Работа с каталогом.

Рассмотрим вариант зачистки каталога с применением сигнатуры.
Есть каталог: C:\WINDOWS\Zebra  ( %SystemRoot%\Zebra )
Два файла, этого каталога... по полученным данным прописаны в автозагрузке.
Это: Fox 1.exe и  Fox 2.exe*
*Сигнатуры для файлов Fox 1.exe и  Fox 2.exe совпадают.
Мы предполагаем, что каталог \ Zebra \ содержит и другие объекты: Fox 3.exe & Fox 4.exe
Гипотеза: файлы - Fox 3.exe & Fox 4.exe, имеют схожею сигнатуру с Fox 1.exe и  Fox 2.exe.
Значит, при применении данной сигнатуры, мы имеем возможность удалить все файлы попавшие под её определение !  

а) Добавляем сигнатуру Fox 1.exe &  Fox 2.exe  ( Fox .Vir1-2.)
б) Добавляем каталог проверки,  это команда: "adddir"*
*т.е. Все исполняемые файлы каталога будут добавлены в список проверки.
г) chklst & delvir  Проверка списка и Удаление файлов попавших под определение сигнатуры.**
**Следует учитывать, что проверка/зачистка происходит с применением всех имеющихся в наличие, в файле/баз "sgnz" сигнатур.
Сигнатур, полученных и сохранённых, например при выполнении предыдущих скриптов!

Последовательность команд:
addsgn
addsgn - добавление сигнатур\ы
adddir
adddir - добавление файлов каталога

_ НЕДОПУСТИМА ПОДОБНАЯ ЗАЧИСТКА ДЛЯ ОСНОВНЫХ ГРУПП СИСТЕМНЫХ КАТАЛОГОВ ПРИ РАБОТЕ С ОБРАЗОМ_!!!
C:\WINDOWS ;
C:\WINDOWS\system32
и т.д...

Причина: НЕ ПОДКОНТРОЛЬНОЕ ВОЗДЕЙСТВИЕ СИГНАТУРЫ НА ОСНОВНЫЕ СИСТЕМНЫЕ ФАЙЛЫ !!!*
*Что, может привести к потере, таких системных файлов, как : TASKMGR.EXE ; USERINIT.EXE и т.п.

----------------------------------------------

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

addsgn A7679BF0AA0244834FD4C601898A1261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625CD7E0C09F75C4C32EF4CA383113DA3BE4AC965B2F­C706AB7E 8  Fox .Vir1-2.

adddir %SystemRoot%\Zebra.exe
chklst
delvir
deltmp
delnfr
czoo
restart

czoo  - команда поместить папку zoo ( со всеми файлами ) в архив.
Применяется архиватор на основе 7-zip
------------------------------------------------

Нам нужно посмотреть каталог которого программа не видит - или внешний диск с информацией ?
Можно добавить каталог вручную, а можно написать и выполнить скрипт который это сделает.

Добавление файлов каталога с автоматическим созданием образа.

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

adddir %Sys32%
crimg

_____________

crimg -  Команда создает полный образ автозапуска.

---------------------------------------------------

ПРИМЕР: "дубляж"
Всё тоже самое - но когда файл не один...
_______________________________________________  

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
zoo %SystemRoot%\Fox.SYS
zoo %SystemRoot%\Foxx.SYS
zoo %SystemRoot%\Foxxx.SYS
sreg
delref %SystemRoot%\Fox.SYS
delref %SystemRoot%\Foxx.SYS
delref %SystemRoot%\Foxxx.SYS
areg

------------------------------------------------------------------


Следует учитывать - что сразу после применения команды Актуализации - "areg"
Компьютер автоматически выполнит перезагрузку!
Что обязательно следует учитывать - при работе с серверными машинами !
т.е - Это, сказка о перезагрузке почтового сервера...  ;)
То, что машина серверная - смотрим ЛОГ +  установленное спец. Программное обеспечение.

** Работа с реестром требует особой осторожности - Отдаётся - только самый минимум из необходимых команд.
Отдавать - другие команды в рамках этого скрипта недопустимо ! ( работаем только с реестром )
* Недопустимо в том плане, что наука ещё не в курсе дела, к каким последствиям это приведёт для всех участников эксперимента !
Когда, есть необходимость в дополнительной очистке - то создаётся новый, дополнительный скрипт лечения !

