BSOD в данном случае получаем, потому что dll внедрена в легальные системные процессы, а при delall uVS пытается выгрузить внедренный процесс вместе с родительским, потому BSOD.
----------
в каталоге uVS есть папка DOC - в ней основная документация по программе от разработчика. Монографий на эту тему нет.
принцип работы вообщем как в process explorer, надо смотреть все вкладки автозапуска, поднимать контекстные функции, смотреть какие действия можно выполнить над тем или иным объектом,
----
но работать с uVS надо аккуратно и осознанно (как саперу) - поскольку удаляется все жестко и без лишних предупреждений.
+ uVS в том что можно с ним работать либо напрямую из активной системы (можно даже в локальной сети получить образ удаленной машины через добавленный IP), либо создавать образ автозапуска по которому может быть выполнен сторонний анализ, и возвращен скрипт для очистки.
---------
добавил краткую инструкцию - как создать образ автозапуска, на нее можно ссылаться при разборе заражений.
Последнее редактирование:
