uVS как стать опытными пользователем этой программы. , Обучение пользования программой uVS

RSS
Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)

Ответы

Спасибо за информацию
Категория WMI
Как выявить подозрительный объект.
Как правило в данной категории есть 1-2 записи.
Если таких записей больше - это уже подозрительно.
Инструментом WMI  мало кто пользуется - в основном системные администраторы в компаниях и то редко - редко...
Можно ли снести все записи не разбираясь ?
Да, можно - видимого влияния на работу системы это не оказывает.

При удалении вируса -
СМОТРИТЕ ЧТОБЫ НЕ БЫЛО ССЫЛОК НА СИСТЕМНЫЕ ФАЙЛЫ. ( если, есть такая ссылка - то в программе предусмотрена безосная команда: ( Удалить WMI Event )

Однако если разобраться...
Открываем Инфо.
Это вирус, если в тексте есть записи: .VBS ; VBScript ; ****.exe ; браузер.exe
Внутренние ссылки с указанием на любой  исполняемый файл. ( в том числе на любой системный )
Любая запись с внешним адресом: http://***  HTTPS://*** и т.д.
Лучше всего сохранить текст в блокнот - так будет удобно его просматривать.
Можно запомнить - какая запись есть в норме. И удалять любую новую\неизвестную запись.
Если запись успела засветиться - тогда имеет смысл проверить полученный вами текстовый файл на V.T
Изменено: RP55 RP55 - 25.03.2020 17:07:23
Часто в работу системы вмешиваются хвосты...
Нет, это не те хвосты к которым мы привыкли - это хвосты антивирусов.
Был у человека антивирус - антивирус удалили, а хвосты то остались...
Хвост - это служба, служба караульная - держать и не пущать !

Как выявить ?
Как правило все компоненты антивирусов подписаны производителем ( т.е. имеют свою ЭЦП )

AVAST Software a.s.
AVG Technologies
Kaspersky Lab
и т.д.

Жмём F6 - идёт проверка ЭЦП
Выбираем категорию: Весь Автозапуск или категорию ВСЕ
Выбираем колонку: Производитель.
Для того  чтобы упростить себе поиск выбираем чек бокс: [v] известные ( скрыть известные )
Чтобы система не тормозила - хвосты удаляем.
А ведь есть ещё и левые антивирусы.
У Компонентов антивирусов как правило есть самозащита поэтому нужно удалять, или в безопасном режиме, или с Live CD ( работая с неактивной системой )
Бывает, что люди устанавливают по 5-ть антивирусов и здесь уже не до хвостов. ( тогда удаляем штатно + спец. программой )
Практически у всех разработчиков-антивирусов есть специальные программы  для удаления их продуктов.
Поэтому лучше найти\определить следы\компоненты какого антивируса есть в системе и применить спец. утилиту для удаления.
Антивирусов очень много - хорошо если известно какой антивирус был установлен.

У Avast это Avast Clear (Uninstall Utility)
https://www.comss.ru/page.php?id=383

У AVG  - AVG Clear
http://www.comss.ru/page.php?id=1301

Kaspersky kav-removal
http://www.comss.ru/download/kav+removal+tool.html

и т.д.
Список производителей можно посмотреть на том же V.T.
777-8.jpg (137.75 КБ)
Изменено: RP55 RP55 - 24.03.2020 18:47:42
uVS может работать с неактивной системой.
Для чего ?
В случае когда система не загружается, когда тормозит и невозможно нормально работать, если есть подозрение на руткит, система заблокирована вымогателем, чтобы не допустить дальнего распространения вируса - блокировать его активность, его деструктивные действия.

так, как систем может быть установлено несколько:
1) При запуске выбираем: Выбрать каталог Windows ( выбрана активная система )
* Активная система - это та система в которой вы сейчас работаете ( например система загрузочного диска Live CD ( WinPE )

2) Выбираем нужную нам Windows  например: C:\Windows  или  F:\Windows
т.е. нам нужно указать программе на нужный каталог.

Посмотреть инструкцию. ( здесь показано как создавать образ автозапуска т.е. сбор информации по системе )
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/

3) Запускаем под текущим пользователем.

