Universal Virus Sniffer (uVS)

Universal Virus Sniffer (uVS) 4.11.2

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,634
Баллы
593
чет я что то не понимаю.. согласно инструкции делаю лог
Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
и получаю вот такой лог, я что то не понимаю.. как же его смотреть тут же глаза блин сломаешь
 

Вложения

  • 1-_2011-06-28_12-37-35.7z
    196.5 KB · Просмотры: 16

грум

Команда форума
Администратор
Сообщения
3,530
Реакции
1,830
Баллы
593
Arbitr
надо надо запустить UVS там есть строка загрузить образ
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
uVS 3.67BETA

uVS 3.67 BETA
База проверенных обновлена.

  • Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
    Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
    • Для FAT16/exFAT сохраняется код из бутсектора.
    • Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
    • Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
    Функция доступна в любом режиме.

  • Добавлена поддержка сохранения и проверки кода IPL. (15 секторов за бутсектором NTFS)
    Функция доступна в любом режиме.

  • Добавлена возможность перезаписи загрузчиков VBR/IPL.

  • Добавлены скриптовые команды fixvbr и fixipl.
    Пример: fixvbr c: 6
    где с - имя загрузочного диска,
    6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)
    Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.
    Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
    Команды fixvbr/fixipl принимают в качестве второго параметра любое_число.
    Разделение команд сделано специально, поскольку в некоторых случаях (Boot.Cidox) требуется восстановление только IPL.
    • Команды не_доступны при работе с удаленной системой.

  • VBR/MBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

  • Новые параметр в settings.ini
    [Settings]
    ; Фильтр по производителю антивируса через запятую.
    vFilter
    Фильтр применяется в функциях массовой проверки файлов.
    Результаты проверки антивирусом не попавшим в список учитываться не будут.
    Пример: Kaspersky, DrWeb, AntiVir, Comodo
    • Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно указывать оба варианта.

  • Изменен формат файла сверки.
    Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

  • Удалено из лога сообщение о том что хэш загрузчика есть в базе.
    В лог выводится информация лишь о непроверенных загрузчиках.

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
v3.67

v3.67
База проверенных обновлена.

Финальный список исправлений:

  • Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
    • Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
    • Для FAT16/exFAT сохраняется код из бутсектора.
    • Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
    • Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
    • Функция доступна в любом режиме.

  • Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS)
    • Функция доступна в любом режиме.

  • Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS). (меню "Руткиты")

  • Добавлена скриптовая команда fixvbr.
    Пример: fixvbr c: 6
    где с - имя загрузочного диска,
    6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)
    • Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.
    • Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
    • Команда fixvbr принимает в качестве второго параметра любое _число.
    • (!) Команда не_доступна при работе с удаленной системой.

  • MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

  • Новый пункт в меню "Реестр" -> "[INTEL] Включить поддержку AHCI..."
    • Функция доступна для активной и неактивной системы. (Для XP/2k3 перед использованием см. AHCI.txt).
    • (!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений.

  • Новые параметры в settings.ini
    [Settings]
    ; Фильтр по производителю антивируса через запятую.
    vFilter (сторка)
    Фильтр применяется в функциях массовой проверки файлов.
    Результаты проверки антивирусом не попавшим в список учитываться не будут.
    Пример: Kaspersky, DrWeb, AntiVir
    • (!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно
    • (!) указывать оба варианта.

    ; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранне полученных данных с VT или JT.
    vGetName (строка)
    В строке можно указать через запятую производителей в порядке приоритета.
    Пример: Kaspersky, DrWeb, AntiVir

  • Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу. Функция доступна в контекстном меню файла. Скриптовая команда "rbl".

  • Новая горячая клавиша Alt+M. Переключает режим поиска: по имени или по производителю.

  • Разрешено добавление сигнатур из файлов находящихся в локальном Zoo. (для всех режимов)

  • В uVS добавлена базовая поддержка GPT. Соотв. загрузчики присутствуют в списке под именем MBRGPT#...

  • (!) Изменен формат базы вирусов.
    • Добавлена функция обнаружения повреждений базы.
    • Добавлено примечание (127 символов) и длина имени увеличена до 39 символов.
    • База конвертируется автоматически при первом ее изменении.
    • Импорт поддерживается из обоих форматов.

  • (!) Изменен формат файла сверки. Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
v3.68

uVS v3.68 [ZIP 1,4Mb] SHA1: D00F09C9AD5FBB7C472F8F0007876F6F10540422

База проверенных файлов [ZIP 12Mb] 558808 хэшей в базе [26.07.2011]

Исправление, как показали опыты в ключе *\Control\Session Manager\AppCertDlls
можно создавать значения с произвольным именем значения (в т.ч. и в дефолтном) и прописанная в нем dll будет успешно подгружаться в процессы, соотв. теперь обрабатываются все строковые значения в данном ключе, обработка скриптовой команды delref тоже пофиксена.

