Как начать практически использовать uVS
вот где с этого момента uVS стало возможным использовать на форумах для лечения активного заражения удаленных пользователей.
Цитата:
1. обзавестись виртуальной машиной, типа VMware, VirtualBox чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются. 2. Следует освоить технологию создания загрузочных дисков, например pebuilder, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.) 3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен. 4. Плюсы uVS: + "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий; + накопление собственной базы сигнатур, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума; + автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального; + компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла; + uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей. Официальный форум поддержки uVS ---------- тема создана для консультирования по работе с uVS для посетителей форума. |
Подготовка образа автозапуска антивирусной утилиты uVS
---------- http://pchelpforum.ru/showpost.php?p=593305&postcount=3 |
|
|
инструкция для хелпера. (с), Кузнецов Дмитрий.
================================================== =========== Команды: ------------------------------------------------------------- BREG Бэкап реестра ------------------------------------------------------------- VREG Виртуализация реестра ------------------------------------------------------------- AREG Актуализация реестра ------------------------------------------------------------- DELREF файл Удалить все ссылки на объект ------------------------------------------------------------- DELALL файл Выгрузить и удалить все ссылки на файл вместе с файлом ------------------------------------------------------------- ZOO файл Поместить копию файла в Zoo ------------------------------------------------------------- DELMZ файл Лишить файл статуса исполняемого ------------------------------------------------------------- BL хэш_md5 размер_файла_в_байтах Запретить исполнение файла с таким хэшем и размером ------------------------------------------------------------- ADDSGN сигнатура длина имя Добавить/Обновить сигнатуру ------------------------------------------------------------- DELHST строка из HOSTS Удалить соотв. строку ------------------------------------------------------------- REGT число Применить соотв. твик: 1 Разблокировать диспетчер задач 2 Разблокировать редактор реестра 3 Разблокировать свойства папки 4 Автоматическая перезагрузка в случае BSOD 5 Отключить автозапуск для всех пользователей 6 Отключить восстановление системы 7 Автоматический перезапуск оболочки (включить) 8 Автоматический перезапуск оболочки (выключить) 9 Отключить скрытие расширений исполняемых файлов 10 Включить отображение скрытых файлов 11 Включить поддержку DCOM 12 Сброс значений ключей Winlogon в начальное состояние 13 Удалить все Persistent routes 14 Очистить HOSTS 15 Разрешить отображение вкладки Экран->Рабочий стол 16 Разрешить отображение вкладки Экран->Заставка 17 Полная очистка ключей Safer\CodeIdentifiers\0\Paths 18 Снять ограничения на запуск приложений в Exlporer-е 19 Снять ограничения на запуск по хэшу, установленные uVS-ом 20 Восстановить испорченные значения ImagePath 21 Восстановить из копии ключ SafeBoot 22 Восстановить из копии параметры запуска файлов ------------------------------------------------------------- SFCALL Запус sfc /scannow и ожидание завершения ------------------------------------------------------------- SFC файл Проверка и восстановление отдельного файла ------------------------------------------------------------- CHKLST Проверить список ------------------------------------------------------------- DELNFR Безопасное удаление отсутствующих ------------------------------------------------------------- DELTMP Очистка корзины и удаление временных файлов ------------------------------------------------------------- DELVIR Убить все найденные вирусы ------------------------------------------------------------- EXEC Запустить указанный файл с параметрами и ЖДАТЬ завершения ------------------------------------------------------------- UIDEL Удалить ключ с Uninstall Information для указанного деинсталятора. ------------------------------------------------------------- RESTART Перезагрузить ----------- полная документация по uVS в каталоге doc в папке с uVS. |
В этой теме будет проходить обучение по работе с uVS?
Цитата:
|
не обучение, но скорее консультирование, чтобы в личке не отвечать на вопросы.
