[Лечение компьютера - это просто]
Главная Статьи и методики Софт Форум Гостевая Контакты Ссылки
 
>> Удаление вирусов/троянов с помощью Universal Virus Sniffer
 

Artem http://antivir.host22.com/ Обновлено: 14.10.2012

:: Введение

Антивирусная утилита Universal Virus Sniffer является мощным инструментом для борьбы с различными зловредами. Рассчитана она на опытного пользователя, т.к. в неумелых руках может причинить больше вреда чем пользы, но когда пользователь видит только одно решение вирусное проблемы - переустановка Windows, то почему бы не попробовать излечить компьютер профессиональным инструментом? К тому же данная инструкция написана в стиле "от простого к сложному" и начальная ее часть позволяет избавится от вирусов, которые не может победить установленный антивирус (включая разные антивирусные сканеры), пользователю без спецзнаний.

:: Подготовка

Скачайте программу Universal Virus Sniffer (UVS) с официального сайта: http://dsrt.dyndns.org/uvsfiles.htm Скаченный архив разархивируйте.

Затем по ссылке выше скачайте архив "База проверенных файлов", его содержимое (файл MAIN) извлеките в папку SHA, которая находится в папке программы UVS.

Если сайт разработчика программы UVS в данный момент не доступен, то скачайте с файлообменника: http://depositfiles.com/folders/A5PK4YRKA Скачивайте файл последней версии uvs_vXXXpack_ru.zip, в нем уже будет "База проверенных файлов", правда, не факт что самая свежая, но при невозможности скачать с официального сайта - это уже будет хорошо.

Бывает так, что на зараженном компьютере проблемы с доступом в интернет, тогда произведите действия выше на здоровой системе, запишите результат на флэшку и используйте ее на зараженном компьютере.

На зараженном компьютере запустите программу UVS с помощью файла start.exe , а в случае сложного заражения (вирус активно сопротивляется уничтожению) используйте файл startf.exe. Если Windows версий Vista/7/8, то необходимо запускать программу щелчком правой кнопки мыши по файлу и выбора пункта "Запустить от имени администратора".

Есть зловреды, которые блокируют запуск антивирусных программ (да и вообще всех программ), например, один известные поддельный (фэйковый) антивирус, в этом случае переименуйте файл startf.exe в winlogon.exe и запускайте его. Если все равно утилита не запускается, то найдите в папке UVS файл "_unlock.inf", вызовите контекстное меню щелчком правой кнопки мыши по файлу, выберите "Установить".

Выберите «Запустить под LocalSystem (максимальные права, без доступа к сети)» или «Запустить под текущим пользователем». Открывается главное окно утилиты UVS, с выбранной вкладкой «Подозрительные и вирусы» в которой отображены вирусы, а также файлы и процессы, которые показались подозрительными утилите UVS.

Нажмите клавишу F4 для скрытия известных файлов, подождите пока UVS анализирует систему. Появится галка "Скрыть известные". Затем нажмите клавишу F6 и подождите пока UVS проверят цифровые подписи файлов. Затем поставьте галку на "Скрыть известные".

Убедитесь, что стоят галки на "Скрыть проверенные" и "Скрыть известные" и приступайте к лечению...

:: Простой вариант лечения - часть первая

У вас выбрана вкладка "Подозрительные и вирусы", в ней отображены файлы (записи), которые показались программе UVS подозрительными. Но если файл показался подозрителен программе, то это не значит, что файл обязательно зловреден - нужно проанализировать информацию о файле. Чтобы получить больше информации о файле - двойной щелчок левой кнопки мыши по файлу, внимательно изучите информацию о файле.

Т.к. сейчас изучаем вкладку подозрительных, то особое внимание разделу "Статус", чтобы понять почему UVS посчитала файл подозрительным, а также внимательно изучите остальную информацию. В принципе, т.к. скрыли показ известных файлов и подписанных, то в данной вкладке не должно остаться критичноважных чистых файлов, которые были бы ложно определены как подозрительные. Предлагаю приступить к уничтожению вирусов.

Добавьте сигнатуры подозрительных файлов в вирусную базу UVS. Чтобы занести сигнатуру подозрительного файла в базу, щелкните правой кнопкой мыши по записи и выберите "Добавить сигнатуру файла в вирусную базу".

Появится окно, в котором необходимо придумать имя вирусу. В случае, если UVS предлагает длину сигнатуры 8, то советую увеличить до 32 (воизбежание ложных срабатываний).

Нажмите "Ok".

Снимите (добавьте) сигнатуры со всех действительно подозрительных файлов. Затем нажмите кнопку "Проверить список". Файлы с вирусными сигнатурами будут выделены красным цветом, а в колонке "Статус" будут отображены имена вирусов, которые вы им дали.

Нажмите кнопку "Убить все вирусы".

:: Простой вариант лечения - часть вторая

Данную часть выполняйте только если есть доступ в интернет на зараженном компьютере, иначе переходите к третьей.

Программа Universal Virus Sniffer позволяет сверить хэши файлов исследуемой системы с хэшами, которые известны таким сервисам как VirusTotal.com и virusscan.Jotti.org (если не знаете что это - доверьтесь своей интуиции). Если другими словами, то UVS позволяет проверить файлы исследуемой системы более чем тридцатью антивирусами онлайн. Для этого: "Подпись/Хэш" -> "Проверить все НЕПРОВЕРЕННЫЕ файлы на VirusTotal.com" или "Подпись/Хэш" -> "Проверить все НЕПРОВЕРЕННЫЕ файлы на virusscan.Jotti.org".