  • В список для проверки добавлено 2 ключа реестра.

  • Новая функция в меню "Дополнительно"->"Сбросить атрибуты для всех файлов/каталогов в..."
    • Функция НЕ_доступна при работе с образом.

  • Новая функция в меню "Настройка"->"Ручная настройка трансляции имен дисков..."
    • Функция доступна при работе с неактивной системой.

  • Новый параметр в settings.ini
    [Settings]
    ; Автоматическое добавление исполняемых файлов в указанных каталогах в список
    AddDirs
    Разделитель: |
    Флаг отмены рекурсии: >
    Допустимо использование скриптовых сокращений пути.
    Пример: %sys32% | d:\tools | >%SystemDrive%

  • Исправлена ошибка в start.exe
    • При возникновении проблем с доступом к необходимым файлам мог происходить самопроизвольный сброс некоторых флагов.

  • Модифицирована функция безопасного удаления...
    • Функция не удаляет ссылки на файлы имеющие лишний "\" перед именем файла.

  • Исправлена ошибка в функции проверки скрипта.


Источник
 

Вархаммер

Активный пользователь
Сообщения
162
Реакции
106
Баллы
433
Я в 2010 г. предлагал ввести его в обучение.
Можно еще обратить внимание на утилиту Universal Virus Sniffer (uVS), которой проводять лечение на форуме ESET.
Видно же, что у утилиты большой потенциал. Скоро наверное AVZ будет использоваться, в лечении так же как и сейчас HijackThis. То есть, фактически никак. :)
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Скоро наверное AVZ будет использоваться, в лечении так же как и сейчас HijackThis.

Возможно AVZ переродиться в сугубо специфичную утилиту для 911.

Добавлено через 30 секунд
Я в 2010 г. предлагал ввести его в обучение.

Всему свое время.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Universal Virus Sniffer (uVS) 3.69

Изменения в версии 3.69

  • Добавлена функция извлечения и проверки сигнатур MBR/VBR/IPL.
    (в т.ч. и для образов автозапуска созданных v3.66-v3.68)

  • Добавлена полностью автоматическая функция коррекции поврежденных каталогов winsock.
    В лог выводится предупреждение о проблемах с каталогом.
    Восстановление нумерации и общего количества элементов происходит автоматически при обновлении списка.

  • Добавлен новый пункт в меню "Подпись/Хэш":
    "Сбросить статус "подозрительный" у всех известных файлов без цифровой подписи"

  • Твик #14 теперь удаляет все пустые строки из HOSTS.

  • Добавлена функция проверки по хэшу загрузчиков на VT/JT.

  • Добавлена функция загрузки MBR/VBR/IPL на VT (при наличии VTUploader-а).
    Функция самостоятельно извлекает загрузчик (в т.ч. и из образа) и передает в vtuploader временный файл со случайным именем, временный файл будет удален при следующем запуске uVS.

  • В список добавлены стартовые страницы MSIE, Firefox, Opera, Chrome
    Удаление ссылок на соотв. URL удаляет эту стартовую страницу во всех указанных браузерах.
    (!) Браузер НЕ должен быть активен в этот момент.

  • Для скриптовой команды adddir разрешено использование флага отмены рекурсии как и в случае параметра AddDirs.
    Пример: adddir >c:
    где ">" отменяет рекурсию и соотв. добавляются лишь файлы находящиеся в корне диска С.

  • Добавлены дефолтные значения для некоторых ключей реестра.

  • Улучшена обработка нажатия ESC при обращении к VirusTotal.

  • При автоматической формировании имени вируса (vGetName) теперь используется не только название вируса, но и имя производителя соотв. антивируса.

  • Модифицирована функция безопасного удаления...
    Функция снова не удаляет ссылки на отсутствующие сервисные DLL.

  • Восстановлена работоспособность функции определения владельца активного окна. (Alt+Shift+I при запуске на чистом рабочем столе)

  • Исправлена ошибка проверки эцп файла находящегося в локальном Zoo при работе с удаленной системой.

  • Исправлена ошибка при передачи параметра текстовому редактору.

  • Исправлена критическая ошибка в коде иногда приводившая к аварийному завершению uVS.

Скачать:

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Т.е. если я ее даже и скачаю при отключенном авасте, потом с включенным авастом она все равно не будет работать?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Скачаете и распакуете при выключенном Авасте далее добавляете папку с uVS в исключения и все работает)))
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Universal Virus Sniffer (uVS) 3.70

---------------------------------------------------------
3.70
---------------------------------------------------------
  • Дефолтное значение bNetFastLoad изменено на 1.

