Как начать практически использовать uVS

[safety]

NIK196, есть ли вообще какая то практика по лечению заражений? какими антивирусными утилитами умеете пользоваться? участвуете где нибудь в работе компьютерных форумов? есть ли опыт программирования? представление о том что такое компьютерная программа?

 

[NIK196]

практики нет, не пользовался никакими кроме обычного антивируса, в работах не участвую, опыта программирования нету, о том что такое программа это даже не знаю если подумать то возможно и представляю

 

[safety]

NIK196, наш топик здесь для тех, кто имеет определенный опыт по лечению заражений, но конкретно не умеет работать с uVS, поскольку в нашем представлении uVS - один из наиболее удобных для анализа системы и внесения исправлений в работу системы.

почитайте для общего развития

что такое hijackthis
http://www.saule-spb.ru/articles/hijackthis.html

AVZ - как пользоваться
http://www.dmosk.ru/programs_work.php?object=avz

universal virus sniffer
http://av-help.narod.ru/uvs.html

 

[NIK196]

хорошо, а после прочтения руководства есть шансы заниматься тем же чем и вы?

 

[safety]

после прочтения - нет, а после того как вы практически освоите работу с этим инструментами (научитесь создавать логи в этих программах, научитесь анализировать по логам состояние системы, научитесь находить проблемы в системе по логам, а так же писать корректирующие скрипты для устранения проблем) - может быть и есть.

 

[NIK196]

понятно, где можно этому научиться?

 

[safety]

можно двумя способами научиться: самостоятельно или на форумах, где есть действующие школы обучения.

 

[RP55.RP55]

NIK196
Чтобы самостоятельно научиться работать с uVS ВАМ необходимо анализировать образ/ы автозапуска с форума и скрипты лечения
- внимательно изучать ВСЮ доступную информацию.
После чего сравнивать свой вывод - своё мнение, что является вирусом, что не является вирусом
с мнением Эксперта.
Запоминать свои ошибки и не повторять их.
Искать и находить причину - почему тот, или иной файл Эксперт признал за вирус или потенциальную угрозу.
После того, как забрезжит свет...
Пробовать писать скрипты лечения ( не публикуя - для себя !!! )
Внимательно прочитать вышеописанные 15 станиц форума - и всю информацию доступную по ссылкам.
При возникновении вопросов задавать их.
На начальном этапе не распылять внимания и сконцентрироваться на изучении одной программы.
P.S.Главное во врачебной практике: " Не навреди "

 

[mike 1]

понятно, где можно этому научиться?

На SafeZone на 1 курсе обучают работе в UVS. Хотя можете попробовать и самостоятельно попробовать изучить UVS, но будет это непросто.

 

[NIK196]

На SafeZone на 1 курсе обучают работе в UVS. Хотя можете попробовать и самостоятельно попробовать изучить UVS, но будет это непросто.

спасибо, буду обучаться, еще вопрос, а системный администратор это все должен знать или это только для избранных?

 

[safety]

спасибо, буду обучаться, еще вопрос, а системный администратор это все должен знать или это только для избранных?

если вы системный администратор, то вам и решать, что в первую очередь надо знать и уметь для поддержания работы вашей сети. Умение пользоваться утилитками uVS, avz пригодится в работе.

 

[RP55.RP55]

http://pchelpforum.ru/f26/t137301/

Как найти BitCoinMiner ?
-------------
Его не надо искать - он Вас сам найдёт
-------------
А если серьёзно:
1) Сейчас BitCoinMiner маскируется под легальные программы.
Например под:
CHROME.EXE
GOOGLEUPD.EXE
и т.д.
Основное отличие этих файлов/объектов от легальных программ в отсутствии цифровой подписи.
Как проверить ц.подпись ?
Выбрать файл > Хлопнуть правой лапой зверя ( мыши ) по файлу откроется: _СВОЙСТВА_
Посмотрите вкладку Цифровая подпись - есть она или нет...
-----
В программе uVS также можно произвести проверку.
Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ > Проверить
ц. подпись файла. ( на некоторых системах проверка подписи не работает )
Можно проверит подпись разом у всех файлов:
Запускаем uVS > Жмём F6 > ждём ( желательно чтобы был доступ к сети )

