Universal Virus Sniffer (uVS)

RSS
uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
uVS обладает рядом уникальных функций:
Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами, возможность создания и загрузки образа автозапуска, автогенерация сриптов для лечения, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/

Ответы

тестируем
http://dsrt.dyndns.org/files/uvs_v376b5.zip
Цитата
Добавил сложные критерии, создание на базе выбранного пока не работает как и сетевая часть.
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=160687
тестируем
http://dsrt.dyndns.org/files/uvs_v376b6.zip
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=160726
тестируем
http://dsrt.dyndns.org/files/uvs_v376b7.zip
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=160856
тестируем
http://dsrt.dyndns.org/files/uvs_v376b8.zip
Цитата
исправлена работа критериев и
o В контекстное меню файла добавлено подменю "Статус"
4. Все файлы в каталоге и подкаталогах проверенные
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=160918
тестируем
http://dsrt.dyndns.org/files/uvs_v376b9.zip

http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=160999
есть релиз!

http://dsrt.dyndns.org/files/uvs_v376.zip

Whatsnew
http://www.anti-malware.ru/forum/index.php?showtopic=18984&view=findpost&p=136065
Изменено: santy - 20.09.2012 18:09:07
3.77!
http://www.anti-malware.ru/forum/index.php?showtopic=18984&view=findpost&p=136065

Цитата
o Добавлен 1 ключ автозапуска.

o Обновлены списки известных файлов для Windows 8x64.

o Добавлена поддержка проверки внешних ЭЦП (по CatRoot) для Windows 8.
(!) В силу нового метода хэширования для проверки ЭЦП неактивного Windows 8
(!) вам потребуется использовать Windows не младше 8-й версии.
(!) Младшие версии Windows не смогут правильно работать с загруженным CatRoot.
(!) Если в будущем станет известен метод получения правильного хэша, то _возможно_
(!) получится заставить работать младшие версии Windows c CatRoot из Windows 8.

o Изменен параметр запуска
/i (указать образ автозапуска)
Пример:
start.exe /i "c:\uvs\uvs.txt" (всегда в кавычках)
Если НЕ указать путь до файла то будет открыто окно выбора образа.
(!) /r НЕ требуется

o Изменен параметр в settings.ini
[Settings]
; при добавлении сигнатуры или блокировке файла по хэшу
; добавлять в скрипт полный путь до файла в виде комментария
bAddComment = 1 (1 по умолчанию)

o Новый параметр в settings.ini
[Settings]
; Флаг управляет автоматическим добавлением скриптовой команды
; czoo при наличии в скрипте команды zoo
bHlpCZoo (0 по умолчанию)

o Новый параметр в settings.ini
[Settings]
; Флаг управляет автоматическим добавлением скриптовой команды
; restart
bHlpRestart (0 по умолчанию)

o Исправлена ошибка в функции разбора файла критериев.

o Теперь при разборе пути до файла учитывается параметр "WOW64".
(для сервисов в X64 системах)

o Изменены параметры архивации образа с помощью WinRAR.

o Исправлена ошибка в функции эмуляции команды delnfr при работе с образом.

o Исправлена ошибка в функции определения пути до 32-х битного архиватора.
(для Vista x64)

o Исправлены мелкие ошибки.
предрелиз 3.78

Цитата
3.77.17 доступна через обновление, возможно еще что-то по мелочам добавлю и релизну 3.78 smile.gif
базу кстати не плохо так пополнили еще 2.5к хэшей smile.gif
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=170455

Цитата
v3.77.18
добавлен анализ prefetcher-а, файлов насыпалось прилично, в целом идея оказалась удачной.
и остальное по мелочам вроде автоматической генерации скрипта для удаления софта попавшего под критерии
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=170582

+ публичный релиз 3.80.1

http://www.anti-malware.ru/forum/index.php?showtopic=18984&view=findpost&p=136065
Изменено: santy - 03.06.2013 19:11:37
v3.81 релиз, по обновлению уже доступен, на сайте будет позже.

o Обновлена функция анализа подозрительных файлов.

o Исправлена функция анализа префетчера.

o Увеличено окно сохранения скрипта.

o В окне редактирования поискового критерия добавлена поддержка механизма drag & drop.

o В лог после Persistent routes выводится информации об активных "IPSec policy".

o Добавлен 25-й твик для удаления всех IPSec policy.
(после удаления желательно перезагузить систему).

http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=173332
релиз 3.83
--------------------------------------------------------
3.83
---------------------------------------------------------
o Из окна информации о файле удалено лишние поле "Процесс".

o Исправлена функция разбора LNK файла, приоритет разборки целей
  выставлен в соотв. с фактически действующим в Windows Vista-8.1, а не с тем,
  что указан в официальной документации на формат LNK файлов.

o Добавлена функция исправления пути, неверно возвращаемых активной системой
  до целевых файлов ярлыков (для _неактивных_ систем).

o Из окна информации о файле удалено лишние поле "Процесс".

o В скрипт автоматически добавляется команда v383c препятствующая исполнению
  скрипта на младших версиях uVS.

o Скриптовые команды delall, delref, точно так же как и команды delvir и delnfr,
  теперь не удаляют ссылки на известные файлы. Т.е. в случае известного файла
  delall удаляет лишь сам файл, а delref просто игнорируется.

o Новый параметр в settings.ini
  [Settings]
  ; Защищать известные файлы от действия команд delall и delref.
    bProtectKnown (по умолчанию 1)

o Для удаленных систем добавлена возможность вычислять и помещать в базу
  проверенных хэши объектов. (ссылки, guid-ы и т.п.)

o Добавлен STORE для Win8.1

o Обновлены базы проверенных для Win8.1

o Горячая клавиша Ctrl+T, функция обновлена.
  Автоматически применить твики #1,2,3,9,28,29 при необходимости.
  Функция работает по логу.
  Автоматическим использованием данной функции управляет флаг ImgAutoTweak
  в секции "Settings" файла settings.ini (только при работе с образами)


o Добавлена возможность вычислять и помещать в базу проверенных хэши
  объектов. (ссылки, guid-ы и т.п.)

o Оптимизирована работа с разделом "Скрипты...".

o Добавлен фильтр в функции анализа LNK файлов.
  В win8.1 в главном меню замечены кривые LNK файлы, в которых указан целевой
  файл, являющийся на самом деле каталогом.

o Добавлена функция определения версии Windows для Win8.1 и старше.

o Разделены базы известных файлов для Win8 и Win8.1

o Виртуализация реестра теперь охватывает загруженные пользовательские реестры.
  (!) Производится виртуализация всего реестра, кроме реестра пользователя s-1-5-18 (LS).

o Добавлена функция проверки ярлыков в Start Menu пользователей.

o Для ярлыков теперь есть отдельная категория "Ярлыки" вместо "Линки без...".

o Добавлена функция анализа ярлыков, цели и сами файлы из модифицированных
  ярлыков попадают в категорию подозрительных.
  (!) Функция не дает 100% гарантии, что ярлык был модифицирован зловредом, а не
  пользователем.

o Оптимизирована функция определения даты установки программы.

o Для CMD/BAT/VBE/VBS файлов в окно информации о файле добавлено содержимое
  файла в поле #FILE#. (до 2k размером).

o В окно установленных программ добавлен фильтр.

o Добавлена поддержка плагинов FireFox, установленных в отдельных от общего каталогах.

o Исправлены ошибки при работе с неактивной системой:
  1. в список не попадали:
   o значительная часть ключей из *\CLSID
   o файлы префетчера (при отличии в букве диска)
   o ярлыки с некоторых рабочих столов, в т.ч. иногда и с общего.
   o часть файлов возможно запускавшихся неявно или вручную (при отличии в букве диска)
   o файлы из App Paths. (при отличии в букве диска)
  2. Для некоторых программ неверно определялось дата/время установки.

o Утилита cmpimg обновлена до версии 1.01
  При сравнении образов буква системного диска второго образа заменяется на
  букву первого и только после этого производится сравнение образов.

o Исправлена ошибка при запуске 32-х битного деинсталлятора в 64-х битной среде.

o Новая скриптовая команда "exec32" аналог "exec", но без отключения
  системного редиректора.

o Добавлена возможность импорта белого списка ЭЦП.

o В окно информации о файле добавлена информация об устаревших сертификатах.

o Белый список поддерживается при работе с удаленной системой.

o Добавлен белый список ЭЦП.
  При включении его поддержки, статус проверенного файла получает лишь
  тот файл, который подписан подписчиком из этого списка.
  В случае работы с образом автозапуска статусы файлов приводятся
  в соответствие с белым списком при открытии образа.
  Добавлена категория "Белый список ЭЦП", где можно удалять записи из списка.
  При работе с удаленной системой белый список ПОКА не поддерживается.
  Список хранится в файле wdsl, который представляет собой обычный текстовый
  файл в unicode кодировке. Одна строка - одно имя, регистр важен.
  Файл оптимизируется при сохранении, дубликаты автоматически удаляются.
  Добавить имя подписчика в список можно в окне информации о файле, щелкнув по соотв.
  строчке с подписью. При удалении и добавлении автоматически меняются статусы
  всех файлов которых это касается.

o Новый параметр в settings.ini
  [Settings]
  ; Включить поддержку белого списка ЭЦП.
    bUseWDSList (по умолчанию 0)

o Новый параметр в settings.ini
  [Settings]
  ; Значение определяет расширения файлов которые добавляются в список
  ; наряду с исполняемыми файлами функцией Файл->Добавить в список->...
  ; Пример параметра: .BAT.CMD.LNK.VBS
    Add2ListExt (по умолчанию пустая строка)

o Добавлена дополнительная функция резолва ярлыка при отсутствии целевого
  файла по данным структуры LinkInfo.

o Добавлена новая функция в контекстное меню файла:
  Статус->Все файлы в каталоге и подкаталогах подозрительные

o Добавлена возможность извлекать сигнатуры из некоторых типов DLL,
  для которых ранее такой возможности не было.

o Функция чтения LNK файлов теперь игнорирует права доступа.

o При создании загрузочного диска добавляется пакет WinPE-EnhancedStorage и
  производится оптимизация wim файла. Полная оптимизация работает только под
  Win8.

o С помощью Windows ADK 8.1 создается образ на базе WinPE 5.0
  Для обновления WinPE до версии 5.1 необходимо выполнить следующие
  действия: http://technet.microsoft.com/en-us/library/dn613859.aspx

o Добавлена поддержка LNK файлов с целью зашитой в EnvironmentVariableDataBlock.

o Скриптовые команды deldir и deldirex теперь удаляют все ссылки
  на удаляемые файлы.

o Добавлен 30-й твик: Устранить проблему с подвисанием GameUX.
  Твик можно если использовать если наблюдаются проблемы с запуском игр
  или подвисает процеcc гейм эксплорера C:\Windows\system32\rundll32.exe C:\Windows\system32\gameux.dll...

o Добавлена поддержка создания образов дисков и загрузочных флешек на базе
  WinPE 5.1, ссылка на скачивание ADK обновлена:
  http://www.microsoft.com/en-us/download/details.aspx?id=39982

o Добавлен вывод в лог ошибок соединения с сервером
  при проверке хэша фала на VT.

o Твики 28 и 29 теперь игнорируют права доступа к LNK файлам.

o В лог добавлена информации о lnk файлах которые не удалось прочитать.

o Команда czoo теперь всегда выполняется в конце скрипта вне зависимости от ее
  положения в тексте.

o В окно информации о файле добавлено поле Subsystem.
  Только для исполняемых файлов.

o Добавлены новые твики:
  28. Заменить в ярлыках на рабочем столе .URL на .EXE
  29. Удалить из ярлыков браузеров параметры запуска

o Добавлен анализ файлов на общем рабочем столе,
  на панелях быстрого запуска и закрепленных элементов в меню "Start".
  Добавлен фильтр отсеивающий ярлыки на неисполняемые файлы.

o Новая горячая клавиша Ctrl+*
  Инвертировать фильтр (в режиме фильтрующего поиска)
  ESC и смена категории отменяют инверсию.

o Добавлена поддержка раздела реестра App Paths.

o Исполняемые файлы с рабочих столов пользователей добавляются в список.
  Если на раб. столе был ярлык на исполняемый файл то в информации о файле
  отображается полный путь до lnk файла.

o Обновлена функция проверки файлов на VT.
  Реализован автоповтор запроса при возврате 403-й ошибки.
  Добавлена поддержка парсинга локализованных версий VT.

o Добавлен индикатор сортировки.

o Колонка по которой происходит фильтрация теперь не сменяется автоматически
  при смене сортировки (ЕСЛИ строка фильтрации не пуста).
  Смена колонки происходит только после нажатия ESC или смене категории.

o Удалена горячая клавиша Alt+M теперь _фильтрующий_ поиск осуществляется по
  выбранному для сортировки столбцу.

o Новые функции в меню Подпись/Хэш:
  Установить статус проверенного файла для всех файлов в текущей категории с VTOK/JTOK/VSOK
  Установить статус проверенного файла для всех ИЗВЕСТНЫХ файлов в текущей категории с VTOK/JTOK/VSOK

o Добавлено автоматическое кэширование запросов к VT.
  Кэш работает в функциях массовой проверки.
  Кэш всегда игнорируется (и обновляется) при проверке отдельного файла.
  Кэш хранится в подкаталоге vtcache в виде текстовых файлов, имя файла и есть хэш.

o Новый параметр в settings.ini
  [Settings]
  ; Время действия VT кэша в днях для хэша файла/объекта.
    vtCacheDays (15 по умолчанию)
     0 - не использовать кэш
    -1 - не ограничивать время действия.

o Функция проверки по хэшу на VT теперь использует данные о проверке ЭЦП,
  если VT вернул данные о том что ЭЦП для файла верна И нет детектов,
  то файл помечается как проверенный с указанием первого подписавшего.

o Модифицирована команда delnfr, перед ее исполнением теперь всегда
  вызывается функция обновления списка, что повысит безопасность исполнения
  данной команды.
Читают тему (гостей: 3)