Как начать практически использовать uVS

[Angel-iz-Ada]

Тут все верно, но не нужно по 150 раз использовать delall - ты добавляешь сигнатуру, блокируешь запуск по хэшу, приоставливаешь запуск вируса, удаляешь вирус. Потом опять тоже самое и так 3-4 раза. Это только время занимает. Эти вирусы в любом случае будут обнаружены при проверке списка и удалении (delvir) - вот пускай он за раз и снесет все вирусы.

 

[Аркалык]

По четвертому :
1. из автозагрузки вирус успешно удален, но антивирус все еще ругается на его присутствие в памяти. лечи дальше.

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B9EBA00608D4AE3A695C1244250179DE7605E0F1081F3943AFFDB077A6F73FA8C121DFC23EA884DE46158877F599047255532534D3885B148AA2565A 8 Win32/TrojanDownloader.Carberp.W (ESET)
bl FB7682419DB74492637FE96258280A19 165376
chklst
delvir
fixvbr C: 5
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://SOUNDTRACKI.INFO/
deltmp
delnfr
restart

Вот так Арвид?

 

[safety]

желательно при этом и карантин собирать удаляемых файлов.

 

[Аркалык]

желательно при этом и карантин собирать удаляемых файлов.

Создать такой скрипт?

 

[safety]

да, создай скрипт (с учетом этого замечания) на основе примера_задания 2, который есть в предыдущем моем сообщении. (ты его пока не выполнил.)

 

[Аркалык]

образ здесь
http://rghost.ru/41468310

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl C04DFFC9043F9A301D42858E797080DE 354816
addsgn A7679B19B96ECD5FB7DEEFB1F3C212054D10EEB7899212A3C5C33AA9B850314C80D938173E9298DDE2C0849F4616493D78B3DA3355DAB02C2DB0A10EE5472273 8 Win32/Spy.Shiz.NCF (ESET)
zoo %SystemRoot%\APPPATCH\VOJAIAD.EXE
chklst
delvir
delref HTTP://WWW.INET123.RU/
deltmp
delnfr
czoo
restart

Добавил вирус в архив.

 

[safety]

здесь желательно ДОПОЛНИТЕЛЬНО использовать REGT 12, поскольку изменен автозапуск через параметр winlogon\userinit
--------------

Удовлетворяет критериям
_ЛИШНЕЕ В USERINIT (ССЫЛКА ~ USERINIT)(1) AND (ИМЯ ФАЙЛА !~ USERINIT.EXE)(1)
_SPY.SHIZ (ССЫЛКА ~ USERINIT)(1) AND (USERINIT ~ APPPATCH)(1)
_SPY.SHIZ* (ССЫЛКА ~ LOAD)(1) AND (LOAD ~ APPPATCH)(1)
_SHIZ** (ССЫЛКА ~ SYSTEM)(1) AND (ССЫЛКА ~ \USERINIT)(1) AND (ССЫЛКА ~ LOAD)(1) AND (ССЫЛКА ~ RUN)(1) AND (ССЫЛКА ~ USERINIT)(1)

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit G:\WINDOWS\SYSTEM32\USERINIT.EXE,G:\WINDOWS\apppatch\vojaiad.exe,

 

[Аркалык]

safety, Понял, спасибо

 

[safety]

готов приступить к третьему заданию?

 

[Аркалык]

готов приступить к третьему заданию?

С удовольствием!

 

[safety]

Пример 3
http://rghost.ru/41495701

задание такое же.
- анализ заражения
- скрипт
- какие критерии можно использовать для детекта данного файла

 

[RP55.RP55]

Пример 3
http://rghost.ru/41495701
Какие критерии можно использовать для детекта данного файла

По одному образу это сложно будет сделать.
Необходимо провести сравнение > вывести закономерность.
Для этого необходимо несколько аналогов/образов.