---------
ИТАК:
1) У файла нет подписи.
2) Файл ( или один из файлов КАТАЛОГА ) в автозапуске. ( чего быть не должно )
Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ.
И смотрим в автозапуске он или нет...
3) Проверяем файл на онлайн сканере - например на virusscan.jotti
Хлопнуть правой лапой зверя по файлу > В меню выбрать virusscan.jotti - и тип проверки...
Смотрим результат.
4) Обращаем внимание на сетевую активность файла.
5) Если уверены - что это зверь, удаляем.
т.е. Поиск осуществятся по ряду параметров и их сочетанию.

 

[Аркалык]

RP55.RP55, Еще один момент, по быстрому нахождению Майнера, это заглянуть в раздел "Сетевая активность" в uVS

 

[RP55.RP55]

Arkalik
Да.
------
Смотрим категорию сетевая активность.
Смотрим/проверяем объекты Автозапуска.
Работаем с базой проверенных файлов ( Позволяет на порядок сократить список проверки )
Базу скачиваем здесь:http://dsrt.dyndns.org/files/MAIN.zip ( прямая ссылка )
Скачивать _ТОЛЬКО_ через менеджер загрузок ( типа Download Master )
После чего создаём папку/каталог рядом с start.exe и называем её SHA
И в эту папку распаковываем базу...
Для проверке списка ( это работает, как фильтр на отсев проверенных ) ( чистый файл, если он есть в базе проходит проверку и пропадает из видимого списка )
Жмём F4.
После F4
Жмём F6.
А всё оставшееся проверяем сами...
Прежде всего обращаем внимание на всякие аномалии.
Размер/вес файла слишком большой или наоборот слишком мелкий...
Вдруг оказался в автозапуске...
------
Также в uVS есть фильтр по дате/времени - т.е. можно задействовать фильтр и посмотреть какие НОВЫЕ файлы
появились в системе... ( некоторые вирусы маскируются - они могут изменить информацию/данные время своего
создания изменения )
Обращаем внимание, если в одной папке/каталоге файлы нескольких типов: .EXE и .DLL
т.е. программа + дополнительный функционал.
Обращаем внимание на имя/наименование каталога.
На его путь/директорию.
Известный/ные или нет.
-----
При работе с онлайн сканерами обращаем внимание на время первой и крайней проверки.
( например файл впервые проверили 3 дня назад... )
Или же файл первый раз проверили 3 года назад.
Смотрим на вердикт...
Следует доверять результатам проверки ТОЛЬКО известным антивирусам.
Таким как:
Dr.Web
ESET
Kaspersky

 

[mike 1]

При майнере почти всегда можно найти такие задания:

C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI
C:\Windows\system32\Tasks\UpCH

 

[mike 1]

Для расшифровки файлов воспользуйтесь этой http://support.kaspersky.ru/viruses/disinfection/8547 утилитой. Вчера только добавили расшифровку. Важно! Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

Подробный разбор шифратора тут.

 

[mike 1]

А можно поинтересоваться почему здесь в каждой теме используют эту команду?

delnfr

Разве без использования этой команды нельзя решить проблему пользователя?

 

[Аркалык]

mike 1, Встречный вопрос: А почему вы не используйте в каждой теме команду "delnfr", чем он вам не угодил? Почистить все ключи в реестре, которые оставили после себя вирусы/программы/утилиты , это может как-то вредить Операционной системе, кроме ускорение работы системы?

 

[mike 1]

А я вопрос задал первым. Давайте вы сначала ответите на мой вопрос, а я потом отвечу на ваш вопрос.

 

[Аркалык]

mike 1, Я же ответил:

Почистить все ключи в реестре, которые оставили после себя вирусы/программы/утилиты , это может как-то вредить Операционной системе, кроме ускорение работы системы?