Universal Virus Sniffer (uVS)

Тема в разделе "Прочие инструменты защиты компьютера", создана пользователем Rashevskiy, 18 авг 2010.

  1. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
    uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
    uVS обладает рядом уникальных функций:
    Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами, возможность создания и загрузки образа автозапуска, автогенерация сриптов для лечения, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

    Внимание: Программа исполняет команды без ненужных запросов, использование программы без понимания последствий собственных действий неизбежно приведет к печальным последствиям.


     
    E100, SNS-amigo, Soft и 13 другим нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.

    Возможности программы:
    1. Три основных режима: работа с активными, неактивными, удаленными системами.
    2. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
    3. Создание образов автозапуска. (например для удаленного помощника).
    4. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
    5. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
    6. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
    7. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
    8. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
    9. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписей под чистой системой]
    10. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
    11. Обнаружение скрытых DLL в адресном пространстве процесса.
    12. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
    13. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
    14. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
    15. Бэкап реестра с его дефрагментацией и восстановлением.
    16. Выявление исполняемых файловых потоков.
    17. Виртуализация реестра.
    18. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.

    Скачать (актуальная версия v3.60) SHA1: CA0170C7189F876807C7BB3E7770E41AC85FFE64

    База проверенных файлов [ZIP 10,1Mb] 532512 хэшей в базе [29.04.2011]


    И немного от себя.
    Достойный инструмент для работы с заражёнными системами.
     
    Soft, Legion107, machito и 9 другим нравится это.
  3. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    а кто то уже проверял?? мы же смотрели ее зимой и тогда решили что пока сырая...
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Я даже использовал в лечении. Достойно.
     
  5. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    Более чем. :)
    Может быть стоит пригласить автора утилиты на наш SafeZone?
     
    Legion107 нравится это.
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Ничего не имею против если ему будет интересно у нас :)
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    v3.61
    Добавил работу с DNS + мелкие исправления и улучшения.

    o Добавлена новая категория "DNS".
    DNS доступен для редактирования в любом режиме.
    Скриптовая команда для установки dns подключения - "setdns".
    Поддерживается IPv4 и IPv6.
    Для IPv4 доступна быстрая замена DNS на один из популярных DNS.

    o Функции проверки файлов на VT теперь можно прервать нажав ESC.
    (!) Нажатие ESC прерывает процесс добавления новых файлов в очередь, завершение всего процесса
    (!) произойдет после завершения всех запущенных на момент нажатия потоков.

    o Добавлен новый пункт меню "Реестр->[HKLM] Очистить System\MountedDevices"
    Скриптовая команда "clrmd".
    Функция предназначена для исправления проблем возникших из-за переноса системы на другой носитель.

    o Новая функция: "Реестр->Проверить параметры классов устройств по копии реестра"
    Назначение функции: выявление различий с целью восстановления нормальной работы системы.

    o При невозможности увеличить длину сигнатуры для устранения ложного детекта теперь предлагается удалить сигнатуру из базы.

    o В окно информации о файле добавлена командная строка для процессов.
    Дополнительно производится разбор командной строки и найденные в ней исполняемые файлы помещаются
    в категорию "Запускался неявно или вручную".

    o В окно удаленного рабочего стола добавлены 3 кнопки.
    "CAD" - симулировать нажатие Ctrl+Alt+Del
    "<" - предыдущий рабочий стол
    ">" - следующий рабочий стол
    В заголовке окна отображается название рабочего стола.

    o Загрузка профилей отложена на первое обновление списка, что позволяет при работе с удаленной системой
    выполнять вход в рабочую станцию если не было ни одного обновления списка. (установлен флаг bNetFastLoad)

    o Исправлена функция "Добавить хэши всех проверенных файлов в базу проверенных"
    при работе с удаленной системой вызов этой функции иногда приводил к аварийному завершению uVS.

    o Исправлена функция получения экрана при работе с удаленным рабочим столом.

