uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
uVS обладает рядом уникальных функций:
- Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), - ведение пользовательской базы сигнатур вирусов, - автоопределение файловых вирусов, работа с неактивными системами, - работа с удаленными машинами, - возможность создания и загрузки образа автозапуска, - автогенерация скриптов для лечения, - дефрагментация и восстановление реестра, - обнаружение скрытого автозапуска, - высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска.
С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.
o Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла, о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных. (в т.ч. и при работе с образами сделанными предыдущими версиями uVS)
o Подкаталог STORE теперь является дефолтным хранилищем файлов. Структура хранилища: Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки) для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае последняя буква расширения должна быть заменена на подчеркивание. Допускается расположение файлов во вложенных подкаталогах. Примеры имен основных каталогов: NT50, NT61x64 и т.п.
o В контекстное меню файла добавлена команда "Скопировать файл в STORE".
o Скриптовая команда exec теперь допускает использование сокращений пути до файла: %SYS32% = подкаталог SYSTEM32 проверяемой системы %SYSTEMROOT% = каталог проверяемой системы %SYSTEMDRIVE% = имя диска где расположена система
o Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы" Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его запрашивает. Скриптовая команда "rknown". (!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды (!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.
o В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".
o Работа со скриптами вынесена в отдельное меню "Скрипт".
o Новый пункт меню: "Скрипт->Проверить скрипт".
o Модифицирована функция: "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete) После удаления временных файлов и перед удалением ссылок добавлено обновление списка.
o Добавлена новая скриптовая команда "crimg". Команда создает полный образ автозапуска.
o В твик номер 12 добавлено удаление значений: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption
o Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.
o Для jotti.org введено ограничение на 1 поток. Максимальное количество запросов ограничивается сервером (60 запросов максимум).
o Для virustotal.com введено ограничение на 4 потока.
o Добавлена поддержка сохранения и проверки кода загрузчика в MBR. Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или в контекстном меню лога. (если выделена строка с хэшем). (для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)
o Новый пункт в меню "Руткиты": Заменить загрузчик в MBR (кроме работы с удаленной системой) С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска. Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS. Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик. Скриптовая команда "fixmbr" с параметром.
o Новый пункт в меню "Файл" Восстановить системный реестр из каталога... Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом. Доступен выбор произвольного каталога с реестром. (кнопка "Другой") (!) Для неактивных систем перезагрузка не требуется. (!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится. (!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem, (!) компьютер перезагружается автоматически.
o Твик #23: "Очистить ВСЕ каталоги System Volume Information" (в частности удаляются все точки восстановления).
o Расширен вывод информации в лог при работе с Jotti.
o Исправлена ошибка в функции сохранения системного реестра удаленной системы.
o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе с образом.
MBR#0 [232,9GB]: Загрузчик найден в базе проверенных MBR#1 [7,5GB]: Загрузчик найден в базе проверенных
--- проверил восстановление загрузчика в MBR из под Winpe&uVS. Предварительно переписал на VM с помощью bootice чистый MBR на MBR машины, зараженной Win32\MBRLock.C без перезаписи таблицы разделов и сигнатуры (только загрузчик). После запуска с winpe uVS определил >>MBR#0 [8,0GB]: Неизвестный загрузчик SHA1: D85762905DEBE08E475428BE310AFE7D1CCB0C9A
функция Руткиты - "Заменить загрузчик в MBR" нормально восстановила загрузку системы.
o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор). Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT. (!) Для FAT16/exFAT сохраняется код из бутсектора. (!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора) (!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах. Функция доступна в любом режиме.
o Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS) Функция доступна в любом режиме.
o Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS). (меню "Руткиты")
o Добавлена скриптовая команда fixvbr. Пример: fixvbr c: 6 где с - имя загрузочного диска, 6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3) Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6. Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6. Команда fixvbr принимает в качестве второго параметра любое _число. (!) Команда не_доступна при работе с удаленной системой.
o MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.
