uVS как стать опытными пользователем этой программы. , Обучение пользования программой uVS

RSS
Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)

Ответы

При работе с образом это выглядит так, как на фото.
Очередь команд нужна для 1) Отмены команды ( Удалить из списка ) 2) Очередь команд нужна для ускорения работы программы. ( меньше повторений )
Отменить команду можно нажав: ALT+Z ( отменить можно до восьми команд подряд )
2222.jpg (133.16 КБ)
Изменено: RP55 RP55 - 11.03.2020 15:17:16
Для чего сохранять скрипт в виде файла ?
1) Для передачи на другой PC
2) Для выполнения скрипта с Live CD диска ( uVS может работать с неактивной системой ) например для удаления WinLocker-ов или некоторых шифраторов.
33.jpg (111.7 КБ)
Изменено: RP55 RP55 - 11.03.2020 15:43:46
Спасибо. Помогло. С помощью этого скрипта  удалил еще некоторые ненужный объекты. В ближайшее время заберу свой старый ноутбук у брата для чистки. Уверен что на нем также есть много вирусов, в том числе и майнеров. Думаю, что буду скоро опять буду обращаться к Вам за советом. Всего доброго! =)
Для того чтобы сократить число проверяемых файлов ( чтобы оператор не тронулся и не сидел, как сыч пять часов к ряду )
Работаем с базой\базами проверенных файлов. ( в файле\базе сохраняются отпечатки\идентификаторы SHA1 ( SHA1 https://ru.wikipedia.org/wiki/SHA-1 )

Для этого переходим на официальный сайт ( сайт разработчика uVS - разработчик: Кузнецов Дмитрий )
Сейчас это: http://dsrt.dyndns.org:8888  нас интернирует: http://dsrt.dyndns.org:8888/
и скачиваем: База проверенных файлов [ZIP 24Mb HTTP] [11.10.2018]
* Скачивать при низкой скорости загрузки _ОБЯЗАТЕЛЬНО через специализированный менеджер загрузок ( иначе файл будет битый )
Архив распаковываем и файл MAIN  помещаем в папку\каталог uVS  папка под именем: SHA
Проверить, что всё выполнено верно можно нажав: F4 ( запуск проверки по базе проверенных... файлов )
Если базы нет... будет ошибка.
База есть - за минуту\две прогонит список по базе.
Например в окне ЛОГЕ напишет:

Проверено файлов: 5021
Проверено файлов: 149
Всего неизвестных файлов: 168
Всего подписанных файлов: 29
Изменено: RP55 RP55 - 11.03.2020 16:10:21
Цитата
Александр Sherr написал:
Всего доброго! =)

Что всё ?
Информацию не обязательно усваивать за один раз ( едва ли это возможно ) а как торт кусками  :)
Я буду писать а вы читайте и если, что непонятно пишите.
Как ещё сократить число проверяемых файлов,  ( чтобы оператор не пырился в экран и не сидел, как сова два часа к ряду )
Для этого нужно создать свою базу белых ЭЦП
Как мы помним из выше сказанного ЭЦП есть разные.
Есть вирусные\рекламные\ПНП и т.д. ( их тысячи )
и есть белые\белые пушистые... ( у меня в базе 400 )
например:
"Acronis, Inc"
"DivX, Inc."
"Logitech, Inc."
Intel Corporation
Microsoft Corporation
и т.д.
Поэтому нет смысла просто давить на F6
Да, у файла есть подпись и подпись действительна...
Действительна, подписано """Ask-Integrator"", Ltd."
Действительна, подписано "BIZNES KONNEKT, OOO"
Действительна, подписано "LLC ""Master-Sintez"""
А тол ку то ? Один вред без фильтра...
Нужна сегрегация\разделение.
Данные хранятся в файле: wdsl  ( файл просто лежит в папке с программой )
файл можно открыть и посмотреть в текстовом редакторе ( рекомендую Notepad++) https://ru.wikipedia.org/wiki/Notepad%2B%2B
Для этого открываем файл settings.ini  файл-настроек\параметров\конфигурации

и прописываем в файл ( bUseWDSList = 1 ) с примечаниями ; - чтобы потом не запутаться, что у нас и для чего это )

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1

При проверке по F6 белые будут пропадать из поля зрения ( чек бокс скрыть проверенные [v] )
А всякая гадость _должна остаться в списке ( если всё выполнено верно )
База wdsl  пополняется через ИНФО. файла.
Пример на фото.
444.jpg (189.5 КБ)
Изменено: RP55 RP55 - 11.03.2020 16:41:51
Оператор должен уметь работать с фильтрами.
Если оператор уверен что проблема не в файловом вирусе\заражении и не в подмене\изменении файла и если нет изменений в параметрах запуска - можно применить чек бокс:
Скрыть известные [v]
+
Отсев по дате ( если вирус не маскируется и системное время отображается верно )

т.е. F4+F6+...
Цитата
RP55 RP55 написал:
Что всё ?
Та нет)) эта информация очень интересная для меня. Стараюсь ее по немного усваивать.
Я имел ввиду, что буду опять обращаться по поводу чистки и решения каких-то проблем, с которыми не смогу справиться, когда буду чистить свой старый ноутбук)))
Александр Sherr
В uVS есть возможность дефрагментации реестра.
Запустить с максимальными правами  ( Запустить под LocalSystem ( максимальные права, без доступа к сети )
Файл > Дефрагментация реестра.
И где нибудь раз в квартал можно запускать. ( чаще не стоит )
Может поднять скорость работы с реестром, как системных так и сторонних программ.
Копию с помощью uVS делать не советую лучше применять спец софт или самостоятельно копировать с Live CD
C:\Windows\System32\config   файлы каталог с реестром.
Изменено: RP55 RP55 - 11.03.2020 17:31:35
Принесли флэшку и на ней может быть вирус ?
Для проверки можно загрузить Систему в безопасном режиме, или использовать Live CD
( Вообще лучше заранее подготовиться и отключить автозапуск - Пуск > Панель Управления > Автозапуск )
https://ru.wikipedia.org/wiki/Autorun.inf
Но если вирус проникает посредством эксплуатации уязвимости Системы ?
Варианты:
1) Выкинуть флэшку.
2) Загрузить Систему в безопасном режиме, или использовать Live CD
-------------
Файл > Добавить в список > Все исполняемые файлы в каталоге ( и указываем диск\букву диска )
Получите список _всех _исполняемых файлов на диске. (.exe; dll и т.д )
И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна )
После этого можно нажать: Обновить Список.
555.jpg (140.96 КБ)
666.jpg (176.73 КБ)
Читают тему (гостей: 1)