В случае, где нет Явного объекта ( но есть подозрения ) с которым можно работать применяется такой скрипт:

_______________________________________________
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

sreg
areg

_______________________________________________

Или такой:
_______________________________________________

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

breg
sreg
areg

где команда breg применяется первой ( это команда  выполняет бэкап реестра т.е. создаёт\сохраняет его копию )

Выше была упомянута: Виртуализация реестра.
Что это и для чего ?

Применяется, при наличие устойчивых форм заражения.
Этот скрипт, работает с применением функции виртуализации  системного реестра.
т.е. Происходит его копирование с последующей заменой\подменой и самопроизвольным отсечением скрытых данных/объектов автозапуска.
Меню: Реестр > "Безопасная виртуализация SYSTEM & SOFTWARE"*
Это команда - "sreg"
После, этой команды, мы в качестве дополнительной меры очистки удаляем ссылку на объект из реестра.
"delref"
delref %Sys32%\Fox.SYS
И, в завершении отдаём команду на Актуализацию реестра.
Меню: Реестр > "Актуализировать SYSTEM & SOFTWARE" = команда "areg"

_______________________________________________


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

sreg
delref %SystemRoot%\Fox.SYS
areg

-----------------------------------------------------------------

С виртуализацией & Zoo*
*Где Zoo это помещение файла в карантин  :) & ;)

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]

zoo %SystemRoot%\Fox.SYS
sreg
delref %SystemRoot%\Fox.SYS
areg


Нам нужно получить копию вируса ( для отправки в вирусную лабораторию )
применяем команду:  zoo  ( скопировать файл в папку zoo - папка создаётся в каталоге программы )

Да, кстати - есть такая категория, как  без файловые вирусы - они находятся в оперативной памяти и не существуют на диске в виде файла.

------------------------------------------------------------------------

В каких случаях рекомендуется применение сигнатуры ?
Применение сигнатуры оправдано тогда, когда тело вируса постоянно меняется и меняется его имя, место положение и контрольная сумма ( SHA1 )
Типа: Worm.RussoTuristo и т.д.
------------------
Если случай заражения более тяжёлый ?
например это Руткит: https://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82

Если, удаляется файл c расширением Sys.
например: Fox.sys
Смотрим активен этот процесс на данный момент или нет.
Если активен - то оптимальный вариант удаления такого объекта - это загрузка Компьютера в безопасном режиме.* ( F8 )
*Или зачистка _SyS_ объектов, по методу виртуализации реестра.
Необходимо? - предварительное восстановление безопасного режима: SafeBoot ( SafeBoot ) - твик №21.
Соответственно, скрипт выполняется в безопасном режиме.
Сами же скрипты, пишутся по аналогичной/базовой схеме.
**Работа с _SyS_ объектами в безопасном режиме является важным требованием !
так, как в обычном режиме вирус\служба активен и работает его самозащита.
_____________________________________________
Логика процесса лечения такая:
Уничтожается вирус > устраняются последствия его деятельности ( применяем твики ) - после чего зачищаем мусор. ( файлы и хвосты в реестре )
---------------------------------------------------------------
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\­\\\\

Комбинированный скрипт.

Представляет собой сочетание 2-х методов.
В данном случае речь идёт о применении сигнатур и удаления файла по его ( прямому ) пути.
Мы, его решаем удалять по прямому пути: C:\Windows\System32\Fox.EXE
в скрипте этот путь будет указан, как - %Sys32%
Сфера применения: Борьба с устойчивыми к удалению Объектами - повышение эффективности/результативности скрипта.

