Universal Virus Sniffer (uVS)

Universal Virus Sniffer (uVS) 4.1.8

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
чет я что то не понимаю.. согласно инструкции делаю лог
Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
и получаю вот такой лог, я что то не понимаю.. как же его смотреть тут же глаза блин сломаешь
 

Вложения

грум

Команда форума
Администратор
Сообщения
3,415
Реакции
1,803
Баллы
583
Arbitr
надо надо запустить UVS там есть строка загрузить образ
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
uVS 3.67BETA

uVS 3.67 BETA
База проверенных обновлена.

  • Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
    Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
    • Для FAT16/exFAT сохраняется код из бутсектора.
    • Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
    • Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
    Функция доступна в любом режиме.

  • Добавлена поддержка сохранения и проверки кода IPL. (15 секторов за бутсектором NTFS)
    Функция доступна в любом режиме.

  • Добавлена возможность перезаписи загрузчиков VBR/IPL.

  • Добавлены скриптовые команды fixvbr и fixipl.
    Пример: fixvbr c: 6
    где с - имя загрузочного диска,
    6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)
    Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.
    Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
    Команды fixvbr/fixipl принимают в качестве второго параметра любое_число.
    Разделение команд сделано специально, поскольку в некоторых случаях (Boot.Cidox) требуется восстановление только IPL.
    • Команды не_доступны при работе с удаленной системой.

  • VBR/MBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

  • Новые параметр в settings.ini
    [Settings]
    ; Фильтр по производителю антивируса через запятую.
    vFilter
    Фильтр применяется в функциях массовой проверки файлов.
    Результаты проверки антивирусом не попавшим в список учитываться не будут.
    Пример: Kaspersky, DrWeb, AntiVir, Comodo
    • Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно указывать оба варианта.

  • Изменен формат файла сверки.
    Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

  • Удалено из лога сообщение о том что хэш загрузчика есть в базе.
    В лог выводится информация лишь о непроверенных загрузчиках.

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
v3.67

v3.67
База проверенных обновлена.

Финальный список исправлений:

  • Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
    • Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
    • Для FAT16/exFAT сохраняется код из бутсектора.
    • Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
    • Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
    • Функция доступна в любом режиме.

  • Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS)
    • Функция доступна в любом режиме.

  • Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS). (меню "Руткиты")

  • Добавлена скриптовая команда fixvbr.
    Пример: fixvbr c: 6
    где с - имя загрузочного диска,
    6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)
    • Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.
    • Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
    • Команда fixvbr принимает в качестве второго параметра любое _число.
    • (!) Команда не_доступна при работе с удаленной системой.

  • MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

  • Новый пункт в меню "Реестр" -> "[INTEL] Включить поддержку AHCI..."
    • Функция доступна для активной и неактивной системы. (Для XP/2k3 перед использованием см. AHCI.txt).
    • (!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений.

  • Новые параметры в settings.ini
    [Settings]
    ; Фильтр по производителю антивируса через запятую.
    vFilter (сторка)
    Фильтр применяется в функциях массовой проверки файлов.
    Результаты проверки антивирусом не попавшим в список учитываться не будут.
    Пример: Kaspersky, DrWeb, AntiVir
    • (!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно
    • (!) указывать оба варианта.

    ; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранне полученных данных с VT или JT.
    vGetName (строка)
    В строке можно указать через запятую производителей в порядке приоритета.
    Пример: Kaspersky, DrWeb, AntiVir
  • Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу. Функция доступна в контекстном меню файла. Скриптовая команда "rbl".

  • Новая горячая клавиша Alt+M. Переключает режим поиска: по имени или по производителю.

  • Разрешено добавление сигнатур из файлов находящихся в локальном Zoo. (для всех режимов)

  • В uVS добавлена базовая поддержка GPT. Соотв. загрузчики присутствуют в списке под именем MBRGPT#...

  • (!) Изменен формат базы вирусов.
    • Добавлена функция обнаружения повреждений базы.
    • Добавлено примечание (127 символов) и длина имени увеличена до 39 символов.
    • База конвертируется автоматически при первом ее изменении.
    • Импорт поддерживается из обоих форматов.

  • (!) Изменен формат файла сверки. Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
v3.68

uVS v3.68 [ZIP 1,4Mb] SHA1: D00F09C9AD5FBB7C472F8F0007876F6F10540422

База проверенных файлов [ZIP 12Mb] 558808 хэшей в базе [26.07.2011]

Исправление, как показали опыты в ключе *\Control\Session Manager\AppCertDlls
можно создавать значения с произвольным именем значения (в т.ч. и в дефолтном) и прописанная в нем dll будет успешно подгружаться в процессы, соотв. теперь обрабатываются все строковые значения в данном ключе, обработка скриптовой команды delref тоже пофиксена.

