• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
Universal Virus Sniffer (uVS)

Universal Virus Sniffer (uVS) 4.0.11

Rashevskiy

Активный пользователь
Сообщения
142
Симпатии
217
#1
uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
uVS обладает рядом уникальных функций:
Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами, возможность создания и загрузки образа автозапуска, автогенерация сриптов для лечения, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

[fieldset=Внимание:] Программа исполняет команды без ненужных запросов, использование программы без понимания последствий собственных действий неизбежно приведет к печальным последствиям.[/fieldset]

 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#2
Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.

Возможности программы:
  1. Три основных режима: работа с активными, неактивными, удаленными системами.
  2. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
  3. Создание образов автозапуска. (например для удаленного помощника).
  4. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
  5. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
  6. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
  7. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
  8. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
  9. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписей под чистой системой]
  10. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
  11. Обнаружение скрытых DLL в адресном пространстве процесса.
  12. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
  13. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
  14. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
  15. Бэкап реестра с его дефрагментацией и восстановлением.
  16. Выявление исполняемых файловых потоков.
  17. Виртуализация реестра.
  18. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.

Скачать (актуальная версия v3.60) SHA1: CA0170C7189F876807C7BB3E7770E41AC85FFE64

База проверенных файлов [ZIP 10,1Mb] 532512 хэшей в базе [29.04.2011]


И немного от себя.
Достойный инструмент для работы с заражёнными системами.
 

Arbitr

Ассоциация VN
Сообщения
3,606
Симпатии
1,656
#3
а кто то уже проверял?? мы же смотрели ее зимой и тогда решили что пока сырая...
 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#4
Я даже использовал в лечении. Достойно.
 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#6
Ничего не имею против если ему будет интересно у нас :)
 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#7
v3.61
Добавил работу с DNS + мелкие исправления и улучшения.

o Добавлена новая категория "DNS".
DNS доступен для редактирования в любом режиме.
Скриптовая команда для установки dns подключения - "setdns".
Поддерживается IPv4 и IPv6.
Для IPv4 доступна быстрая замена DNS на один из популярных DNS.

o Функции проверки файлов на VT теперь можно прервать нажав ESC.
(!) Нажатие ESC прерывает процесс добавления новых файлов в очередь, завершение всего процесса
(!) произойдет после завершения всех запущенных на момент нажатия потоков.

o Добавлен новый пункт меню "Реестр->[HKLM] Очистить System\MountedDevices"
Скриптовая команда "clrmd".
Функция предназначена для исправления проблем возникших из-за переноса системы на другой носитель.

o Новая функция: "Реестр->Проверить параметры классов устройств по копии реестра"
Назначение функции: выявление различий с целью восстановления нормальной работы системы.

o При невозможности увеличить длину сигнатуры для устранения ложного детекта теперь предлагается удалить сигнатуру из базы.

o В окно информации о файле добавлена командная строка для процессов.
Дополнительно производится разбор командной строки и найденные в ней исполняемые файлы помещаются
в категорию "Запускался неявно или вручную".

o В окно удаленного рабочего стола добавлены 3 кнопки.
"CAD" - симулировать нажатие Ctrl+Alt+Del
"<" - предыдущий рабочий стол
">" - следующий рабочий стол
В заголовке окна отображается название рабочего стола.

o Загрузка профилей отложена на первое обновление списка, что позволяет при работе с удаленной системой
выполнять вход в рабочую станцию если не было ни одного обновления списка. (установлен флаг bNetFastLoad)

o Исправлена функция "Добавить хэши всех проверенных файлов в базу проверенных"
при работе с удаленной системой вызов этой функции иногда приводил к аварийному завершению uVS.

o Исправлена функция получения экрана при работе с удаленным рабочим столом.

http://dsrt.dyndns.org/files/uvs_v361.zip
 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#8
3.63
Очередное исправление.

o Добавлено 3 ключа реестра.

o Добавлен тип сравнения "Не равно" для критерия.
Поддержка автоконвертации формата файла snms удалена (формат до v3.50).

o Установлено ограничение (20Mb) на размер файла при массовой проверке хэшей на VT.

o При проверке по хэшу на VT дополнительно выводится дата первого появления файла [First Seen] на VT.
Время удалено.

o Новый пункт меню "Файл->Сохранить системный реестр".
(!) Для активной системы реестр сохраняется полностью только при запуске под LocalSystem.

o Добавлена новая скриптовая команда "adddir".
Команда добавляет все исполняемые файлы указанного каталога в список.

o В твик номер 12 добавлено удаление значений:
  • Welcome
  • LogonPrompt
  • LegalNoticeText
  • LegalNoticeCaption
o Исправлена ошибка в функции разбора lnk файлов.

o Исправлена ошибка в функции разбора job файлов.

o Исправлена ошибка в функции разбора командной строки.

o Исправлена ошибка в функции компенсации буквы диска.
(В некоторых случаях при сверке выдавалось ложное сообщение о том, что файл сверки испорчен).

o Исправлена ошибка из-за которой файлы добавленные вручную пропускались при проверке списка по F7.

http://dsrt.dyndns.org/files/uvs_v363.zip

База проверенных файлов (от 29.05.2011)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#9
Пора в Полезно знать, наверное инструкцию добавлять.
 

