поиск скрытых и измененных объектов по файлу сверки

Используется для поиска руткитов.

0. запускаем uVS в активной (с подозрением на заражение руткитом) системе. (удобно запустить программу, скажем с флэшки).
1. создаем файл сверки активной системы в режиме: меню - руткиты - создать файл сверки автозапуска (1-2мин)
  сохраняем в каталоге файл сверки в файл activ.dat (желательно сохранить на флэшку)
2. перегружаем систему, и грузимся с загрузочного диска, например EsetRescue, или любой другой (с Win-системой) с возможностью подключения
  съемного носителя, для последующего запуска uvs.
3. запускаем uVS, выбираем каталог системы на вашем жестком диске,
4. в режиме: меню - руткиты - поиск скрытых и измененных объектов по файлу сверки.
  выбираем для сверки, ранее сохраненный файл activ.dat
5. в логе uVS будет отражено различие образов автозапуска активной и пассивной систем.
6. помещаем лог в текстовый файл, добавляем на форум.

так же можно создать полный образ автозапуска после выполнения поиска объектов по файлу сверки, и запостить образ автозапуска на форум.

Что делать если пишет - "Файл занят другим процессом" удалить такой файл не возможно..

Виктор, давайте договоримся так:
здесь публикуем только инфо по обновленным версиям uVS и краткое описание_(алгоритм выполнения) функциональных возможностей, тех что здесь еще не описаны.
Все проблемы по лечению, применению обсуждаем во флудилке
http://forum.esetnod32.ru/forum17/topic506/
или в соответствующих разделах форума.

выпущена версия 3.22
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=111749

Цитата

3.22 --------------------------------------------------------- o Объединены категории Firefox и Opera. o Добавлена категория "Добавлены вручную"   В эту категорию можно поместить файлы с помощью новой функции:   Файл->Добавить в список все исполняемые файлы не старше указанной даты... o Новая функция "Добавить в список все исполняемые файлы не старше указанной даты..."   Функция рекурсивно сканирует системные папки и выбирает оттуда исполняемые файлы с датой   соотв. дате для текущего фильтра. o Модифицирована функция сохранения образа автозапуска, по умолчанию в образ добавляется результат   работы функции "Добавить в список все исполняемые файлы не..."   (!) ТОЛЬКО ЕСЛИ установлен фильтр по дате.   (!) Соотв. перед сохранением образа рекомендуется устанавливать фильтр по дате несколько меньшей   (!) даты заражения. o Добавлена новая функция - архивация Zoo при помощи _установленных_в_системе_ 7Zip или WinRAR.   Архив помещается в корневой каталог uVS, пароль к архиву virus, имя архива в формате   YYYY-MM-DD_HH-MM-SS, расширение 7z или rar.   Скриптовая команда czoo.   (!) Все файлы после архивации удаляются из Zoo. o Добавлен твик #14 - Очистить HOSTS   Удаляются все записи, кроме localhost o Теперь при запуске в лог печатаются значимые строки из HOSTS и версия MSIE. o Исправлена критическая ошибка при разборе некоторых ключей реестра. o Исправлена функция инициализации работы с активной системой. o Исправлена функция добавления в список известных. o Доступна английская локализация интерфейса.

выпущена версия 3.23
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=112225

Цитата

Версия 3.23 o Добавлена поддержка нестандартных путей в окно выбора каталога/файла. В т.ч. поддерживается вход в дубликат каталога ".." Вход в пустые каталоги больше не допускается. (!) Стандартный каталог ".." удален из списка, возврат на уровень выше теперь возможен только (!) с клавиатуры. o Добавлена возможность удалить каталог из окна выбора каталога/файла. Поддерживается удаление каталогов с дубликатом "..". Поддерживается очистка всего диска. Функция работает во всех режимах. (гор. клавиша Del). o Добавлена возможность открывать другой образ автозапуска (только в режиме работы с образом) (гор. клавиша Ctrl+O) o Добавлена поддержка нестандартных путей во все основные функции. o Удалена функция оптимизации пути к файлу для поддержки нестандартных путей. o Исправлена ошибка в функции инициализации, ошибка могла привести к подвисанию процесса uVS на старте (если инициализация завершилась неудачно). o Удалена операция обновления списка в функции сохранения образа для неактивных систем, что позволяет теперь сохранять образ неактивных систем без потери результатов сверки.

3.24 версия, добавлен менеджер установленных программ, и другие исправления и дополнения.

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=112872

быстрая виртуализация

в данном случае uVS работает с копией веток реестра SYSTEM, SOFTWARE.

1. стартуем uVS с помощью start.exe
2. выбираем активную систему, и текущего пользователя (или с правами LocalSystem)
3. далее, в главном меню - реестр - выполнить режим "быстрая виртуализация", (см .рис 1 ниже)
4. сохраняем образ автозапуска (см. рисунок 2 ниже),
5. выходим из программы uVS
6.  помещаем файл образа uvs.txt в архив, и передаем на форум.

вышла версия 3.25

Цитата

v3.25 Незначительные изменения. o Для процессов проявляющих сетевую активность добавлена доп. информация (адрес:порт) для каждого pid-а отдельно. (TCP/TCP6, UDP/UDP6) o Создано специальное окно для более удобного применения твиков. (гор. клавиша Alt+T) o Добавлены твики: 15 - Разрешить отображение вкладки Экран->Рабочий стол 16 - Разрешить отображение вкладки Экран->Заставка 17 - Полная очистка ключей Safer\CodeIdentifiers\0\Paths 18 - Снять ограничения на запуск приложений в Explorer-е

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=114196

вышла 3.26

http://www.anti-malware.ru/forum/index.php?showtopic=11667&pid=115143&st=160&#entry115143

есть восстановление режима Safe Mode через твик, и следовательно через команды скрипта.

Цитата
santy пишет: есть восстановление режима Safe Mode через твик, и следовательно через команды скрипта.

Ура!