  • В список для проверки добавлено 2 ключа реестра.

  • Новая функция в меню "Дополнительно"->"Сбросить атрибуты для всех файлов/каталогов в..."
    • Функция НЕ_доступна при работе с образом.

  • Новая функция в меню "Настройка"->"Ручная настройка трансляции имен дисков..."
    • Функция доступна при работе с неактивной системой.

  • Новый параметр в settings.ini
    [Settings]
    ; Автоматическое добавление исполняемых файлов в указанных каталогах в список
    AddDirs
    Разделитель: |
    Флаг отмены рекурсии: >
    Допустимо использование скриптовых сокращений пути.
    Пример: %sys32% | d:\tools | >%SystemDrive%
  • Исправлена ошибка в start.exe
    • При возникновении проблем с доступом к необходимым файлам мог происходить самопроизвольный сброс некоторых флагов.

  • Модифицирована функция безопасного удаления...
    • Функция не удаляет ссылки на файлы имеющие лишний "\" перед именем файла.

  • Исправлена ошибка в функции проверки скрипта.


Источник
 

Вархаммер

Активный пользователь
Сообщения
162
Реакции
106
Баллы
433
Я в 2010 г. предлагал ввести его в обучение.
Можно еще обратить внимание на утилиту Universal Virus Sniffer (uVS), которой проводять лечение на форуме ESET.
Видно же, что у утилиты большой потенциал. Скоро наверное AVZ будет использоваться, в лечении так же как и сейчас HijackThis. То есть, фактически никак. :)
 

akok

Команда форума
Администратор
Сообщения
17,785
Реакции
13,524
Баллы
2,203
Скоро наверное AVZ будет использоваться, в лечении так же как и сейчас HijackThis.
Возможно AVZ переродиться в сугубо специфичную утилиту для 911.

Добавлено через 30 секунд
Я в 2010 г. предлагал ввести его в обучение.
Всему свое время.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
Universal Virus Sniffer (uVS) 3.69

Изменения в версии 3.69

  • Добавлена функция извлечения и проверки сигнатур MBR/VBR/IPL.
    (в т.ч. и для образов автозапуска созданных v3.66-v3.68)

  • Добавлена полностью автоматическая функция коррекции поврежденных каталогов winsock.
    В лог выводится предупреждение о проблемах с каталогом.
    Восстановление нумерации и общего количества элементов происходит автоматически при обновлении списка.

  • Добавлен новый пункт в меню "Подпись/Хэш":
    "Сбросить статус "подозрительный" у всех известных файлов без цифровой подписи"

  • Твик #14 теперь удаляет все пустые строки из HOSTS.

  • Добавлена функция проверки по хэшу загрузчиков на VT/JT.

  • Добавлена функция загрузки MBR/VBR/IPL на VT (при наличии VTUploader-а).
    Функция самостоятельно извлекает загрузчик (в т.ч. и из образа) и передает в vtuploader временный файл со случайным именем, временный файл будет удален при следующем запуске uVS.

  • В список добавлены стартовые страницы MSIE, Firefox, Opera, Chrome
    Удаление ссылок на соотв. URL удаляет эту стартовую страницу во всех указанных браузерах.
    (!) Браузер НЕ должен быть активен в этот момент.

  • Для скриптовой команды adddir разрешено использование флага отмены рекурсии как и в случае параметра AddDirs.
    Пример: adddir >c:
    где ">" отменяет рекурсию и соотв. добавляются лишь файлы находящиеся в корне диска С.

  • Добавлены дефолтные значения для некоторых ключей реестра.

  • Улучшена обработка нажатия ESC при обращении к VirusTotal.

  • При автоматической формировании имени вируса (vGetName) теперь используется не только название вируса, но и имя производителя соотв. антивируса.

  • Модифицирована функция безопасного удаления...
    Функция снова не удаляет ссылки на отсутствующие сервисные DLL.

  • Восстановлена работоспособность функции определения владельца активного окна. (Alt+Shift+I при запуске на чистом рабочем столе)

  • Исправлена ошибка проверки эцп файла находящегося в локальном Zoo при работе с удаленной системой.

  • Исправлена ошибка при передачи параметра текстовому редактору.

  • Исправлена критическая ошибка в коде иногда приводившая к аварийному завершению uVS.

Скачать:

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Т.е. если я ее даже и скачаю при отключенном авасте, потом с включенным авастом она все равно не будет работать?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
Скачаете и распакуете при выключенном Авасте далее добавляете папку с uVS в исключения и все работает)))
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
Universal Virus Sniffer (uVS) 3.70

---------------------------------------------------------
3.70
---------------------------------------------------------
  • Дефолтное значение bNetFastLoad изменено на 1.

