Удаление вирусов троянов с помощью Universal Virus Sniffer

Ответить на тему
 
Автор
Сообщение

leon024 ®

Пол:

Стаж: 3 года 7 месяцев

Сообщений: 1151

Репутация: 632 [+] [-]

Откуда: Россия

Пост 08-Сен-2013 19:50

[Цитировать] 

Удаление вирусов троянов с помощью Universal Virus Sniffer- Universal Virus Sniffer-антивирусная утилита является мощным инструментом для борьбы с различными зловредами. Рассчитана она на опытного пользователя, т.к. в неумелых руках может причинить больше вреда чем пользы, но когда пользователь видит только одно решение вирусное проблемы - переустановка Windows, то почему бы не попробовать излечить компьютер профессиональным инструментом? К тому же данная инструкция написана в стиле "от простого к сложному" и начальная ее часть позволяет избавится от вирусов, которые не может победить установленный антивирус (включая разные антивирусные сканеры), пользователю без спецзнаний.
Скачать программу Universal Virus Sniffer (UVS) можно с официального сайта: http://dsrt.dyndns.org/uvsfiles.htm Скаченный архив разархивируйте.
Потом скачайте архив "База проверенных файлов", его содержимое (файл MAIN) извлеките в папку SHA, которая находится в папке программы UVS.
На зараженном компьютере запустите программу UVS с помощью файла start.exe , а в случае сложного заражения (вирус активно сопротивляется уничтожению) используйте файл startf.exe. Если Windows версий Vista/7/8, то необходимо запускать программу щелчком правой кнопки мыши по файлу и выбора пункта "Запустить от имени администратора".
Есть зловреды, которые блокируют запуск антивирусных программ (да и вообще всех программ), например, один известные поддельный (фэйковый) антивирус, в этом случае переименуйте файл startf.exe в winlogon.exe и запускайте его. Если все равно утилита не запускается, то найдите в папке UVS файл "_unlock.inf", вызовите контекстное меню щелчком правой кнопки мыши по файлу, выберите "Установить". Выберите «Запустить под LocalSystem (максимальные права, без доступа к сети)» или «Запустить под текущим пользователем». Открывается главное окно утилиты UVS, с выбранной вкладкой «Подозрительные и вирусы» в которой отображены вирусы, а также файлы и процессы, которые показались подозрительными утилите UVS.
Нажмите клавишу F4 для скрытия известных файлов, подождите пока UVS анализирует систему. Появится галка "Скрыть известные". Затем нажмите клавишу F6 и подождите пока UVS проверят цифровые подписи файлов. Затем поставьте галку на "Скрыть известные". Убедитесь, что стоят галки на "Скрыть проверенные" и "Скрыть известные" и приступайте к лечению.
У вас выбрана вкладка "Подозрительные и вирусы", в ней отображены файлы (записи), которые показались программе UVS подозрительными. Но если файл показался подозрителен программе, то это не значит, что файл обязательно зловреден - нужно проанализировать информацию о файле. Чтобы получить больше информации о файле - двойной щелчок левой кнопки мыши по файлу, внимательно изучите информацию о файле. Т.к. сейчас изучаем вкладку подозрительных, то особое внимание разделу "Статус", чтобы понять почему UVS посчитала файл подозрительным, а также внимательно изучите остальную информацию. В принципе, т.к. скрыли показ известных файлов и подписанных, то в данной вкладке не должно остаться критичноважных чистых файлов, которые были бы ложно определены как подозрительные. Предлагаю приступить к уничтожению вирусов.
Добавьте сигнатуры подозрительных файлов в вирусную базу UVS. Чтобы занести сигнатуру подозрительного файла в базу, щелкните правой кнопкой мыши по записи и выберите "Добавить сигнатуру файла в вирусную базу" Появится окно, в котором необходимо придумать имя вирусу. В случае, если UVS предлагает длину сигнатуры 8, то советую увеличить до 32 (воизбежания ложных срабатываний). Нажмите "Ok".
Снимите (добавьте) сигнатуры со всех действительно подозрительных файлов. Затем нажмите кнопку "Проверить список". Файлы с вирусными сигнатурами будут выделены красным цветом, а в колонке "Статус" будут отображены имена вирусов, которые вы им дали. Нажмите кнопку "Убить все вирусы".