Исправление, как показали опыты в ключе *\Control\Session Manager\AppCertDlls можно создавать значения с произвольным именем значения (в т.ч. и в дефолтном) и прописанная в нем dll будет успешно подгружаться в процессы, соотв. теперь обрабатываются все строковые значения в данном ключе, обработка скриптовой команды delref тоже пофиксена.
o В список для проверки добавлено 2 ключа реестра.
o Новая функция в меню "Дополнительно"->"Сбросить атрибуты для всех файлов/каталогов в..." Функция НЕ_доступна при работе с образом.
o Новая функция в меню "Настройка"->"Ручная настройка трансляции имен дисков..." Функция доступна при работе с неактивной системой.
o Новый параметр в settings.ini [Settings] ; Автоматическое добавление исполняемых файлов в указанных каталогах в список AddDirs Разделитель: | Флаг отмены рекурсии: > Допустимо использование скриптовых сокращений пути. Пример: %sys32% | d:\tools | >%SystemDrive%
Принятые к реализации: 1. Доп. флаг отмены рекурсии для скриптовой команды adddir [v3.69] 2. Добавление названия антивируса к имени вируса при добавлении в базу сигнатур (по данным VT) [v3.69] 3. Поддержка сигнатур для MBR/VBR/IPL [v3.69] 4. Составные критерии [v?.??] 5. Восстановление параметра ServiceDll для известных сервисов [v3.69] 6. Добавить стартовые страницы браузеров [v3.69] 7. Прерывание ожидания ответа от сервера по ESC [v3.69] 8. Проверка хэшей загрузчиков на VT/JT, загрузка загрузчиков на VT [v3.69]
o Новый параметр в settings.ini [Settings] ; Архивация файла (образа) ArchiveFile = 7zip\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=64m "%s.7z" "%s" (пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS)
; Разархивация образа DecompressImage = 7zip\7za.exe x -y "%s" -o"%s" *.txt (пример для 7za.exe в подкаталоге 7zip)
; Архивация Zoo ArchiveZoo = 7zip\7za.exe a -t7z "%s.7z" -pvirus "%s\*.*" (пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus)
(!) Для уменьшения риска заражения вашего архиватора файловым вирусом рекомендуется (!) изменить или совсем убрать расширение файла. (!) Пример для файла без расширения: ArchivateZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*"
o Файлы со статусом проверенный _И_ подозрительный более НЕ скрываются соотв. флагом.
o Добавлена поддержка образов в архиве с "-" замененными на "_" в имени.
o Исправлены некоторые ошибки в английском языковом файле.
o Исправлена функция разбора параметра Userinit и некоторых других параметров.
o Исправлена функция поиска по производителю. (проблемы с поиском по маленьким буквам)
o Исправлена ошибка при запуске под чистым рабочим столом на компьютерах с высокопроизводительными SATA-3 SSD. (не успевал смениться рабочий стол при запуске)
o Новая функция создания загрузочных флешек и образов (ISO) загрузочных дисков с интегрированным uVS. (см. меню Файл->Создать загрузочную...) (!) Требуется WAIK3 или Windows7 SP1 AIK Supplement Update, oscdimg.exe (если нет WAIK) (!) Используйте в качестве шаблона для интеграции развернутый _пакет_ uVS (FAR будет использован в качестве оболочки)
o Новые функции в меню Подпись/Хэш. Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на VirusTotal.com Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на virusscan.Jotti.com
o Добавлена возможность загрузки файлов на virusscan.Jotti.com (прерывание процесса по ESC)
o Добавлена возможность просмотра содержимого загрузчика.
o Для сигнатур загрузчиков теперь доступна функция "Ложное срабатывание, увеличить длину сигнатуры".
o Новый твик #24 "Восстановить из копии ключи Group Policy [HKLM]" Для выполнения необходим бэкап реестра как и в случае с твиком #21.
o Новый ключ запуска start.exe /t (автозапуск для выполнения скрипта из буфера обмена) В дистрибутив добавлен файл script.cmd.
o Поддержка поиска файлов на SystemExplorer.net (см. контекстное меню файла)
o В контекстное меню критерия добавлена новая функция "Новый критерий на базе текущего".
o В описание файла скопированного в Zoo добавлено имя компьютера и тек. дата/время.
o Новый пункт меню "Дополнительно->Выбрать путь до хранилища/дистрибутива..."
o Внесены изменения в подсчет SHA1 IPL. SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 (0x1C70 теперь включительно) всегда заполняется нулями.
o Новый параметр в settings.ini [Settings] ; Отключение звуковых сигналов. bMute (0 по умолчанию)
o Флаг bCreateImage теперь используется и при работе с удаленной системой. Этот флаг предназначен для автоматического создания образов. (подробнее см. FAQ)
o Исправлена ошибка при обработке скриптовой команды adddir.
o Исправлена ошибка при обработке скриптовой команды zoo. (при работе с удаленными системами)
Багфикс, наконец-то удалось локализовать и придавить критический баг который тянулся с v1.0, повезло что попалась в руки машина где он проявлялся сколько-нибудь часто, соотв. внеплановый релиз.