---------- Добавлено в 18:00 ---------- Предыдущее сообщение было написано в 17:54 ----------

Аналог: http://rghost.ru/41469478
Будет легче

 

[RP55.RP55]

Аналог: http://rghost.ru/41469478
Будет легче

 

[Аркалык]

Аналог: http://rghost.ru/41469478
Будет легче

Щя будет скрипт

 

[Аркалык]

- анализ заражения

Newdriver (больше сказать ни че не могу)

- скрипт

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1
zoo %SystemRoot%\HOBIO.SYS
delref HTTP://BROWSERHELP2.RU
delref HTTP://WWW.MAIL.RU/CNT/8731
exec MSIEXEC.EXE /X{F75CF7C3-AB31-4E4E-A38D-051D634EE2A6}
exec D:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec "D:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\HOBIO.SYS
areg

- какие критерии можно использовать для детекта данного файла

Не знаю, как создать критерий. Это что-то новое в UVS?
Ну примерно:

Ссылка HKLM\System\CurrentControlSet\Services\newdriver\ImagePath
ImagePath \??\D:\WINDOWS\hobio.sys
newdriver тип запуска: При инициализации ядра (1)

 

[safety]

почитай документацию по uVS -как создать критерий поиска. подсказка: критерий создается из окна информация (об объекте)

 

[RP55.RP55]

Для критерия нужно задавать такие значения которые будут устойчивы.
т.е. имя диска меняется.
имя файла меняется.
Остаётся: \Services\newdriver\
Лишняя информация может привести к тому, что критерий не сработает.
или даст ложные определения.

---------- Добавлено в 18:21 ---------- Предыдущее сообщение было написано в 18:15 ----------

И ещё следует смотреть какая система.
Команды
sreg
delref %SystemRoot%\HOBIO.SYS
areg
Хорошо работают на XP
На Win7 - после их применения могут быть проблемы.
Это связано с доступом/сохранением информации реестра.
т.е.может не хватить прав.
Система будет работать но...
Для Win7
delref %SystemRoot%\HOBIO.SYS
+
Помним о возможности выполнения скрипта в безопасном режиме.
т.е. Мало дать человеку готовый скрипт.
Нужно ещё и дать понятную/логичную НЕ перегруженную инструкцию.

 

[safety]

RP55, здесь сейчас экзаменуется Arkalik, поэтому...
лучше написать ему свое задание, и прокомментировать выполнение.

 

[Аркалык]

Аналог: http://rghost.ru/41469478
Будет легче

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1
delref %SystemRoot%\MOKOM.SYS
delref HTTP://WWW.YANDEX.RU/?CLID=48100
delref HTTP://WWW.MAIL.RU/CNT/9516
delref CHROME://FASTDIAL/CONTENT/FASTDIAL.HTML
exec "C:\PROGRAM FILES\YANDEX\YANDEXBARIE\UNINS000.EXE"
exec MSIEXEC.EXE /X{79155F2B-9895-49D7-8612-D92580E0DE5B}
deltmp
delnfr
restart

Сейчас попытаюсь создать "критерий для поиска"

 

[RP55.RP55]

Кроме того, важно правильно задать имя для критерия поиска.
Когда критериев накопиться 80-100 потребуется время чтобы сориентироваться.
т.е. имя критерия должно дать точную информацию.
По какой именно причине файл/объект получил статус: ?Вирус?
т.е.Имена должны быть индивидуальны + при необходимости содержать подсказку.
Например когда речь идёт о редком заражении.

---------- Добавлено в 18:34 ---------- Предыдущее сообщение было написано в 18:26 ----------

RP55, здесь сейчас экзаменуется Arkalik, поэтому...
лучше написать ему свое задание, и прокомментировать выполнение.

Arkalik
Не может этого знать по определению.
Нужна практика/опыт работы с программой.

Команду:
delref %SystemRoot%\MOKOM.SYS
лучше давать непосредственно перед командой restart

Почему ?
Допустим вирус регулярно проверяет наличае записи.
HKLM\System\CurrentControlSet\Services\newdriver\I magePath
Выполнение очистки Temp в ряде случаев занимает много времени
( Особенно при активном Антивирусе )
И на выполнение других команд затрачивается время.
Поэтому важные команды лучше применить в конце скрипта.