После того как утилита проверить хэши файлов, результаты будут отображены во вкладке "Подозрительные и вирусы" (сейчас с ней как раз и работаем).

Файлы с положительным детектом получат статус "?ВИРУС?", а в колонке "Производитель" будет отображено количество антивирусов, которые посчитали файл зараженным.

Двойном щелчок по записи, чтобы узнать подробности детекта.

Здесь проанализируйте результаты, какие антивирусы посчитали файл зловредным и имя вируса. Помните, что любой антивирус имеет ложные срабатывания, поэтому если только какой-то один антивирус посчитал файл зловредным, то стоит дважды подумать перед удалением файла. Особенно детекты мало известных антивирусов должны подвергаться сомнению.

Если вы посчитали результаты онлайн анализа верными, добавьте сигнатуры зараженных файлов в вирусную базу UVS (как - смотри выше). Далее нажмите "Проверить список", "Убить все вирусы".

:: Простой вариант лечения - часть третья

Если не уверены, что сможете выполнить эту часть, то переходите к "последним штрихам"!

В этой части лечения необходимо будет анализировать зловредность записей самому, поэтому давайте разберем некоторые критерии подозрительности. Файл подозрителен, если:

  • странное расположение файла;
  • странное имя файла;
  • странное расширение файла;
  • отсутствие Производителя;
  • дата создания/изменения;
  • отсутствие/подозрительные версии, описания, названия продукта, Copyright;
  • загруженные неизвестные DLL

Записи во вкладках, рассмотренных ниже, могут быть как зловредными, так и безопасными (необходимыми!) - внимательно анализируйте данные, не удаляйте (не добавляйте сигнатуры) с записей, если не уверены в правильности своих действий.

Выберите вкладку "Основной автозапуск". В этой вкладке также отображен автозапуск браузеров, поэтому не обращайте внимание на записи "ABOUT:BLANK", "HTTP://WWW.MICROSOFT.COM/...".

Посмотрите на скриншот:

Явно подозрительный файл QQEXTRENAL.EXE, двойной щелчок мыши по нему, чтобы получить больше информации:

  • Полное имя C:\WINDOWS\SYSTEM32\JARINET\QQEXTRENAL.EXE
  • Статус в автозапуске
  • Оригинальное имя xxDown.exe
  • Версия файла 1.00
  • Продукт xxd
  • Производитель China
  • Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Q

Полученная информация о файле позволяет сделать вывод, что это зловредный файл (подозрительное расположение файла, странное имя, странная информация о продукте, странный производитель, странная ссылка в реестре). Добавляем его сигнатуру в вирусную базу (как - см. выше). И так далее, снимаем сигнатуры со всех действительно подозрительных файлов.

Затем аналогично отработайте вкладки "Процессы", "Сервисы", "AUTORUN.INF", "Задачи", "Процессы без видимых окон".

Вкладки "Internet/Windows Explorer" и "Другие браузеры" помогут избавиться от зловредных тулбаров, самооткрывающихся сайтов и т.п. (сигнатуры снять не получится - удаляйте все ссылки на объект через правую кнопку мыши). На записи "ABOUT:BLANK", "HTTP://WWW.MICROSOFT.COM/..." не обращайте внимания - они нужные.

Затем нажмите "Проверить список", "Убить все вирусы".

:: Последние штрихи

После удаления вирусных файлов, следует почистить систему от потенциальных последствий заражения системы и остатков зловреда с помощью утилиты UVS.

Выберите в верхнем меню "Дополнительно" -> "Твики". Появится окно с твиками, которые помогают убрать последствия заражения.

Щелкните по следующим твикам:

  • Сброс ключей Winlogon в начальное состояние"
  • Снять ограничения на запуск приложений в Explorer-е

Также обратите внимание на другие твики. Например, если после удаления зловреда недоступен Диспетчер задач, то вы можете выбрать соответствующий твик для исправления. Если в результате заражения оказались заблокированы какие-то сайты, то выберите твик "Очистить HOSTS".

Затем "Дополнительно" -> "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие". Данным действием вы прибьете возможные остатки вируса.

И как заключительных штрих: "Дополнительно" -> "Перезагрузить проверяемый компьютер".

После перезагрузки компьютера запустите UVS и убедитесь, что файлы зловреда не "воскресли" вновь.

:: Если вирус активно сопротивляется

В случае активного сопротивления зловреда попробуйте следующее способы:

  • Загрузитесь в Безопасном режиме Windows с поддержкой командной строки. В командной строке введите explorer и нажмите Enter - загрузится Проводник, далее запускайте UVS.
  • Выберите в UVS "Дополнительно" -> "Выгрузить ВСЕ неизвестные процессы и блокировать запуск служб" или "Выгрузить ВСЕ неизвестные/непроверенные процессы и блокировать запуск служб" или "Выгрузить ВСЕ процессы, кроме системных, блокировать запуск оболочки и запуск служб
  • Лечите с LiveCD.

:: P.S.

Данная инструкция будет развиваться и совершенствоваться, а пока дам ссылки на полезную информацию:

Обсудить на форуме >>


При использовании данного материала, просьба указывать ссылку на http://antivir.host22.com/

назад | наверх


 

 

 
  Разделы
Статьи и методики
Эффективные методы лечения компьютера своими руками
Софт
Программы для защиты и лечения  компьютера
Форум
Действует online помощь посетителям
Гостевая книга

  Статьи

При использовании материалов обязательна ссылка на http://antivir.host22.com 
©
Artem.