20.04.2012, 15:06 | #1 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Как начать практически использовать uVS
вот где с этого момента uVS стало возможным использовать на форумах для лечения активного заражения удаленных пользователей.
Цитата:
1. обзавестись виртуальной машиной, типа VMware, VirtualBox чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются. 2. Следует освоить технологию создания загрузочных дисков, например pebuilder, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.) 3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен. 4. Плюсы uVS: + "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий; + накопление собственной базы сигнатур, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума; + автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального; + компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла; + uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей. Официальный форум поддержки uVS ---------- тема создана для консультирования по работе с uVS для посетителей форума. Последний раз редактировалось safety; 24.12.2012 в 14:13. |
|
20.04.2012, 15:08 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Подготовка образа автозапуска антивирусной утилиты uVS
---------- http://pchelpforum.ru/showpost.php?p=593305&postcount=3 |
20.04.2012, 15:11 | #5 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
инструкция для хелпера. (с), Кузнецов Дмитрий.
================================================== =========== Команды: ------------------------------------------------------------- BREG Бэкап реестра ------------------------------------------------------------- VREG Виртуализация реестра ------------------------------------------------------------- AREG Актуализация реестра ------------------------------------------------------------- DELREF файл Удалить все ссылки на объект ------------------------------------------------------------- DELALL файл Выгрузить и удалить все ссылки на файл вместе с файлом ------------------------------------------------------------- ZOO файл Поместить копию файла в Zoo ------------------------------------------------------------- DELMZ файл Лишить файл статуса исполняемого ------------------------------------------------------------- BL хэш_md5 размер_файла_в_байтах Запретить исполнение файла с таким хэшем и размером ------------------------------------------------------------- ADDSGN сигнатура длина имя Добавить/Обновить сигнатуру ------------------------------------------------------------- DELHST строка из HOSTS Удалить соотв. строку ------------------------------------------------------------- REGT число Применить соотв. твик: 1 Разблокировать диспетчер задач 2 Разблокировать редактор реестра 3 Разблокировать свойства папки 4 Автоматическая перезагрузка в случае BSOD 5 Отключить автозапуск для всех пользователей 6 Отключить восстановление системы 7 Автоматический перезапуск оболочки (включить) 8 Автоматический перезапуск оболочки (выключить) 9 Отключить скрытие расширений исполняемых файлов 10 Включить отображение скрытых файлов 11 Включить поддержку DCOM 12 Сброс значений ключей Winlogon в начальное состояние 13 Удалить все Persistent routes 14 Очистить HOSTS 15 Разрешить отображение вкладки Экран->Рабочий стол 16 Разрешить отображение вкладки Экран->Заставка 17 Полная очистка ключей Safer\CodeIdentifiers\0\Paths 18 Снять ограничения на запуск приложений в Exlporer-е 19 Снять ограничения на запуск по хэшу, установленные uVS-ом 20 Восстановить испорченные значения ImagePath 21 Восстановить из копии ключ SafeBoot 22 Восстановить из копии параметры запуска файлов ------------------------------------------------------------- SFCALL Запус sfc /scannow и ожидание завершения ------------------------------------------------------------- SFC файл Проверка и восстановление отдельного файла ------------------------------------------------------------- CHKLST Проверить список ------------------------------------------------------------- DELNFR Безопасное удаление отсутствующих ------------------------------------------------------------- DELTMP Очистка корзины и удаление временных файлов ------------------------------------------------------------- DELVIR Убить все найденные вирусы ------------------------------------------------------------- EXEC Запустить указанный файл с параметрами и ЖДАТЬ завершения ------------------------------------------------------------- UIDEL Удалить ключ с Uninstall Information для указанного деинсталятора. ------------------------------------------------------------- RESTART Перезагрузить ----------- полная документация по uVS в каталоге doc в папке с uVS. Последний раз редактировалось safety; 20.04.2012 в 15:18. |
20.04.2012, 16:18 | #8 (ссылка) |
Новичок
Регистрация: 08.10.2011
Сообщений: 579
Репутация: 43
|
Вчера лечил систему зараженную вирусом, все екзещники открывались через муз.проигрователь. При этом AVZ не видел нарущение ассоциирования файлов. Выполнил пункт восстановления №1 AVZ, безрезультатно, применил твик по фиксу екзещников, тоже без результата. Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было.
|
Ads | |
20.04.2012, 16:39 | #9 (ссылка) |
Стажёр
|
Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
Причем детект на файлы проходил рандомно..например на установщик 7zip и на хром.. и еще на пару легитимных файлов.. |
20.04.2012, 18:10 | #14 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
нет конечно, сигнатуры полезны для быстрого анализа и составления скрипта. Но надо иметь ввиду, что может быть ложное срабатывание.... в этом случае необходимо увеличивать длину активной части сигнатуры. по которой идет проверка. При полном совпадении с сигнатурой по 64байтам если вы уверены что это ложное срабатывание сигнатуру безжалостно удалить. и использовать для удаления файла delall. Часто по сигнатуре от tASKMNG.EXE (Styerlown - детект по Микрософт) много детектируется чистых файлов.
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Не запускается практически ни одна из программ. | djabr3 | Безопасность | 11 | 20.12.2011 01:45 |
Перестали устанавливаться практически все игры | AQUA46 | Windows 7 | 1 | 15.06.2011 03:33 |
Ошибки практически во всех программах | Gluk1 | Windows Vista | 1 | 20.03.2011 18:31 |
Практически не работает комп( хеелп | KuBiK | Неисправности, настройка | 40 | 25.12.2009 23:36 |
Не устанавливаются практически ни одна игра | fitil007 | Железо | 20 | 16.06.2009 16:42 |