Как начать практически использовать uVS

[safety]

RP55, не может знать, значит будет знать что не знает пока как работать с критериями.

Нужна практика/опыт работы с программой.

судя по скриптам - опыт имеется работы с программой, он не первый день в разделе безопасности.

-------------
далее, to Arkalik
ПРИМЕР 4.
http://rghost.ru/41497153

описать последовательность лечения подобного заражения
+
скрипт лечения.

 

[safety]

Arkalik, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90/kak-sozdat-v-uvs-novyy-kriteriy-poiska#Item_1

 

[Аркалык]

safety, Можно узнать на что жалуется пользователь?

---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ----------

Arkalik, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90...-poiska#Item_1

Вот, Спасибо safety

 

[safety]

safety, Можно узнать на что жалуется пользователь?

---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ----------


Вот, Спасибо safety

жалуется, типа вылетают запускаемые приложения с ошибкой "не win32" .

 

[RP55.RP55]

safety

Я бы в качестве критерия поиска задал значение.
Services\newdriver ( содержит )
И
.sys ( содержит )
Или
Ядра 1 ( содержит )

Задавать конкретное имя не самая лучшая идея = пример.

 

[safety]

это визуальный пример: как создавать простые и сложные критерии. а как, и кто будет создавать критерии - это уже должна работать логика, этому труднее научить... этому уже в ВУЗ-ах и колледжах учат на прикладной математике.
---------
(я просто добавил правило: ссылка ~ newdriver)

 

[Аркалык]

жалуется, типа вылетают запускаемые приложения с ошибкой "не win32"

По этим данным похоже на Sality, но Редактор реестра - Диспетчер задач - Свойства папки не заблокирован и ошибки win32 нету:

(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MMC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\REGEDIT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\LOGONUI.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\NTSD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSDTC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CMD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\TASKMGR.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSPAINT.EXE

Аналог: http://rghost.ru/41469478
Будет легче

По инструкций и по логам RP55.RP55 создал критерий поиска, оцените

Удовлетворяет критериям
NEWDRIVER (ССЫЛКА ~ SERVICES\NEWDRIVER)(1) AND (IMAGEPATH ~ MOKOM.SYS)(1)

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\ImagePath
ImagePath \??\C:\WINDOWS\mokom.sys
newdriver тип запуска: При инициализации ядра (1)

 

[safety]

критерий сделан правильно, имя драйвера здесь необязательно уточнять, достаточно простого правила.
-----------
подсказываю по симптому, файловое заражение есть, но не sality

 

[RP55.RP55]

Так и надо написать.
Вирус меняет своё имя.
Вывод: Задавать критерий поиска по имени нельзя.
В силу того, что при смене/изменении имени критерий не сработает.
что приведёт к пропуску вируса при проверке.
Это относиться и к SHA1 файла.
И привести пример устойчивых значений.
Это:
расширение файла.
отсутствие/наличае цифровой подписи.
тип старта/запуска/приоритета

 

[safety]

RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.

 

[RP55.RP55]

+
Если есть сомнение в критерии - его надёжности
рекомендую задавать значения для сложного критерия через Или.
т.е. нет одного значения сработает другое.

---------- Добавлено в 23:10 ---------- Предыдущее сообщение было написано в 23:08 ----------

RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.

Хорошо.
Только сразу нужно учить так, чтобы потом не переучивать.

 

[safety]

напиши рекомендации по созданию критериев в виде небольшой статьи - это будет полезнее, чем заниматься здесь разговорами.
------
+ добавлю, что цель здесь (в статье) не ставится научить человека понимать мат_логику, это далеко выходит за рамки статьи, цель - показать как вообще создаются критерии.

 

[Аркалык]

safety, Да это же Virus.Win32.Neshta.a

После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

%WinDir%\svchost.com

Имя файла SVCHOST.COM
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 0 байт
Создан 15.09.2012 в 21:39:27
Изменен 05.11.2012 в 14:14:02
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E

Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*

Рекомендацию к пользователю:
Компьютер заражен файловым вирусом Neshta, пролечите систему с помощью Live.CD
DrWeb
http://www.freedrweb.com/livecd/
или ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/

 

[safety]

хорошо, допустим юзер вылечит систему от neshta (это правильный диагноз), но теперь exe файлы не запускаются. это надо (и можно) пролечить скриптом в uVS

 

[Аркалык]

но теперь exe файлы не запускаются. это надо (и можно) пролечить скриптом в uVS

По предыдущему логу, очистил от тулбаров:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRU~1.EXE UNINSTALL
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 22
deltmp
delnfr
restart

 

[safety]

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

 

[Аркалык]

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

safety, Вы хотите сказать, что невозможно запустить UVS из-за поврежденного ключа exe файлов?

 

[safety]

да, в этом случае надо переименовывать start.exe в start.pif или ***.cmd и скриптом исправить ассоциацию на exe

 

[Аркалык]

да, в этом случае надо переименовывать start.exe в start.pif или ***.cmd и скриптом исправить ассоциацию на exe

Спасибо, но я знал про это

 

[safety]

копия реестра не сохранилась, так что не откуда в реестре взять правильную ассоциацию на запуск exe.

здесь имею ввиду, что reg22 не сработает на восстановление, поскольку по условию копия рееестра из Repair не сохранилась (а в Vista/Win7 ее там нет)... надо вручную прописать в команде скрипта восстановление ассоциации