Yaroslav Voloshchuk

McAfee Agent
McAfee VirusScan Enterprise
+
ESET

Использовать одновременно несколько антивирусов нельзя.
--------
Система сейчас чиста.

Какие файлы можно удалять не боясь угробить систему ?
Можно удалять файлы с расширениями:
.BAT

Пример:
OK.BAT
VK.BAT
BROWSER.BAT
BROWSER.EXE.BAT

.URL

BROWSER.URL
FIREFOX.URL
CHROME.URL

HTTP:

HTTP://
HTTP:\\
0HTTP://
0HTTP:\\
EXPLORER.EXE HTTP://
EXPLORER.EXE HTTP:\\
OPERA.EXE HTTP://
OPERA.EXE HTTP:\\

.XML

ASK-SEARCH.XML
CONDUIT-SEARCH.XML

.TMP
.LNK

--------------------------------------------------------
Какие пути чаще всего используются:
\APPDATA\LOCAL\
\APPDATA\ROAMING\
\APPLICATION DATA\
\PROGRAMDATA\

\PROGRAMS\STARTUP\
\START MENU\PROGRAMS\STARTUP\
\TEMP\

\TEMP\ - каталоги "TEMP" содержать временные файлы ( как правило эти временные файлы используются 1-2 раза - значит их можно удалять )
\PROGRAMS\STARTUP\ - каталоги вообще не должны ничего содержать ( если вы сами не добавили программу\ярлык в запуск )

[QUOTE]santy написал:
сигнатура в данном случае - самая лучшая маска.[/QUOTE]
Мы это уже обсуждали - не все файлы исполняемые и не для всех можно ( и нужно ) добавлять сигнатуры.

[QUOTE]santy написал:
свободного времени разработчика.[/QUOTE]
= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?

Значит процитирую....
накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------

http://www.tehnari.ru/f183/t267632/
Здесь может быть ошибка разбора.

Полное имя                  CMD\GIT.EXE
Имя файла                   GIT.EXE
Тек. статус                
                                                   
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                         
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine                     --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
                         
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
                         
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions                     "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
                         
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
                         
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads

-------------------------------
https://forum.kasperskyclub.ru/index.php?s=de86ae4c08a9c12b6ecee6ca4ec79a2a&showtopic=64818

Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>

CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>

-------------------------------
Видит ли это:

HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.

--------------------------------
https://forum.esetnod32.ru/forum4/topic15783/
Фиксирует  uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus

--------------------------------
SHA-2 Системы Windows
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

---------------------------------

А это: http://www.tehnari.ru/f35/t267839/
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION

----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION

santy

Полное имя                  CMD\GIT.EXE

Здесь может быть ошибка разбора.
----------------
отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.
------------------
Поддержка SHA-2  
Вопрос насколько корректно uVS будет работать с такими файлами.
------------------
и т.д.
дело не только в мусоре.
------------------
[QUOTE]santy написал:
в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.[/QUOTE]
в AVZ есть команда удаления по маске ?




.

santy
раз anti-malware.ru накрылся нужно создавать здесь тему ( или писать в одной из созданных ) и обсуждать
Иначе: "  уникальность функций Universal Virus Sniffer " останется в прошлом.
Выпускать новую версию раз в пол года - это не есть хоро.
Вот уже сколько накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------

http://www.tehnari.ru/f183/t267632/

Полное имя                  CMD\GIT.EXE
Имя файла                   GIT.EXE
Тек. статус                
                                                     
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine                     --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions                     "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
                           
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads

-------------------------------
https://forum.kasperskyclub.ru/index.php?s=de86ae4c08a9c12b6ecee6ca4ec79a2a&showtopic=64818

Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>

CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>

-------------------------------
Видит ли это:

HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.

--------------------------------
https://forum.esetnod32.ru/forum4/topic15783/
Фиксирует  uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus

--------------------------------
SHA-2 Системы Windows
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

---------------------------------

А это: http://www.tehnari.ru/f35/t267839/
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION

----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION

-----------------------------------

Сейчас ESET выпускается для Windows два продукта:
ESET NOD32 Антивирус
и
ESET  Internet Security
Компоненты входившие в smart Security Family  сейчас входят в состав Internet Security

Доброго
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

* ESET Smart Security сейчас _переименован и продаётся с наименованием = ( ESET  Internet Security )
** ESET NOD32 Smart Security Family _переименован и продаётся с наименованием = ( ESET  Internet Security )
Подробнее: https://www.esetnod32.ru/home/products/smart-security-family/

Когда вирус сам себя обнаруживает.
Вирусы создают но бывает создают криво с ошибками и пользователь видит сообщение об ошибке.
Как мы ранее выяснили часто вирусы пытаются замаскировать под системные файлы, или хотя бы изобразить что-то похожее на известный объект.
Запускаем uVS находим по поиску ( по имени файла, или пути )
( если не можем найти по поиску помним, что имя может содержать как кириллические так и латинские символы ( в данном случае это могут быть: Т; А ; H ; О )
Проверяем файл по virustotal.com  открываем Инфо. файла и смотрим:
Обращаем внимание на время создания файла; имя; атрибуты; смотрим тип файла, в автозапуске он или нет и на способ\тип запуска.

Полное имя                  C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
Имя файла                   TASKHOST.EXE
Тек. статус                  ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2020-05-21

Malwarebytes                RiskWare.BitCoinMiner
ESET-NOD32                  Win32/CoinMiner.BGU


Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5EB17B071B9000
Linker                      12.0
Размер                      1767424 байт
Создан                      05.05.2020 в 16:50:35
Изменен                     05.05.2020 в 17:41:40
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   05.05.2020 в 14:41:11
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            MicrosoftHost.exe
Версия файла                2.14.0
Описание                    NT Kernel & System
Copyright                   Microsoft Corporation
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        AC6B619ACECE942F27D75E1E0EA46B94BC9B91A9
MD5                         DE88D7EC667DEA756D236E9053D7EEB9
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDC­ONTROL
                           
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDS­TARTUP
--------------
Здесь использовано известное имя и нетипичный путь до файла, файл скрытый, вердикт на V.T. многократно прописан в задачах.
--------------
Принцип здесь такой: + + + +
каждое отклонение добавляет + к файлу и чем больше этих плюсов тем подозрительнее объект ( ведь не всегда есть интернет и возможность проверить файл антивирусами )
---------------
Нашли одну угрозу ?
Ищите дальше - их может быть и две и три не всё же надеяться на чужие ошибки.