  • Дефолтное значение SearchMode изменено на 1.

  • Новый параметр в settings.ini

    [Settings]
    • Архивация файла (образа)
      ArchiveFile = 7zip\7za.exe a -t7z -mx9 -m0=ppmd:eek:=32:mem=64m "%s.7z" "%s"
      (пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS)

    • Разархивация образа
      DecompressImage = 7zip\7za.exe x -y "%s" -o"%s" *.txt
      (пример для 7za.exe в подкаталоге 7zip)

    • Архивация Zoo
      ArchiveZoo = 7zip\7za.exe a -t7z "%s.7z" -pvirus "%s\*.*"
      (пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus)

    • (!) Для уменьшения риска заражения вашего архиватора файловым вирусом рекомендуется

    • (!) изменить или совсем убрать расширение файла.

    • (!) Пример для файла без расширения: ArchivateZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*"

  • Файлы со статусом проверенный _И_ подозрительный более НЕ скрываются соотв. флагом.

  • Добавлена поддержка образов в архиве с "-" замененными на "_" в имени.

  • Исправлены некоторые ошибки в английском языковом файле.

  • Исправлена функция разбора параметра Userinit и некоторых других параметров.

  • Исправлена функция поиска по производителю. (проблемы с поиском по маленьким буквам)

  • Исправлена ошибка при запуске под чистым рабочим столом на компьютерах с высокопроизводительными SATA-3 SSD. (не успевал смениться рабочий стол при запуске)

Скачать:

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Universal Virus Sniffer (uVS) 3.71

---------------------------------------------------------
3.71
---------------------------------------------------------

  • Внесены изменения в подсчет SHA1 IPL.
    SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 всегда заполняется нулями.
    Данное изменение значительно упростит проверку IPL и в большинстве случаев избавит от необходимости анализа "неизвестного" кода, который на самом деле ничем не отличается от кода стандартного загрузчика.
    Функция сохранения загрузчика сохраняет НЕ_модифицированный код.

  • Исправлена ошибка в функции обработки команды addsgn.
    Команда не принимала имена сигнатур длиной более 20 символов.

  • Изменена функция обработки файла HOSTS.
    Теперь обрабатывается не только HOSTS с указанным в реестре путем, но и дефолтный.
    При любом изменении оба файла объединяются в один и результирующий файл помещается по дефолтному пути с исправлением пути в реестре. При сохранении HOSTS из образа оба файла сохраняются в один.
    Первым идет HOSTS с измененным путем.

  • Изменен метод сохранения файла HOSTS.
    Теперь uVS своими действиями либо провоцирет установленный антивирус на запрос у пользователя разрешения модификации файла HOSTS, либо (если это допускается настройками антивируса) происходит запись в HOSTS без запроса.
    Данное изменение сделано из-за неадекватного поведения некоторых продуктов, молча блокирующих доступ на запись к модифицированному зловредами HOSTS.

  • Новый пункт меню "Запустить"->"Дата/время".
    Для удаленных систем окно открывается в удаленной системе.

  • Исправлена ошибка в функции создания образа удаленной системы.
    Образ уже несколько версий подряд не сохранялся из-за "оптимизаций" в функции обработки ответов сервера.

  • Исправлена ошибка в функции копирования файла в STORE.
    В 64-х битных системах функция блокировала отключение системного редиректора.

  • Исправлена критическая ошибка в функции подстановки переменных окружения.

Официальный сайт:

Скачать:

Источник
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,634
Баллы
593
с салити слабо борется.. было файловое заражение спасовало...
 

грум

Команда форума
Администратор
Сообщения
3,530
Реакции
1,830
Баллы
593
с салити слабо борется.. было файловое заражение спасовало...
Arbitr а можно поподробней если не затруднит.
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,634
Баллы
593
во во..у мну тож показал норму.. дал полный поиск нашел службу убил и один файл что создавался в прогарм файлз и на этом все.. 3 часа курилки дело решили.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Объявление: сайт dsrt.dyndns.org НЕ_доступен по причине некомпетентности dydndns.org, который заблокировал акк и в качестве причины блокировки указывает "This account has been tied to instances of malware, which is a violation of our AUP"

Пока можно скачивать uVS с обменника.

v3.71 пакет в сборе (база устаревшая):
http://depositfiles.com/files/a5x8n1bzh

STORE отдельно:
http://depositfiles.com/files/f34wo4j52

Текущая база проверенных:
http://depositfiles.com/files/4wsup3nhv
(587598 хэшей)

Источник
 
Сверху Снизу