Выбрать дату в календареВыбрать дату в календаре

uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
[QUOTE]Александр Sherr написал:
Всего доброго! =)[/QUOTE]

Что всё ?
Информацию не обязательно усваивать за один раз ( едва ли это возможно ) а как торт кусками  :)
Я буду писать а вы читайте и если, что непонятно пишите.
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
Для того чтобы сократить число проверяемых файлов ( чтобы оператор не тронулся и не сидел, как сыч пять часов к ряду )
Работаем с базой\базами проверенных файлов. ( в файле\базе сохраняются отпечатки\идентификаторы SHA1 ( SHA1 https://ru.wikipedia.org/wiki/SHA-1 )

Для этого переходим на официальный сайт ( сайт разработчика uVS - разработчик: Кузнецов Дмитрий )
Сейчас это: http://dsrt.dyndns.org:8888  нас интернирует: http://dsrt.dyndns.org:8888/
и скачиваем: База проверенных файлов [ZIP 24Mb HTTP] [11.10.2018]
* Скачивать при низкой скорости загрузки _ОБЯЗАТЕЛЬНО через специализированный менеджер загрузок ( иначе файл будет битый )
Архив распаковываем и файл MAIN  помещаем в папку\каталог uVS  папка под именем: SHA
Проверить, что всё выполнено верно можно нажав: F4 ( запуск проверки по базе проверенных... файлов )
Если базы нет... будет ошибка.
База есть - за минуту\две прогонит список по базе.
Например в окне ЛОГЕ напишет:

Проверено файлов: 5021
Проверено файлов: 149
Всего неизвестных файлов: 168
Всего подписанных файлов: 29
Изменено: RP55 RP55 - 11.03.2020 16:10:21
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
Для чего сохранять скрипт в виде файла ?
1) Для передачи на другой PC
2) Для выполнения скрипта с Live CD диска ( uVS может работать с неактивной системой ) например для удаления WinLocker-ов или некоторых шифраторов.
Изменено: RP55 RP55 - 11.03.2020 15:43:46
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
При работе с образом это выглядит так, как на фото.
Очередь команд нужна для 1) Отмены команды ( Удалить из списка ) 2) Очередь команд нужна для ускорения работы программы. ( меньше повторений )
Отменить команду можно нажав: ALT+Z ( отменить можно до восьми команд подряд )
Изменено: RP55 RP55 - 11.03.2020 15:17:16
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
В программе есть возможность поиска.
Вместо категории: Подозрительные и вирусы выберите категорию.
Выберите поиск по имени, или пути файла.
Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель )
Изменено: RP55 RP55 - 11.03.2020 15:02:15
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
+
По какой причине uVS считает объект подозрительным ?
Имя содержит Non-ASCII символы, а именно символ:  ®
------------
Имя не содержит ( не указан ) тип расширения: MCAFEE® WEBADVISOR
Однако само по себе это в порядке вещей для расширений Хрома и браузеров на его движке ведь некоторые расширения существуют только как текстовая запись в реестре системы...
и расширения им ненужны.

Путь должен насторожить: \APPDATA\LOCAL\
но для браузера и некоторых других программа и это нормально.

Почему нет записи по SHA1 ( контрольной суммы файлов ? ) - это текст не файл.
значит и проверить по SHA1 на VirusTotal унас не получиться ( отсюда сложности с проверкой Хрома  )
-------------
Поэтому угрозой нужно считать только объект ( запись ) или файл по ряду\группе признаков.
A+B+C+D эту логику придумал Олег Зайцев разработчик AVZ ( Антивирус Олега Зайцева ) права на который впоследствии были выкуплены Kaspersky.
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
Добрый день.
Если по записи относящийся к  MCAFEE® WEBADVISOR хлопнуть два раза мышью ( или в меню - правой лапой мыши - Информация )
То увидим:

Полное имя                  C:\USERS\OLEXA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO\8.0.0.37123_0\MCAFEE® WEBADVISOR
Имя файла                   MCAFEE® WEBADVISOR
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Типичное для вирусов или содержит Non-ASCII символы
                           
Extension_ID                fheoggkfdfchfphceeifdbepaooicaho
Extension_name              McAfee® WebAdvisor
Extension_state             2
Extension_version           8.0.0.37123
Extension_installDate       2020-02-25 11:10
Extension_description       McAfee® WebAdvisor
Extension_homepageURL       https://clients2.google.com/service/update2/crx
                           
------------
т.е. это расширение браузера. GOOGLE - CHROME
У McAfee есть бесплатные продукты и они их везде пихают.

Скрипт на удаление выглядит так.

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
delref %SystemDrive%\USERS\OLEXA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO\8.0.0.37123_0\MCAFEE® WEBADVISOR
restart

</code>

В певой строке в качестве примечания\комментария ( ; ) указана версия uVS ( версия того кто пишет скрипт ) и сайт разработчика.
Во второй указана версия операционной системы ( вашей )
v400c - запись также относиться к версии uVS
delref - команда удаления ссылок. ( некоторые расширения существуют только как текстовая запись в реестре системы )
после delref указан собственно сам объект к которому применена команда.
restart - перезагрузка PC
Перезагрузка нужна для фиксации изменений.
* Часть строк пишет оператор - часть программа добавляет автоматически.
------------
В uVS есть ещё команда: Обновить список.
т.е.
1) Отдать команду на удаление
2) Подтвердить ( работает с некоторыми командами - другие же сразу выполняются )
3) Обновите список или перезагрузите PC ( что предпочтительней )
* При обновление списка программа вновь производит сбор информации - повторно.
Изменено: RP55 RP55 - 11.03.2020 14:37:10
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
43) Дублирование.
\PROGRAMDATA\BROWSERS\BROWSER
\TIMETASKS\TIMETASK
\METABAR\METABAR
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
42) Подделка\замена значка файла.
У исполняемого файла может быть значок от документа: Microsoft Word ; Книги  ( якобы в формате ) PDF и т.д.
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
40) Присваивание каталогам имён реестра.
HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

C:\HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

т.е. если просматривать лог то можно принять запись относящеюся к каталогу к записи реестра.
* Актуально для таких программ как FRST
как всегда расчёт на невнимательность + нестандартность решения.

41) Подделка имени или путей известных папок.

Она раз и:
\APPDATA\ROAMING\TEMPO\
\APPDATA\LOCAL\UPDATE\TEMP\

42) Присвоение папке расширения. ( якобы )
\APPLICATION DATA\BROWSERS\EXE.
\APPDATA\ROAMING\MICROSOFT\.REG
\APPDATA\ROAMING\MICROSOFT HELP\.RU