Universal Virus Sniffer (uVS)

RSS
uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
uVS обладает рядом уникальных функций:
Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами, возможность создания и загрузки образа автозапуска, автогенерация сриптов для лечения, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/

Ответы

поиск скрытых и измененных объектов по файлу сверки

Используется для поиска руткитов.

0. запускаем uVS в активной (с подозрением на заражение руткитом) системе. (удобно запустить программу, скажем с флэшки).
1. создаем файл сверки активной системы в режиме: меню - руткиты - создать файл сверки автозапуска (1-2мин)
  сохраняем в каталоге файл сверки в файл activ.dat (желательно сохранить на флэшку)
2. перегружаем систему, и грузимся с загрузочного диска, например EsetRescue, или любой другой (с Win-системой) с возможностью подключения
  съемного носителя, для последующего запуска uvs.
3. запускаем uVS, выбираем каталог системы на вашем жестком диске,
4. в режиме: меню - руткиты - поиск скрытых и измененных объектов по файлу сверки.
  выбираем для сверки, ранее сохраненный файл activ.dat
5. в логе uVS будет отражено различие образов автозапуска активной и пассивной систем.
6. помещаем лог в текстовый файл, добавляем на форум.

так же можно создать полный образ автозапуска после выполнения поиска объектов по файлу сверки, и запостить образ автозапуска на форум.
Изменено: santy - 02.06.2011 09:50:31
Что делать если пишет - "Файл занят другим процессом" удалить такой файл не возможно..
Виктор, давайте договоримся так:
здесь публикуем только инфо по обновленным версиям uVS и краткое описание_(алгоритм выполнения) функциональных возможностей, тех что здесь еще не описаны.
Все проблемы по лечению, применению обсуждаем во флудилке
http://forum.esetnod32.ru/forum17/topic506/
или в соответствующих разделах форума.
выпущена версия 3.22
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=111749
Цитата

3.22
---------------------------------------------------------
o Объединены категории Firefox и Opera.

o Добавлена категория "Добавлены вручную"
  В эту категорию можно поместить файлы с помощью новой функции:
  Файл->Добавить в список все исполняемые файлы не старше указанной даты...

o Новая функция "Добавить в список все исполняемые файлы не старше указанной даты..."
  Функция рекурсивно сканирует системные папки и выбирает оттуда исполняемые файлы с датой
  соотв. дате для текущего фильтра.

o Модифицирована функция сохранения образа автозапуска, по умолчанию в образ добавляется результат
  работы функции "Добавить в список все исполняемые файлы не..."
  (!) ТОЛЬКО ЕСЛИ установлен фильтр по дате.
  (!) Соотв. перед сохранением образа рекомендуется устанавливать фильтр по дате несколько меньшей
  (!) даты заражения.

o Добавлена новая функция - архивация Zoo при помощи _установленных_в_системе_ 7Zip или WinRAR.
  Архив помещается в корневой каталог uVS, пароль к архиву virus, имя архива в формате
  YYYY-MM-DD_HH-MM-SS, расширение 7z или rar.
  Скриптовая команда czoo.
  (!) Все файлы после архивации удаляются из Zoo.

o Добавлен твик #14 - Очистить HOSTS
  Удаляются все записи, кроме localhost

o Теперь при запуске в лог печатаются значимые строки из HOSTS и версия MSIE.

o Исправлена критическая ошибка при разборе некоторых ключей реестра.

o Исправлена функция инициализации работы с активной системой.

o Исправлена функция добавления в список известных.

o Доступна английская локализация интерфейса.
выпущена версия 3.23
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=112225
Цитата

Версия 3.23

o Добавлена поддержка нестандартных путей в окно выбора каталога/файла.
В т.ч. поддерживается вход в дубликат каталога ".."
Вход в пустые каталоги больше не допускается.
(!) Стандартный каталог ".." удален из списка, возврат на уровень выше теперь возможен только
(!) с клавиатуры.

o Добавлена возможность удалить каталог из окна выбора каталога/файла.
Поддерживается удаление каталогов с дубликатом "..".
Поддерживается очистка всего диска.
Функция работает во всех режимах.
(гор. клавиша Del).

o Добавлена возможность открывать другой образ автозапуска (только в режиме работы с образом)
(гор. клавиша Ctrl+O)

o Добавлена поддержка нестандартных путей во все основные функции.

o Удалена функция оптимизации пути к файлу для поддержки нестандартных путей.

o Исправлена ошибка в функции инициализации, ошибка могла привести к подвисанию процесса uVS
на старте (если инициализация завершилась неудачно).

o Удалена операция обновления списка в функции сохранения образа для неактивных систем,
что позволяет теперь сохранять образ неактивных систем без потери результатов сверки.
3.24 версия, добавлен менеджер установленных программ, и другие исправления и дополнения.

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=112872
быстрая виртуализация

в данном случае uVS работает с копией веток реестра SYSTEM, SOFTWARE.

1. стартуем uVS с помощью start.exe
2. выбираем активную систему, и текущего пользователя (или с правами LocalSystem)
3. далее, в главном меню - реестр - выполнить режим "быстрая виртуализация", (см .рис 1 ниже)
4. сохраняем образ автозапуска (см. рисунок 2 ниже),
5. выходим из программы uVS
6.  помещаем файл образа uvs.txt в архив, и передаем на форум.
Snap1.jpg (99.72 КБ)
Snap2.jpg (101.68 КБ)
вышла версия 3.25

Цитата
v3.25 Незначительные изменения.

o Для процессов проявляющих сетевую активность добавлена доп. информация (адрес:порт) для каждого
pid-а отдельно. (TCP/TCP6, UDP/UDP6)

o Создано специальное окно для более удобного применения твиков.
(гор. клавиша Alt+T)

o Добавлены твики:
15 - Разрешить отображение вкладки Экран->Рабочий стол
16 - Разрешить отображение вкладки Экран->Заставка
17 - Полная очистка ключей Safer\CodeIdentifiers\0\Paths
18 - Снять ограничения на запуск приложений в Explorer-е

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=114196
вышла 3.26

http://www.anti-malware.ru/forum/index.php?showtopic=11667&pid=115143&st=160&#entry115143

есть восстановление режима Safe Mode через твик, и следовательно через команды скрипта.
Цитата
santy пишет:
есть восстановление режима Safe Mode через твик, и следовательно через команды скрипта.
Ура!
Читают тему (гостей: 1)