Имена дисков C:\  D:\ E:\  и т.д.  могут отображаться не так как вы привыкли.
Чтобы это компенсировать в  программе есть транслятор имён дисков.
Обязательно обращайте внимание на это... Если систем несколько вы можете подключить не ту систему которую нужно - или продолжать работать с активной системой.

---------------------
Если антивирус сигнализирует об обнаружении угрозы в одно и тоже время ?
Если запуск\обнаружение - угрозы происходит в одно и то же время - значит работает системный планировщик заданий.
Так планировщик может работать с браузером и т.д.
Изменено: RP55 RP55 - 21.05.2020 13:15:18
Когда вирус сам себя обнаруживает.
Вирусы создают но бывает создают криво с ошибками и пользователь видит сообщение об ошибке.
Как мы ранее выяснили часто вирусы пытаются замаскировать под системные файлы, или хотя бы изобразить что-то похожее на известный объект.
Запускаем uVS находим по поиску ( по имени файла, или пути )
( если не можем найти по поиску помним, что имя может содержать как кириллические так и латинские символы ( в данном случае это могут быть: Т; А ; H ; О )
Проверяем файл по virustotal.com  открываем Инфо. файла и смотрим:
Обращаем внимание на время создания файла; имя; атрибуты; смотрим тип файла, в автозапуске он или нет и на способ\тип запуска.

Полное имя                  C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
Имя файла                   TASKHOST.EXE
Тек. статус                  ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2020-05-21

Malwarebytes                RiskWare.BitCoinMiner
ESET-NOD32                  Win32/CoinMiner.BGU


Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5EB17B071B9000
Linker                      12.0
Размер                      1767424 байт
Создан                      05.05.2020 в 16:50:35
Изменен                     05.05.2020 в 17:41:40
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   05.05.2020 в 14:41:11
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            MicrosoftHost.exe
Версия файла                2.14.0
Описание                    NT Kernel & System
Copyright                   Microsoft Corporation
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        AC6B619ACECE942F27D75E1E0EA46B94BC9B91A9
MD5                         DE88D7EC667DEA756D236E9053D7EEB9
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDC­ONTROL
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDS­TARTUP
--------------
Здесь использовано известное имя и нетипичный путь до файла, файл скрытый, вердикт на V.T. многократно прописан в задачах.
--------------
Принцип здесь такой: + + + +
каждое отклонение добавляет + к файлу и чем больше этих плюсов тем подозрительнее объект ( ведь не всегда есть интернет и возможность проверить файл антивирусами )
---------------
Нашли одну угрозу ?
Ищите дальше - их может быть и две и три не всё же надеяться на чужие ошибки.
аа-1.jpg (10.89 КБ)
Изменено: RP55 RP55 - 21.05.2020 23:04:45
Какие файлы можно удалять не боясь угробить систему ?
Можно удалять файлы с расширениями:
.BAT

Пример:
OK.BAT
VK.BAT
BROWSER.BAT
BROWSER.EXE.BAT

.URL

BROWSER.URL
FIREFOX.URL
CHROME.URL

HTTP:

HTTP://
HTTP:\\
0HTTP://
0HTTP:\\
EXPLORER.EXE HTTP://
EXPLORER.EXE HTTP:\\
OPERA.EXE HTTP://
OPERA.EXE HTTP:\\

.XML

ASK-SEARCH.XML
CONDUIT-SEARCH.XML

.TMP
.LNK

--------------------------------------------------------
Какие пути чаще всего используются:
\APPDATA\LOCAL\
\APPDATA\ROAMING\
\APPLICATION DATA\
\PROGRAMDATA\

\PROGRAMS\STARTUP\
\START MENU\PROGRAMS\STARTUP\
\TEMP\

\TEMP\ - каталоги "TEMP" содержать временные файлы ( как правило эти временные файлы используются 1-2 раза - значит их можно удалять )
\PROGRAMS\STARTUP\ - каталоги вообще не должны ничего содержать ( если вы сами не добавили программу\ярлык в запуск )
Ответ на вопрос из темы:  файлы jpg, png, txt, gif, webp, dll, ini , Возможные угрозы


1) Есть файлы с двойным расширением:

Если _включено в ( Параметры папок ): Скрывать расширения для зарегистрированных типов файлов то пользователь будет видеть: picture.jpg
Хотя реально это будет: picture.jpg.exe

2) Исполняемый файл может содержать фрагмент изображения. ( ресурс )
т.е. маскировка под файл изображения, видео или офиса.