Программа Universal Virus Sniffer позволяет сверить хэши файлов исследуемой системы с хэшами, которые известны таким сервисам как VirusTotal.com и virusscan.Jotti.org (если не знаете что это - доверьтесь своей интуиции). Если другими словами, то UVS позволяет проверить файлы исследуемой системы более чем тридцатью антивирусами онлайн. Для этого: "Подпись/Хэш" -> "Проверить все НЕПРОВЕРЕННЫЕ файлы на VirusTotal.com" или "Подпись/Хэш" -> "Проверить все НЕПРОВЕРЕННЫЕ файлы на virusscan.Jotti.org" После того как утилита проверить хэши файлов, результаты будут отображены во вкладке "Подозрительные и вирусы" (сейчас с ней как раз и работаем).
Файлы с положительным детектом получат статус "?ВИРУС?", а в колонке "Производитель" будет отображено количество антивирусов, которые посчитали файл зараженным. Двойном щелчок по записи, чтобы узнать подробности детекта. Здесь проанализируйте результаты, какие антивирусы посчитали файл зловредным и имя вируса. Помните, что любой антивирус имеет ложные срабатывания, поэтому если только какой-то один антивирус посчитал файл зловредным, то стоит дважды подумать перед удалением файла. Особенно детекты мало известных антивирусов должны подвергаться сомнению.
Если вы посчитали результаты онлайн анализа верными, добавьте сигнатуры зараженных файлов в вирусную базу UVS (как - смотри выше). Далее нажмите "Проверить список", "Убить все вирусы".
В этой части лечения необходимо будет анализировать зловредность записей самому, поэтому давайте разберем некоторые критерии подозрительности. Файл подозрителен, если:
  • странное расположение файла;
  • странное имя файла;
  • странное расширение файла;
  • отсутствие Производителя;
  • дата создания/изменения;
  • отсутствие/подозрительные версии, описания, названия продукта, Copyright;
  • загруженные неизвестные DLL
    Записи во вкладках, рассмотренных ниже, могут быть как зловредными, так и безопасными (необходимыми!) - внимательно анализируйте данные, не удаляйте (не добавляйте сигнатуры) с записей, если не уверены в правильности своих действий.
    Выберите вкладку "Основной автозапуск". В этой вкладке также отображен автозапуск браузеров, поэтому не обращайте внимание на записи "ABOUT:BLANK", "HTTP://WWW.MICROSOFT.COM/..." Явно подозрительный файл QQEXTRENAL.EXE, двойной щелчок мыши по нему, чтобы получить больше информации:
    Полное имя C:\WINDOWS\SYSTEM32\JARINET\QQEXTRENAL.EXE
    Статус в автозапуске
    Оригинальное имя xxDown.exe
    Версия файла 1.00
    Продукт xxd
    Производитель China
    Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Q
    Полученная информация о файле позволяет сделать вывод, что это зловредный файл (подозрительное расположение файла, странное имя, странная информация о продукте, странный производитель, странная ссылка в реестре). Добавляем его сигнатуру в вирусную базу (как - см. выше). И так далее, снимаем сигнатуры со всех действительно подозрительных файлов.
    Затем аналогично отработайте вкладки "Процессы", "Сервисы", "AUTORUN.INF", "Задачи", "Процессы без видимых окон".
    Вкладки "Internet/Windows Explorer" и "Другие браузеры" помогут избавиться от зловредных тулбаров, самооткрывающихся сайтов и т.п. (сигнатуры снять не получится - удаляйте все ссылки на объект через правую кнопку мыши). На записи "ABOUT:BLANK", "HTTP://WWW.MICROSOFT.COM/..." не обращайте внимания - они нужные.

    Затем нажмите "Проверить список", "Убить все вирусы".
    После удаления вирусных файлов, следует почистить систему от потенциальных последствий заражения системы и остатков зловреда с помощью утилиты UVS.
    Выберите в верхнем меню "Дополнительно" -> "Твики". Появится окно с твиками, которые помогают убрать последствия заражения. Щелкните по следующим твикам:
    Сброс ключей Winlogon в начальное состояние"
    Снять ограничения на запуск приложений в Explorer-е
    Также обратите внимание на другие твики. Например, если после удаления зловреда недоступен Диспетчер задач, то вы можете выбрать соответствующий твик для исправления. Если в результате заражения оказались заблокированы какие-то сайты, то выберите твик "Очистить HOSTS".
    Затем "Дополнительно" -> "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие". Данным действием вы прибьете возможные остатки вируса.
    И как заключительных штрих: "Дополнительно" -> "Перезагрузить проверяемый компьютер".
    После перезагрузки компьютера запустите UVS и убедитесь, что файлы зловреда не "воскресли" вновь.
[Торрент-статистика]
[Профиль]  [ЛС] 
Показать сообщения:    
Ответить на тему

Текущее время: Сегодня 04:15

Часовой пояс: GMT + 4



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы