Universal Virus Sniffer (uVS)

RSS
uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
uVS обладает рядом уникальных функций:
Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами, возможность создания и загрузки образа автозапуска, автогенерация сриптов для лечения, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/

Ответы

Релиз v3.64

Цитата
o Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.

o Новая функция в контекстном меню файла: "Добавить все исполняемые файлы каталога в список"
(доступна для всех режимов)

o Добавлена поддержка virusscan.jotti.org
(!) Сервер сильно ограничивает количество запросов.

o Функция "Сохранить системный реестр" теперь создает отдельный подкаталог для файлов реестра.
...

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=131798
Изменено: santy - 06.06.2011 08:07:35
v3.65

Цитата
o Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла,
о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных.
(в т.ч. и при работе с образами сделанными предыдущими версиями uVS)

o Подкаталог STORE теперь является дефолтным хранилищем файлов.
Структура хранилища:
Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки)
для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае
последняя буква расширения должна быть заменена на подчеркивание.
Допускается расположение файлов во вложенных подкаталогах.
Примеры имен основных каталогов: NT50, NT61x64 и т.п.

o В контекстное меню файла добавлена команда "Скопировать файл в STORE".

o Скриптовая команда exec теперь допускает использование сокращений пути до файла:
%SYS32% = подкаталог SYSTEM32 проверяемой системы
%SYSTEMROOT% = каталог проверяемой системы
%SYSTEMDRIVE% = имя диска где расположена система

o Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"
Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его
запрашивает.
Скриптовая команда "rknown".
(!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды
(!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.

o В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".

o Работа со скриптами вынесена в отдельное меню "Скрипт".

o Новый пункт меню: "Скрипт->Проверить скрипт".

o Модифицирована функция:
"Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)
После удаления временных файлов и перед удалением ссылок добавлено обновление списка.

o Добавлена новая скриптовая команда "crimg".
Команда создает полный образ автозапуска.

o В твик номер 12 добавлено удаление значений:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Syst­em, LegalNoticeText
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Syst­em, LegalNoticeCaption

o Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.

o Для jotti.org введено ограничение на 1 поток.
Максимальное количество запросов ограничивается сервером (60 запросов максимум).

o Для virustotal.com введено ограничение на 4 потока.

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=132888
v3.66

Цитата
Небольшое обновление.

o Добавлена поддержка сохранения и проверки кода загрузчика в MBR.
Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или
в контекстном меню лога. (если выделена строка с хэшем).
(для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)

o Новый пункт в меню "Руткиты":
Заменить загрузчик в MBR (кроме работы с удаленной системой)
С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.
Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.
Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.
Скриптовая команда "fixmbr" с параметром.

o Новый пункт в меню "Файл"
Восстановить системный реестр из каталога...
Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом.
Доступен выбор произвольного каталога с реестром. (кнопка "Другой")
(!) Для неактивных систем перезагрузка не требуется.
(!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится.
(!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem,
(!) компьютер перезагружается автоматически.

o Твик #23: "Очистить ВСЕ каталоги System Volume Information"
(в частности удаляются все точки восстановления).

o Расширен вывод информации в лог при работе с Jotti.

o Исправлена ошибка в функции сохранения системного реестра удаленной системы.

o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе
с образом.

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=133579

Поддержка очистки MBR - отличное обновление!

Цитата
MBR#0 [232,9GB]: Загрузчик найден в базе проверенных
MBR#1 [7,5GB]: Загрузчик найден в базе проверенных
---
проверил восстановление загрузчика в MBR из под Winpe&uVS.
Предварительно переписал на VM с помощью bootice чистый MBR на MBR машины, зараженной Win32\MBRLock.C без перезаписи таблицы разделов и сигнатуры (только загрузчик).
После запуска с winpe uVS определил
>>MBR#0 [8,0GB]: Неизвестный загрузчик SHA1: D85762905DEBE08E475428BE310AFE7D1CCB0C9A

функция Руткиты - "Заменить загрузчик в MBR" нормально восстановила загрузку системы.

по возможности, проверим на "живых" примерах.
Изменено: santy - 26.06.2011 23:45:48
v3.67
...
Цитата
Финальный список исправлений:

o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
(!) Для FAT16/exFAT сохраняется код из бутсектора.
(!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
(!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
Функция доступна в любом режиме.

o Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS)
Функция доступна в любом режиме.

o Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS).
(меню "Руткиты")

o Добавлена скриптовая команда fixvbr.
Пример: fixvbr c: 6
где с - имя загрузочного диска,
6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)
Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.
Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
Команда fixvbr принимает в качестве второго параметра любое _число.
(!) Команда не_доступна при работе с удаленной системой.

o MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

и другие важные изменения здесь

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=134544
v3.68
Цитата
Исправление, как показали опыты в ключе *\Control\Session Manager\AppCertDlls
можно создавать значения с произвольным именем значения (в т.ч. и в дефолтном) и прописанная в нем dll будет успешно подгружаться в процессы, соотв. теперь обрабатываются все строковые значения в данном ключе, обработка скриптовой команды delref тоже пофиксена.

o В список для проверки добавлено 2 ключа реестра.

o Новая функция в меню "Дополнительно"->"Сбросить атрибуты для всех файлов/каталогов в..."
Функция НЕ_доступна при работе с образом.

o Новая функция в меню "Настройка"->"Ручная настройка трансляции имен дисков..."
Функция доступна при работе с неактивной системой.

o Новый параметр в settings.ini
[Settings]
; Автоматическое добавление исполняемых файлов в указанных каталогах в список
AddDirs
Разделитель: |
Флаг отмены рекурсии: >
Допустимо использование скриптовых сокращений пути.
Пример: %sys32% | d:\tools | >%SystemDrive%
и другие
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=135379
3.69 много полезных добавлений в функционал.

Цитата
Принятые к реализации:
1. Доп. флаг отмены рекурсии для скриптовой команды adddir [v3.69]
2. Добавление названия антивируса к имени вируса при добавлении в базу сигнатур (по данным VT) [v3.69]
3. Поддержка сигнатур для MBR/VBR/IPL [v3.69]
4. Составные критерии [v?.??]
5. Восстановление параметра ServiceDll для известных сервисов [v3.69]
6. Добавить стартовые страницы браузеров [v3.69]
7. Прерывание ожидания ответа от сервера по ESC [v3.69]
8. Проверка хэшей загрузчиков на VT/JT, загрузка загрузчиков на VT [v3.69]

http://www.anti-malware.ru/forum/index.php?showtopic=18985&st=0
---------------------------------------------------------
3.70
---------------------------------------------------------
Цитата
o Дефолтное значение bNetFastLoad изменено на 1.

o Дефолтное значение SearchMode изменено на 1.

o Новый параметр в settings.ini
  [Settings]
  ; Архивация файла (образа)
    ArchiveFile = 7zip\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=64m "%s.7z" "%s"
    (пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS)

  ; Разархивация образа
    DecompressImage = 7zip\7za.exe x -y "%s" -o"%s" *.txt
    (пример для 7za.exe в подкаталоге 7zip)

  ; Архивация Zoo
    ArchiveZoo = 7zip\7za.exe a -t7z "%s.7z" -pvirus "%s\*.*"
    (пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus)

  (!) Для уменьшения риска заражения вашего архиватора файловым вирусом рекомендуется
  (!) изменить или совсем убрать расширение файла.
  (!) Пример для файла без расширения: ArchivateZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*"

o Файлы со статусом проверенный _И_ подозрительный более НЕ скрываются соотв. флагом.

o Добавлена поддержка образов в архиве с "-" замененными на "_" в имени.

o Исправлены некоторые ошибки в английском языковом файле.

o Исправлена функция разбора параметра Userinit и некоторых других параметров.

o Исправлена функция поиска по производителю. (проблемы с поиском по маленьким буквам)

o Исправлена ошибка при запуске под чистым рабочим столом на компьютерах с высокопроизводительными SATA-3 SSD.
  (не успевал смениться рабочий стол при запуске)
v3.71
Багфикс.
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=139294
v3.72 релиз
Цитата
Последний релиз этого года.
Цитата
o Новая функция создания загрузочных флешек и образов (ISO) загрузочных дисков с интегрированным uVS.
  (см. меню Файл->Создать загрузочную...)
  (!) Требуется WAIK3 или Windows7 SP1 AIK Supplement Update, oscdimg.exe (если нет WAIK)
  (!) Используйте в качестве шаблона для интеграции развернутый _пакет_ uVS (FAR будет использован в качестве оболочки)

o Новые функции в меню Подпись/Хэш.
  Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на VirusTotal.com
  Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на virusscan.Jotti.com

o Добавлена возможность загрузки файлов на virusscan.Jotti.com
  (прерывание процесса по ESC)

o Добавлена возможность просмотра содержимого загрузчика.

o Для сигнатур загрузчиков теперь доступна функция "Ложное срабатывание, увеличить длину сигнатуры".

o Новый твик #24
  "Восстановить из копии ключи Group Policy [HKLM]"
  Для выполнения необходим бэкап реестра как и в случае с твиком #21.

o Новый ключ запуска start.exe
  /t (автозапуск для выполнения скрипта из буфера обмена)
  В дистрибутив добавлен файл script.cmd.

o Поддержка поиска файлов на SystemExplorer.net
  (см. контекстное меню файла)

o В контекстное меню критерия добавлена новая функция "Новый критерий на базе текущего".

o В описание файла скопированного в Zoo добавлено имя компьютера и тек. дата/время.

o Новый пункт меню "Дополнительно->Выбрать путь до хранилища/дистрибутива..."

o Внесены изменения в подсчет SHA1 IPL.
  SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 (0x1C70 теперь включительно)
  всегда заполняется нулями.

o Новый параметр в settings.ini
  [Settings]
  ; Отключение звуковых сигналов.
    bMute (0 по умолчанию)

o Флаг bCreateImage теперь используется и при работе с удаленной системой.
  Этот флаг предназначен для автоматического создания образов. (подробнее см. FAQ)

o Исправлена ошибка при обработке скриптовой команды adddir.

o Исправлена ошибка при обработке скриптовой команды zoo.
  (при работе с удаленными системами)
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=145791
Изменено: santy - 23.11.2011 07:55:56
v3.73
Цитата
Багфикс, наконец-то удалось локализовать и придавить критический баг который тянулся с v1.0, повезло что попалась в руки машина где он проявлялся сколько-нибудь часто, соотв. внеплановый релиз.
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=146370
Читают тему (гостей: 21)