    http://dsrt.dyndns.org/files/uvs_v361.zip
     
    5 пользователям это понравилось.
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    3.63
    Очередное исправление.

    o Добавлено 3 ключа реестра.

    o Добавлен тип сравнения "Не равно" для критерия.
    Поддержка автоконвертации формата файла snms удалена (формат до v3.50).

    o Установлено ограничение (20Mb) на размер файла при массовой проверке хэшей на VT.

    o При проверке по хэшу на VT дополнительно выводится дата первого появления файла [First Seen] на VT.
    Время удалено.

    o Новый пункт меню "Файл->Сохранить системный реестр".
    (!) Для активной системы реестр сохраняется полностью только при запуске под LocalSystem.

    o Добавлена новая скриптовая команда "adddir".
    Команда добавляет все исполняемые файлы указанного каталога в список.

    o В твик номер 12 добавлено удаление значений:
    • Welcome
    • LogonPrompt
    • LegalNoticeText
    • LegalNoticeCaption
    o Исправлена ошибка в функции разбора lnk файлов.

    o Исправлена ошибка в функции разбора job файлов.

    o Исправлена ошибка в функции разбора командной строки.

    o Исправлена ошибка в функции компенсации буквы диска.
    (В некоторых случаях при сверке выдавалось ложное сообщение о том, что файл сверки испорчен).

    o Исправлена ошибка из-за которой файлы добавленные вручную пропускались при проверке списка по F7.

    http://dsrt.dyndns.org/files/uvs_v363.zip

    База проверенных файлов (от 29.05.2011)
     
    4 пользователям это понравилось.
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Пора в Полезно знать, наверное инструкцию добавлять.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    У разработчика нет времени :)
     
    1 человеку нравится это.
  11. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    Обидно... :sorry:

    Добавлено через 1 минуту 19 секунд
    Да, согласен, я думаю, что это очень эффективный инструмент для лечения активного заражения.
     
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Релиз v3.64

    Релиз v3.64

    • Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.
    • Новая функция в контекстном меню файла: "Добавить все исполняемые файлы каталога в список" (доступна для всех режимов)
    • Добавлена поддержка virusscan.jotti.org (!) Сервер сильно ограничивает количество запросов.
    • Функция "Сохранить системный реестр" теперь создает отдельный подкаталог для файлов реестра.
    • Исправлены ошибки в функциях проверки хэша файла на VT приводившие к пропуску файлов, а иногда и к аварийному завершению uVS.
    • Исправлена ошибка в функции анализа установленных тулбаров MSIE.

    uVS v3.64 [ZIP 1,4Mb] SHA1: DF0667E11FAC9F412E7D565E83ED4FB8B0DCF1EA

    База проверенных файлов [ZIP 10,5Mb] 544553 хэшей в базе [03.06.2011]
     
    1 человеку нравится это.
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Попросил разработчика добавить а функционал по очистке точек восстановления, кроме полного отключения.
     
    1 человеку нравится это.
  14. Страждущий
    Оффлайн

    Страждущий Гость

    Вопрос. Исчез у меня на Висте Блокнот. Ярлык был в Пуск. Открыл Папку не помню Windows или System32. Нашел там notepad.exe. Отправил в Пуск. Переименовал в Блокнот.exe. Ну так с ним и работал. Скачал сейчас uvs_v364 и из любопытства стал щелкать по всем пунктам в ней. Дощелкался до того, что комп перезагрузился. Исчез из Пуск Блокнот.exe.
    Зашел в Windows. Нашел notepad (без exe) отправил в Пуск. Переименовал в Блокнот. Теперь Блокнот (без exe). Работает. Что это было ? Почему был exe, а стал не exe и куда он делся :)
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Вот ключевое предложение. Вариант прост откатиться при помощи точки восстановления.
     
  16. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Страждущий, могу предположить, что теперь расширения для зарегистрированных типов файлов не показываются.
     
