Как начать практически использовать uVS

[safety]

Arkalik, виртуализуются не файлы системы, а реестр.... разберись с виртуализацией: зачем она нужна, в каких случаях применяется.
(вполне возможно, и это решение сработает, но некрасивое решение.)

 

[Аркалык]

Что мы удаляем этим скриптом ?
файл или ссылки ?

Удаляется и файл и ссылки в реестре. Файл защищен и при помощи виртуализаций реестра удалил вирус.

разберись с виртуализацией: зачем она нужна, в каких случаях применяется.

Да, виртуализация реестра - создает копию реестра (виртуальный реестр) и удаляет ссылки вируса в виртуальном реестре и при помощи актуализаций реестра заменяется виртуальный реестр с настоящим реестром.

зачем она нужна, в каких случаях применяется.

Что бы обмануть вируса, защищенный вирус все время следит за реестром и не дает удалят свои ключи с реестра. В таких случаях применяется "Виртуализация реестра"

 

[Vvvyg]

Обновилась база проверенных файлов uVS.

 

[RP55.RP55]

Arkalik пишет: Удаляется и файл и ссылки в реестре. Файл защищен и при помощи виртуализаций реестра удалил вирус.

sreg
delref %Sys32%\DNSEOPLAY.EXE
areg

Если Мы работаем с реестром - значит работаем с ссылками.
НЕ непосредственно с файлом.
Тело файла можно удалить после перезагрузки системы.
Тогда - когда он уже будет неактивен.
Путём создания нового скрипта.
Важна по этапность в работе.

 

[safety]

Удаляется и файл и ссылки в реестре. Файл защищен и при помощи виртуализаций реестра удалил вирус.

в общем случае - почему мы применяем виртуализацию, потому что вредоносный файл защищен. т.е. не дает выгрузить себя из памяти, и защищает свои ключи.

самозащита файла может и более радикально отреагировать - скажем, отправить систему в BSOD,
(и на этом завершится выполнение скрипта)
потому файл здесь не трогаем, а удаляем только ссылку в виртуализованном реестре.

delref.

 

[Аркалык]

safety, RP55.RP55, Спасибо!
Но после удалении ключа из реестра, можно удалить сам вирус с кодам delall, после следующем запуске системы?

 

[safety]

при следующем запуске системы, когда вредоносный файл не активен (поскольку исключен из автозапуска), можно уже что угодно делать с ним.

 

[Аркалык]

safety, Значить, скрипт должен быть таким:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 71D15A48176AB1F90E9F7AF3644DD27108C2B2B689770ACA5581C53522DAFA519EC78157B740FB9969800DC362FE8EFF300FAA727CC7B12CD25241EC8506A192 8 a variant of Win32/Kryptik.AHNW (ESET)
zoo %Sys32%\DNSEOPLAY.EXE
deltmp
delnfr
czoo
sreg
delref %Sys32%\DNSEOPLAY.EXE
areg

Задания провален:

 

[safety]

да, такой,
жди новые задания.
-----------
смысл здесь такой: удаляя файлы скриптами, ты должен немного знать о поведении вредоносной программы, о ее самозащите (есть она или нет) и выбирать для скрипта соответствующий метод удаления или исключения из автозапуска.

 

[safety]

ПРИМЕР 8.
карберп маячит у пользователя.
образ здесь
http://rghost.ru/41678197

 

[Аркалык]

safety, Слишком старая версия UVS:

uVS v3.72: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

Скрипт:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixmbr MBR#0 [74,5GB]
fixvbr C: 5
deltmp
delnfr
restart

Активных вирусов вроде нет, и у многих файлов статус "файл не найден".

 

[safety]

ну, да... проблема старая, fixmbr зачем здесь? почему ты решил что mbr тоже заражен?

 

[Аркалык]

Думал так эффективное будет Этот код применяется когда в логе uVS в MBR:стоит "Восклицательный знак"?

 

[safety]

"эффектное" решение может создать дополнительную проблему юзеру вместо его решения
нужно правильное решение.
здесь заражен только IPL,

Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? ВИРУС загрузчик

www.virustotal.com 2012-02-10 [2011-12-14 11:09:14 UTC ( 11 months, 1 week ago )]
AntiVir BOO/Cidox.A

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 7680 байт

Доп. информация на момент обновления списка
SHA1 016CDD8A258BC8AAFDC44D1571C36EE9E5407056

MBR же входит в проверенные загрузчики.

 

[RP55.RP55]

Arkalik
Можно выполнить лечение IPL
После чего запросить повторный/новый образ.
Проверить результат.

 

[safety]

ПРИМЕР 9.
образ здесь
http://rghost.ru/41680001
симптом тот же, маячит карберп (у тех пользователей, у кого есет установлен)

 

[Vvvyg]

Проверить обязательно, были модификации загрузочного Cidox, которые не давали uVS заменить IPL.

 

[Аркалык]

ПРИМЕР 9.

Скрипт:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

fixmbr MBR#0 [149,0GB]
fixvbr C: 5
deltmp
delnfr
restart

 

[safety]

1. mbr здесь чист, не надо лишний раз его перезаписывать

Полное имя MBR#0 [149,0GB]
Имя файла MBR#0 [149,0GB]
Тек. статус загрузчик

www.virustotal.com 2012-09-15 [2011-09-25 12:53:14 UTC ( 1 year, 1 month ago )]
- Файл был чист на момент проверки.

2. обрати внимание как детектируется IPL на VT
https://www.virustotal.com/file/322...7673b0e0510506c0a88b3e84c5b19e2a0eb/analysis/

что в этом случае следует ожидать?какие мысли есть по этому поводу?

 

[Аркалык]

что в этом случае следует ожидать?какие мысли есть по этому поводу?

safety, Не понял суть вопроса, вирус Rootkit.MBR.Mayachok