) пролечить скриптом в uVS

По предыдущему логу, очистил от тулбаров:

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRU~1.EXE UNINSTALL
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 22
deltmp
delnfr
restart

[safety]

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

[Arkalik]

Цитата:

Сообщение от safety

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

safety, Вы хотите сказать, что невозможно запустить UVS из-за поврежденного ключа exe файлов?

[safety]

да, в этом случае надо переименовывать start.exe в start.pif или ***.cmd и скриптом исправить ассоциацию на exe

[Arkalik]

Цитата:

Сообщение от safety

да, в этом случае надо переименовывать start.exe в start.pif или ***.cmd и скриптом исправить ассоциацию на exe

Спасибо, но я знал про это

[safety]

Цитата:

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

здесь имею ввиду, что reg22 не сработает на восстановление, поскольку по условию копия рееестра из Repair не сохранилась (а в Vista/Win7 ее там нет)... надо вручную прописать в команде скрипта восстановление ассоциации