  17. Страждущий
    Оффлайн

    Страждущий Гость

    Вопрос был в другом: вообще-то notepad в Windows вдруг тогда стал exe.
    А без exe исчез? А теперь исчез notepad.exe , а стал нормальный notepad (без exe). И работает при этом хорошо.
    P.S. Спасибо. Разобрался с этим exe. Отключено было в свойствах Папки отображение расширений. Это uvs_v364, наверное, отключила показ расширений, пока я беспорядочно по ней щелкал.
    Включил в Свойствах Папки - Показ расширений, теперь он опять exe
     
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    v3.65

    • Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла, о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных. (в т.ч. и при работе с образами сделанными предыдущими версиями uVS)

    • Подкаталог STORE теперь является дефолтным хранилищем файлов.
      Структура хранилища:
      Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки) для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае последняя буква расширения должна быть заменена на подчеркивание.
      Допускается расположение файлов во вложенных подкаталогах.
      Примеры имен основных каталогов: NT50, NT61x64 и т.п.

    • В контекстное меню файла добавлена команда "Скопировать файл в STORE".

    • Скриптовая команда exec теперь допускает использование сокращений пути до файла:
      %SYS32% = подкаталог SYSTEM32 проверяемой системы
      %SYSTEMROOT% = каталог проверяемой системы
      %SYSTEMDRIVE% = имя диска где расположена система

    • Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"
      Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его запрашивает.
      Скриптовая команда "rknown".
      (!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды
      (!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.

    • В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".

    • Работа со скриптами вынесена в отдельное меню "Скрипт".

    • Новый пункт меню: "Скрипт->Проверить скрипт".

    • Модифицирована функция:
      "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)
      После удаления временных файлов и перед удалением ссылок добавлено обновление списка.

    • Добавлена новая скриптовая команда "crimg".
      Команда создает полный образ автозапуска.

    • В твик номер 12 добавлено удаление значений:
      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText
      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption

    • Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.

    • Для jotti.org введено ограничение на 1 поток.
      Максимальное количество запросов ограничивается сервером (60 запросов максимум).

    • Для virustotal.com введено ограничение на 4 потока.

    Источник

    uVS v3.65 [ZIP 1,4Mb] SHA1: 03891E07A3F9657B0B2FB953D670EB61C1D83500

    База проверенных файлов [ZIP 10,5Mb] 548716 хэшей в базе [17.06.2011]
     
    Последнее редактирование модератором: 26 июн 2011
    1 человеку нравится это.
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    v3.66
    Небольшое обновление.

    o Добавлена поддержка сохранения и проверки кода загрузчика в MBR.
    Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или
    в контекстном меню лога. (если выделена строка с хэшем).
    (для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)

    o Новый пункт в меню "Руткиты":
    Заменить загрузчик в MBR (кроме работы с удаленной системой)
    С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.
    Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.
    Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.
    Скриптовая команда "fixmbr" с параметром.

    o Новый пункт в меню "Файл"
    Восстановить системный реестр из каталога...
    Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом.
    Доступен выбор произвольного каталога с реестром. (кнопка "Другой")
    (!) Для неактивных систем перезагрузка не требуется.
    (!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится.
    (!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem,
    (!) компьютер перезагружается автоматически.

    o Твик #23: "Очистить ВСЕ каталоги System Volume Information"
    (в частности удаляются все точки восстановления).

    o Расширен вывод информации в лог при работе с Jotti.

    o Исправлена ошибка в функции сохранения системного реестра удаленной системы.

    o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе
    с образом.


    Добавлено через 10 минут 19 секунд
    uVS v3.66 или с зеркала

    База проверенных файлов [ZIP 11Mb] 555843 хэшей в базе [26.06.2011]
     
    1 человеку нравится это.
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    С твиком №23 стало хорошо.
     

Поделиться этой страницей