Логика скрипта: Добавляется сигнатура объекта - после чего происходит удаление по прямому пути - далее отдаются команды на проверку списка и удаления файлов попавших под влияние сигнатуры - затем происходит зачистка от мусора.
И, как всегда совершенно неожиданно мы обнаруживаем, что заблокирован редактор реестра и применяем твик №2
"Разблокировать редактор реестра"
И - в завершение, чтобы изменения вступили в силу перезагружаем PC.
*Команда bl может - как применять так и не применяться.
** В данном случае важное значение имеет последовательность отданных команд.
Пример такого скрипта:
_______________________________________________

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir
chklst
delvir
delall %Sys32%\Fox.EXE
deltmp
delnfr
regt 2
restart

--------------
delall - удалить файл и ссылки на него.
Значит, что  у нас в карманцах ?
Добавили сигнатуру > проверили список > ( скорректировали при необходимости длину сигнатуры ) и\или добавили команду hide > Убили вирус.
Дополнительно Удалили файл вируса командой: delall  ( ну вот захотелось )
Очистили временные папки Temp от мусора
deltmp - зачистка папок Temp ( и прочее и тому подобное ) ( в них часто пасутся тушки\тела вирусов )
delnfr  - зачищаем PC от ссылок на отсутствующие  объекты.
Сейчас команда delnfr выдаётся по каждому файлу отдельно ( чтобы оператор видел - что и как )
Пример:
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref F:\AUTORUN.EXE
Дополнительно > Очистить корзину удалить временные файлы... ALT+Del
В низу будет лог - программа показывает, что именно очищается.
Просмотр лога: Alt+L

При работе с сигнатурами ( если невозможно скорректировать\подобрать нужную длину ) применяется команда:  hide ( скрыть файл )

Пример:
hide %SystemRoot%\SYSWOW64\IE4UINIT.EXE

-----------------------------------------------------------------

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42­F­64CAB633 8 Fox.Vir.exe
hide %SystemRoot%\SYSWOW64\IE4UINIT.EXE
chklst
delvir
regt 1
restart


Правой лапой мыши по файлу и в меню: Статус > Скрыть файл.
Файл скрывается из списка и исключается из всех операций _до выхода_ из uVS

Но опять же лень ЭЭЭ !!! т.е. склероз.

Поэтому:
параметр в Settings.ini
раздел:  [Settings]
Пишем:
; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
; (файлы скрываются при запуске функции автоскрипт)
ImgAutoHideVerified (по умолчанию 0) ( 0 - не активно\отключено )
Чтобы работало прописать:
ImgAutoHideVerified = 1

Опасная методика... ( не для малоопытных )
У нас, есть Зверь: Fox.EXE
Мы, его решаем удалять с применением сигнатуры.
Для этого в меню данного файла выбираем:
"Добавить сигнатуру в скрипт и вирусную базу"
В результате получаем команду:

addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir *

addsgn - команда добавления.
Сама сигнатура: 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633

длина  8 ( длину можно\нужно корректировать, если есть ложные определения\срабатывания. )

имя  Fox.Vir  - Имя "Fox.Vir" можно задать любое.

Сама сигнатура ничего не удаляет она лишь позволяет найти тело вируса и объекты схожие с ним.
Поэтому, нужна дополнительная команда на удаление.
Проверяем по сигнатуре файлы в списке.
Команда: chklst  ( Команда: Проверить список )
Смотрим, какие файлы определены, как вирусы - и нет ли среди них системных файлов или чего другого лишнего !!!
Оставляем - то, что следует удалить -
( путём корректировки/изменения длинны сигнатуры для тех файлов которые ложно попали под неё )

Убедившись, что нет ложных определений - даём команду: delvir  ( команда: Убить все вирусы )

И тут, совершенно неожиданно видим, что заблокирован Диспетчер задач!
Ну...
Такое безобразие совершенно недопустимо - думаем мы!
Совершенно недопустимое безобразие!
И, решаем его разблокировать - применив соответствующий твик №1. ( Дополнительно > Твики )
Команда: regt 1
Вот и скрипт целиком:
_____________________________________________

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c

addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir.exe

chklst
delvir
regt 1
restart

так, как сигнатуры дело опасное и мы не хотим чтобы uVS сохранила сигнатуру добавляем команду: OFFSGNSAVE ( OFF SGN SAVE )
В чём риск\опасность сохранения сигнатур\ы в базе ?
Опасность в том, что вы не знаете и не видите, что пользователь добавил в свою базу и насколько это было разумно\корректно сделано, не появились ли за  прошедшее время новые программы, или системные файлы ( которые с этими сигнатурами не проверялись )

o Скриптова команда OFFSGNSAVE С момента исполнения запрещает сохранение базы сигнатур до выхода из uVS и дополнительно отключает записи из пользовательской базы сигнатур на время работы скрипта.