-------------- по 22: да, если есть копия исходная реестра, созданная при установке системы. |
Цитата:
|
Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
Причем детект на файлы проходил рандомно..например на установщик 7zip и на хром.. и еще на пару легитимных файлов.. |
У меня частенько, даже на сигнатурах 64 байта. Поэтому я особо вирусную базу не коплю, добавляю в базу проверенных в основном.
|
То есть, желательно удалять через DELALL по одному, чем через addsgn?
|
Цитата:
|
Цитата:
|
Цитата:
|
22 твик восстанавливает следующие ассоциации: bat, com, exe, hta, vbs, vbe, js , jse, wsh, wsf, scr, cmd, lnk, pif, msc, cpl
|
Цитата:
|
safety, Вот вот..скорей ложное и было ;)
---------- Добавлено в 17:57 ---------- Предыдущее сообщение было написано в 17:56 ---------- Ip_MEN, Может привилегий на ветку было недостаточно |
Да, скорее всего админских прав не хватало
|
Цитата:
|
safety, Конечно же речь идет о сигнатуре.Просто в начале не так выразился ;)
|
ну так все начинается с определений и терминов. ошибаешься в терминах - делаешь неверное заключение.
|
safety, Признаю,не так выразился,но подумал именно при сигнатуру ;) Т.к по сигнатуре у меня попали легитимы в списки зловредов..
А было так: Увидел подозрительный файлик проверил его на ВТ(т.е по md5) мне был выдан детект,после этого я добавил сигнатуру в вирусную базу..А после загрузки другого образа,у меня под подозрение,со статусом вируса(т.е добавленной сигнатуры),попали безобидные файлы... Если не прав,поправьте ;) |
об этом я написал в ответе Ip_MEN, что с сигнатурами надо осторожно работать. Ложное срабатывание может быть на файле, даже если есть совпадение по 64байтам с сигнатурой.
Плюсы очевидные: быстрота анализа и скорость составления скрипта. Минус - это возможное ложное срабатывание. Поэтому надо все уточнять при подозрительном детекте: по VT, по инфо из образа, по поиску в инете, по хэшам и именам на SystemExplorer.net |
safety, Я так и делаю.
|
Насчет сигнатур.
Глянь эти 2 лога uVS и ужаснитесь :D (сылки удалены) Удивляюсь порою как у таких людей системы еще дышат. Без сигнатур тут пришлось бы долго каждый файл отмечать и удалять. |
первый пример, скорее всего, какая была у человека коллекция вирусов, так всю обойму и всадил в систему, чтобы проверить - жива будет или мертва, а вот против Dorkbot (второй случай) иногда достаточно две три сигнатуры чтобы вывести все семейство из системы.
|
ну Dorkbot - это один из гостей :D
вместе с сигнатурой на GuardMail получилось 6 сигнатур во втором случае в первом - 14 |
Вопрос про логи uVS
Вложений: 1
Привет всем!
Ну вот я тут зарегистрировался чтобы учится к чему нибудь, чем гамать игру весь день. :) Но тут возникла одно проблема, в разделе "Безопасности" все скидывает логи uVZ. Все логи (avz, RSIT) кроме uVZ открывается в Блокноте. Но когда открываю логи uVZ через блокнот, там какие-та иероглифы (скрин внизу). Еще вопрос специалистом по "Безопасности": Вы сами создаете такие скрипты для удаление вирусов или закидываете куда-то и он автоматический делает скрипт? |
Вложений: 1
Arkalik,
образ самой программой и открывается автоматически никакие скрипты появиться не могут. все команды вручную создаются |
Цитата:
|
для начала гляньте папку Doc в папке с программой. там полно документации по ней.
программирование для этого не нужно знать. |
Angel-iz-Ada, а можите научить лечить этой утилитой
|
Цитата:
|
а ка насчет попытать разжевать на каком каком-нибуть реально примере.
|
читаем топик с самого начала, и не повторяем, то о чем уже здесь говорится и написано. примеров в разделе безопасность предостаточно.
|
после изучения документации спрашивайте что не ясно - будем подсказывать
|
То есть если научиться работать с uVS, не нужны будут другие антивирусы абсолютно?
|
uVS не защищает в режиме реальной защиты. он для лечения активного заражения
|
причем тут вообще AVZ? вроде тема по uVS и вопросы по нему
|
народ, будете спамить - закрою тему без вопросов. неужели не хватает знаний чтобы кратко формулировать вопросы и получать соответствующие ответы?
|
Часовой пояс GMT +4, время: 18:28. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.