Rashevskiy

Активный пользователь
Сообщения
142
Симпатии
217
#11
У разработчика нет времени :)
Обидно... :sorry:

Добавлено через 1 минуту 19 секунд
Пора в Полезно знать, наверное инструкцию добавлять.
Да, согласен, я думаю, что это очень эффективный инструмент для лечения активного заражения.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#12
Релиз v3.64

Релиз v3.64

  • Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.
  • Новая функция в контекстном меню файла: "Добавить все исполняемые файлы каталога в список" (доступна для всех режимов)
  • Добавлена поддержка virusscan.jotti.org (!) Сервер сильно ограничивает количество запросов.
  • Функция "Сохранить системный реестр" теперь создает отдельный подкаталог для файлов реестра.
  • Исправлены ошибки в функциях проверки хэша файла на VT приводившие к пропуску файлов, а иногда и к аварийному завершению uVS.
  • Исправлена ошибка в функции анализа установленных тулбаров MSIE.

uVS v3.64 [ZIP 1,4Mb] SHA1: DF0667E11FAC9F412E7D565E83ED4FB8B0DCF1EA

База проверенных файлов [ZIP 10,5Mb] 544553 хэшей в базе [03.06.2011]
 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#13
Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.
Попросил разработчика добавить а функционал по очистке точек восстановления, кроме полного отключения.
 
С

Страждущий

#14
Вопрос. Исчез у меня на Висте Блокнот. Ярлык был в Пуск. Открыл Папку не помню Windows или System32. Нашел там notepad.exe. Отправил в Пуск. Переименовал в Блокнот.exe. Ну так с ним и работал. Скачал сейчас uvs_v364 и из любопытства стал щелкать по всем пунктам в ней. Дощелкался до того, что комп перезагрузился. Исчез из Пуск Блокнот.exe.
Зашел в Windows. Нашел notepad (без exe) отправил в Пуск. Переименовал в Блокнот. Теперь Блокнот (без exe). Работает. Что это было ? Почему был exe, а стал не exe и куда он делся :)
 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#15
любопытства стал щелкать по всем пунктам в ней. Дощелкался до того, что комп перезагрузился. Исчез из Пуск Блокнот.exe
Вот ключевое предложение. Вариант прост откатиться при помощи точки восстановления.
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#16
Страждущий, могу предположить, что теперь расширения для зарегистрированных типов файлов не показываются.
 
С

Страждущий

#17
Вопрос был в другом: вообще-то notepad в Windows вдруг тогда стал exe.
А без exe исчез? А теперь исчез notepad.exe , а стал нормальный notepad (без exe). И работает при этом хорошо.
P.S. Спасибо. Разобрался с этим exe. Отключено было в свойствах Папки отображение расширений. Это uvs_v364, наверное, отключила показ расширений, пока я беспорядочно по ней щелкал.
Включил в Свойствах Папки - Показ расширений, теперь он опять exe
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,709
#18
v3.65

  • Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла, о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных. (в т.ч. и при работе с образами сделанными предыдущими версиями uVS)

  • Подкаталог STORE теперь является дефолтным хранилищем файлов.
    Структура хранилища:
    Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки) для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае последняя буква расширения должна быть заменена на подчеркивание.
    Допускается расположение файлов во вложенных подкаталогах.
    Примеры имен основных каталогов: NT50, NT61x64 и т.п.

  • В контекстное меню файла добавлена команда "Скопировать файл в STORE".

  • Скриптовая команда exec теперь допускает использование сокращений пути до файла:
    %SYS32% = подкаталог SYSTEM32 проверяемой системы
    %SYSTEMROOT% = каталог проверяемой системы
    %SYSTEMDRIVE% = имя диска где расположена система

  • Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"
    Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его запрашивает.
    Скриптовая команда "rknown".
    (!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды
    (!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.

  • В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".

  • Работа со скриптами вынесена в отдельное меню "Скрипт".

  • Новый пункт меню: "Скрипт->Проверить скрипт".

  • Модифицирована функция:
    "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)
    После удаления временных файлов и перед удалением ссылок добавлено обновление списка.

  • Добавлена новая скриптовая команда "crimg".
    Команда создает полный образ автозапуска.

  • В твик номер 12 добавлено удаление значений:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption

  • Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.

  • Для jotti.org введено ограничение на 1 поток.
    Максимальное количество запросов ограничивается сервером (60 запросов максимум).

  • Для virustotal.com введено ограничение на 4 потока.

Источник

uVS v3.65 [ZIP 1,4Mb] SHA1: 03891E07A3F9657B0B2FB953D670EB61C1D83500

База проверенных файлов [ZIP 10,5Mb] 548716 хэшей в базе [17.06.2011]
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#19
v3.66
Небольшое обновление.

o Добавлена поддержка сохранения и проверки кода загрузчика в MBR.
Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или
в контекстном меню лога. (если выделена строка с хэшем).
(для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)

o Новый пункт в меню "Руткиты":
Заменить загрузчик в MBR (кроме работы с удаленной системой)
С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.
Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.
Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.
Скриптовая команда "fixmbr" с параметром.

o Новый пункт в меню "Файл"
Восстановить системный реестр из каталога...
Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом.
Доступен выбор произвольного каталога с реестром. (кнопка "Другой")
(!) Для неактивных систем перезагрузка не требуется.
(!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится.
(!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem,
(!) компьютер перезагружается автоматически.

o Твик #23: "Очистить ВСЕ каталоги System Volume Information"
(в частности удаляются все точки восстановления).

o Расширен вывод информации в лог при работе с Jotti.

o Исправлена ошибка в функции сохранения системного реестра удаленной системы.

o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе
с образом.


Добавлено через 10 минут 19 секунд
uVS v3.66 или с зеркала

База проверенных файлов [ZIP 11Mb] 555843 хэшей в базе [26.06.2011]
 

akok

Команда форума
Администратор
Сообщения
14,355
Симпатии
11,890
#20
С твиком №23 стало хорошо.