Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Вот можно создать критерий поиска для Котика ( Carbepr )
Посмотрите - какие данные указаны _Информация_ Проверяем Атрибуты файла: Скрытый/Системный... Данные могут быть в ряде случаев указаны и вполне легитимные. Так, что не стоит всё брать на веру.
felix2604 пишет: С критерием поиска хорошо, базу нужно будет создать (snms), а своей базой не поделитесь?)
А.База- snms - создаётся автоматически - в момент формирования первого поискового критерия. Если Вы хотите научиться работать с uVS - ( Я написал _научиться_ ) - То формируем критерии самостоятельно. Это и будет обучением. Копирование базы не даст вам понимания - что, как и для чего было проделано/сформировано. Грубо говоря - Вы хотите научится играть на Фортепьяно - без знания/понимания нот. Что Некорректно по своей сути...
Цитата
nWc пишет: NOD - при попытки переустановить - исправить - выдает ошибк
*Для это, есть поиск по форуму - с кучей готовых примеров/решений.
Цитата
nWc пишет: C:\WINDOWS\SYSTEM32\BASECSP.DLL
Файл чист. Ситуация Когда есть информация по типу: "НАРУШЕНА, файл модифицирован или заражён" Периодически присутствует в образе. Сами по себе эти данные не о чём не говорят.
Цитата
nWc пишет: И на какие подписи при поиске вируса и поврежденных файлов стоит обращать внимание?
Проверять: 1) По базе проверенных файлов по Sha1 ( проверка по F4 ) Базу можно скачать здесь: Базу распаковать в \uvs_v374\SHA 2.Если файла нет в базе. Проверяем его по Sha1 на V.T или Обращаем внимание на дату первой и крайней проверки ! Пример > Дата: 2012-04-15 [2008-07-30 21:03:55 UTC ( 3 years, 8 months ago )] Соответственно - проверяем её результат. Смотрим путь до файла. ( И думаем - в том он месте лежит или нет ) ----------- И вообще: Путь до файла; Схожесть имени файла с именем известных системных фалов; Расширение проверяем.( exe;dll...) Одинарное это расширение или двойное.Есть цифровая подпись или нет. Приведённую/полученную информацию - Имя файла,Производитель, описание продукта. КАК ЭТО НАПИСАНО !!! Например: Имя файла: Ncvjpwpmid.exe Производитель: fhgkjllkh Продукт: ualjgvbgfj И сразу ясно, что это зверёк. Проверяем по времени создание файла ( В меню есть настройка/отсев по дате и времени ) * Ряд вирусов может изменить время своего создание на диске !!! Или может использовать краденную цифровую подпись. ( Сбросить результат проверки по цифровой подписи можно в меню: Подпись/Хеш т.е. Если есть сомнение - Сбросили, результат проверки и далее - чтобы сократить/минимизировать список/объём проверки жмём F4
Если точно известно какой вирус в системе ( например по результатам сканирования штатным Антивирусов ) то... Ищем/смотрим информацию по этому вирусу. Что о нём есть. В какой директории размещается файл/тело вируса. Какие ключи реестра изменяет - как стартует при запуске системы. И на основании этих данных производим поиск/отсев данных в системе/образе.
"Кролика Видишь ? Нет ! А он там есть !" Или волне может быть.
Например можно ВЫБОРОЧНО очистить: C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка Через атрибуты файлов.
S - Системные. R - Только для чтения. H - Скрытые.
igfxtray.dat - В образе вообще не сохраняется.* В силу того, что сохраняется информация только по исполняемым файлам. Зато - нам известен путь до файла и значит мы его можно удалить.
Алгоритм поиска - основан на данных по вирусу. Которые можно заранее посмотреть например здесь:
nWc пишет: Ну также указать какие виды модификаций ловят, а какие нет - которые можно найти уже с помощью. того же Malwarebytes и TDSSKiller.
С помощью uVS - можно найти всё. Вопрос только в применяемой тактике/методах обнаружения. Единственно над чем не властна программа это файловые вирусы. Malwarebytes - применяют для зачистки - так, как, если бы она эффектно чистила систему от активных угроз сама по себе - то и uVS стала бы не нужна. TDSSKiller - Что ловит, что нет - это к разработчику данной программы.
nWc пишет: 6. Побольше рассказать про базу поисковых критериев. Привести пример борьбы с руткитами.
Работа с руткитами. Работа с загрузчиками есть в DOC = "Удаление руткитов.txt" Я пишу - то чего нет в справке к программе ! И то что относиться именно к работе с uVS - а не: " Общие вопросы лечения "
ПРИМЕР: № 4.1
;uVS v3.71 script []
sreg delref %SystemRoot%\Fox.SYS areg
_______________________________________________
С виртуализацией & Zoo* *Где Zoo это помещение файла в карантин &
& 