3) Изображение может включать исполняемый код ( эксплуатируется  уязвимость на старых или не обновлённых системах )
Как найти:
а) Сам файл изображения не должен включать осмысленный код\текст.
т.е. можно открыть файл .jpg в текстовом редакторе и посмотреть.

б) Проверить в uVS
Файл > Добавить в список > Все исполняемые файлы в каталоге ( или указываем диск )
Получите список _всех _исполняемых файлов каталога или диска. (.exe; dll и т.д ) ( вне зависимости от видимого расширения файла )

в) Проверить файл на https://www.virustotal.com/gui/home/upload
И после анализа файла посмотреть все вкладки - что какие компоненты входят в состав файла.
Сравнить с обычным файлом изображения.

г) Переименовать файл в *****.zip и открыть на просмотр в архиваторе.
Если файл исполняемый то архиватор такой файл откроет ( как правило ) ... если не исполняемый выдаст ошибку.

д) Работаем с программой: Resource Hacker  ( можно посмотреть ресурсы файла\программы - есть они, нет и какие это ресурсы )
Изменено: RP55 RP55 - 06.09.2020 17:27:03
В uVS  можно работать с реестром неактивной системы.

Для этого нужен или Live CD или вторая установленная система.

Запускаем uVS > выбираем нужную нам систему ( папку\каталог )  Windows
Программа найдёт реестр: ( например по пути: C:\Windows\System32\config )

Находим нужный нам файл\объект > открываем: Информация
Находим строку с нужной записью > хлопаем мышью 2х > на выбранном пункте откроется реестр.
пример на фото.
И здесь можно внести нужные нам изменения.
1.jpg (66.87 КБ)
2.jpg (146.8 КБ)
Изменено: RP55 RP55 - 14.12.2020 23:44:00
Чем ещё "животное" может отличаться от обычной программы ?
Например типом запуска - запуск не просто прописан в Task
Может быть дополнительная запись\параметр: TaskCache
т.е. при удалении задачи - задача может сомо-восстановиться...
Для простой программы это не нужно...
------
Пример:
Полное имя                  C:\USERS\NIKITA\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла                   ADNEKMOD8B4.DLL
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5FDC35A8C000
Linker                      11.0
Размер                      12800 байт
Создан                      18.12.2020 в 18:37:33
Изменен                     18.12.2020 в 18:37:33
                           
TimeStamp                   18.12.2020 в 04:52:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            AdNetwork.dll
Версия файла                1.0.0.0
Описание                    AdNetwork
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
CmdLine                     C:\USERS\NIKITA\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMO­D8B4.DLL,AMIGOUPDATER
SHA1                        0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5                         B5BF285378916D5119D87C08917FE872
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C95E75C3-E3E5-4062-89C5-D661FD154BA4}\Actions
Actions                     "rundll32.exe" C:\Users\Nikita\AppData\Roaming\Microsoft\AdModNetW4b8\adnekmo­d8b4.dll,AmigoUpdater
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C95E75C3-E3E5-4062-89C5-D661FD154BA4}\
---------
Что здесь подозрительно: Оригинальное имя отличается; Имя задачи отличается, задано с ошибкой\небрежно; небольшой размер файла, левый путь до файла, автозапуск, отсутствие ЭЦПодписи; Работа с системным RUNDLL32.EXE, не просто Task а TaskCache, Это новый недавно созданный файл.



...
Изменено: RP55 RP55 - 30.12.2020 13:53:40
Вес файла:  0 байт.
Такие файлы удалять можно ( особенно если они в автозагрузке) так, как это будет замедлять работу системы. Система выполняет ( пытается ) выполнить некое действие\операцию
с файлом у которого нет полезного функционала.
С файлом\нулёвкой  может работать программа - что-то в него записывать и\или удалять.
Если файл нужен программе для работы то программа может его воссоздать\восстановить после удаления.
Если в отношении некого файла есть сомнение его можно переименовать c: DP45977C.lfl  в DP45977C.lfl.old
---
Есть ресурсы которые показывают тип расширения и можно определить с чем мы имеем дело: open-file.ru/types/l/
( но не всегда можно получить результат :)
Изменено: RP55 RP55 - 29.01.2021 13:50:38
Читают тему (гостей: 1)