  • Дефолтное значение SearchMode изменено на 1.

  • Новый параметр в settings.ini

    [Settings]
    • Архивация файла (образа)
      ArchiveFile = 7zip\7za.exe a -t7z -mx9 -m0=ppmd:eek:=32:mem=64m "%s.7z" "%s"
      (пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS)

    • Разархивация образа
      DecompressImage = 7zip\7za.exe x -y "%s" -o"%s" *.txt
      (пример для 7za.exe в подкаталоге 7zip)

    • Архивация Zoo
      ArchiveZoo = 7zip\7za.exe a -t7z "%s.7z" -pvirus "%s\*.*"
      (пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus)

    • (!) Для уменьшения риска заражения вашего архиватора файловым вирусом рекомендуется

    • (!) изменить или совсем убрать расширение файла.

    • (!) Пример для файла без расширения: ArchivateZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*"

  • Файлы со статусом проверенный _И_ подозрительный более НЕ скрываются соотв. флагом.

  • Добавлена поддержка образов в архиве с "-" замененными на "_" в имени.

  • Исправлены некоторые ошибки в английском языковом файле.

  • Исправлена функция разбора параметра Userinit и некоторых других параметров.

  • Исправлена функция поиска по производителю. (проблемы с поиском по маленьким буквам)

  • Исправлена ошибка при запуске под чистым рабочим столом на компьютерах с высокопроизводительными SATA-3 SSD. (не успевал смениться рабочий стол при запуске)

Скачать:

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
Universal Virus Sniffer (uVS) 3.71

---------------------------------------------------------
3.71
---------------------------------------------------------

  • Внесены изменения в подсчет SHA1 IPL.
    SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 всегда заполняется нулями.
    Данное изменение значительно упростит проверку IPL и в большинстве случаев избавит от необходимости анализа "неизвестного" кода, который на самом деле ничем не отличается от кода стандартного загрузчика.
    Функция сохранения загрузчика сохраняет НЕ_модифицированный код.

  • Исправлена ошибка в функции обработки команды addsgn.
    Команда не принимала имена сигнатур длиной более 20 символов.

  • Изменена функция обработки файла HOSTS.
    Теперь обрабатывается не только HOSTS с указанным в реестре путем, но и дефолтный.
    При любом изменении оба файла объединяются в один и результирующий файл помещается по дефолтному пути с исправлением пути в реестре. При сохранении HOSTS из образа оба файла сохраняются в один.
    Первым идет HOSTS с измененным путем.

  • Изменен метод сохранения файла HOSTS.
    Теперь uVS своими действиями либо провоцирет установленный антивирус на запрос у пользователя разрешения модификации файла HOSTS, либо (если это допускается настройками антивируса) происходит запись в HOSTS без запроса.
    Данное изменение сделано из-за неадекватного поведения некоторых продуктов, молча блокирующих доступ на запись к модифицированному зловредами HOSTS.

  • Новый пункт меню "Запустить"->"Дата/время".
    Для удаленных систем окно открывается в удаленной системе.

  • Исправлена ошибка в функции создания образа удаленной системы.
    Образ уже несколько версий подряд не сохранялся из-за "оптимизаций" в функции обработки ответов сервера.

  • Исправлена ошибка в функции копирования файла в STORE.
    В 64-х битных системах функция блокировала отключение системного редиректора.

  • Исправлена критическая ошибка в функции подстановки переменных окружения.

Официальный сайт:

Скачать:

Источник
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
с салити слабо борется.. было файловое заражение спасовало...
 

грум

Команда форума
Администратор
Сообщения
3,415
Реакции
1,803
Баллы
583
с салити слабо борется.. было файловое заражение спасовало...
Arbitr а можно поподробней если не затруднит.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
во во..у мну тож показал норму.. дал полный поиск нашел службу убил и один файл что создавался в прогарм файлз и на этом все.. 3 часа курилки дело решили.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,479
Реакции
8,858
Баллы
753
Объявление: сайт dsrt.dyndns.org НЕ_доступен по причине некомпетентности dydndns.org, который заблокировал акк и в качестве причины блокировки указывает "This account has been tied to instances of malware, which is a violation of our AUP"

Пока можно скачивать uVS с обменника.

v3.71 пакет в сборе (база устаревшая):
http://depositfiles.com/files/a5x8n1bzh

STORE отдельно:
http://depositfiles.com/files/f34wo4j52

Текущая база проверенных:
http://depositfiles.com/files/4wsup3nhv
(587598 хэшей)

Источник
 
Сверху Снизу