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn 4933E7C655AD49809D94AE0674D4128E30786AB689D1C58796609F2F10D6­1745D03C0414751D9E8F60C0E296AD7040123DDC375992D968C40461A42F­64CAB633 8 Fox.Vir.exe

chklst
delvir
regt 1
restart

------------------
chklst  - проверка списка
delvir - удаление вируса.

Но нам же лень всякий раз прописывать команду OFFSGNSAVE.... Или можно забыть и не добавить...

Есть возможность Автоматически добавлять команду в скрипт.

Откройте в тестовом редакторе файл: Settings.ini
и в разделе: [Settings] Пропишите:

; Флаг управляет автоматическим добавлением скриптовой команды
; OFFSGNSAVE
bHlpNoSaveSgn=1 (0 по умолчанию)

* При добавление файлов с диска может быть так, что в категории: "Добавлены в ручную " будут отображаться не все фалы - так, как программа может до вас найти некоторые файлы и поместить их в другие категории.
Чтобы увидеть все файлы перейдите в категорию: "ВСЕ"   можно задать поиск\фильтр по букве диска.

Вам прислали образ автозапуска созданный в uVS и вы хотите найти вирус и написать скрипт очистки ?

Открываем меню и применяем команды:

Запретить запуск файла (по хешу )
Удалить все ссылки вместе с файлом

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
bl 73FB07A3CC81A5CD049CFCAH956AEF09 39604240
delall H:\Атомный лес.exe
apply


bl - Команда запретить запуск.
73FB07A3CC81A5CD049CFCAH956AEF09 39604240  ( собственно сам SHA1 - идентификатор файла чей запуск запрещаем )
delall - Команда удалить все ссылки вместе с файлом

apply - принять изменения. ( команда оптимизации\ускоряющая выполнение скрипта когда в скрипте много команд и как подтверждение )

---------------------------
Если заблокировали не тот файл ?
В меню есть команда: Снять блокировку запуска файла ( по хешу )
или
Или глобально снять ограничение для всех файлов... применив твик №19. ( снять ограничения по запуску... )
Дополнительно > Твики > Твик №19.

При необходимости в скрипт можно добавить команду
restart
для перезагрузки PC
В каком порядке отдавать команду restart и можно ли её прописать в начале скрипта ?
Да можно ( на современных\актуальных версиях - программа сама определит наличие этой команды и выполнит её только в  конце. )


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
restart
bl 73FB07A3CC81A5CD049CFCAC956AEF09 39604240
delall H:\Атомный лес.exe
apply

Для чего запрещаем запуск по SHA1  ?
Именно этот вирус не сможет запуститься на PC - если его занесут повторно.
* Изменения на запрет\разрешение вступают в силу после перезагрузки PC
Если запустился ? Значит это другой вирус или другой вариант этого, или вы что-то намудрили.
** Если запретить таким образом запуск для большого числа файлов - это может привести к замедлению в работе PC так, как система будет вынуждена проверять объекты.
( сотни или тысячи файлов )

Принесли флэшку и на ней может быть вирус ?
Для проверки можно загрузить Систему в безопасном режиме, или использовать Live CD
( Вообще лучше заранее подготовиться и отключить автозапуск - Пуск > Панель Управления > Автозапуск )
https://ru.wikipedia.org/wiki/Autorun.inf
Но если вирус проникает посредством эксплуатации уязвимости Системы ?
Варианты:
1) Выкинуть флэшку.
2) Загрузить Систему в безопасном режиме, или использовать Live CD
-------------
Файл > Добавить в список > Все исполняемые файлы в каталоге ( и указываем диск\букву диска )
Получите список _всех _исполняемых файлов на диске. (.exe; dll и т.д )
И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна )
После этого можно нажать: Обновить Список.

Александр Sherr
В uVS есть возможность дефрагментации реестра.
Запустить с максимальными правами  ( Запустить под LocalSystem ( максимальные права, без доступа к сети )
Файл > Дефрагментация реестра.
И где нибудь раз в квартал можно запускать. ( чаще не стоит )
Может поднять скорость работы с реестром, как системных так и сторонних программ.
Копию с помощью uVS делать не советую лучше применять спец софт или самостоятельно копировать с Live CD
C:\Windows\System32\config   файлы каталог с реестром.