Universal Virus Sniffer (uVS)

uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.

uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.

uVS обладает рядом уникальных функций:

- Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя),
- ведение пользовательской базы сигнатур вирусов,
- автоопределение файловых вирусов, работа с неактивными системами,
- работа с удаленными машинами,
- возможность создания и загрузки образа автозапуска,
- автогенерация скриптов для лечения,
- дефрагментация и восстановление реестра,
- обнаружение скрытого автозапуска,
- высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска.

С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/

Функционал сохранения образа автозагрузки на зараженной системе, работы с данным образом на чистой машине, автогенерация скриптов лечения при работе хелпера с сохраненным образом, с последующим выполнением сохраненного скрипта на зараженной системе дают возможность использовать данную программу на форумах при лечении заражения.

Для анализа автозагрузки используется гибкая система фильтров.

вышла новая версия uVS 3.10

1. добавлены новые методы завершения нежелательных процессов;
2. добавлена функция вычисления SHA1 и проверки по вычисляемым хэшам;
3. добавлен новый твик: "Сброс значений ключей Winlogon в начальное состояние"

полная информация о текущих изменениях программы на авторском сайте:
http://dsrt.jino-net.ru/

и в комментариях к программе на
http://www.anti-malware.ru/forum/index.php?showtopic=11667

вышла версия 3.12 uVS.

Как создать полный образ автозапуска

1. запускаем стартовый файл start.exe
2. выбираем каталог windows для анализа автозагрузки (по умолчанию, выбрана уже ваша активная система)
3. выбираете пользователя (текущий пользователь, LocalSystem - максимальные права, другой пользователь),
4. в главном меню выбираете режим - файл - создать полный образ автозапуска,
5. сохраняем его в текстовый файл,
6. добавляем файл в архив rar
7. прикрепляем к сообщению в ващей теме.

как выполнить скрипт

см. рисунок выше.
1. запускаем стартовый файл start.exe
2. выбираем каталог windows (по умолчанию, выбрана уже ваша активная система)
3. выбираете пользователя (текущий пользователь, LocalSystem - максимальные права, другой пользователь),
4. в главном меню программы (см. рисунок) - файл - выполнить - скрипт
5. выбираем из диалога открытия файлов - созданный (сохраненный) скрипт, (script.txt)
6. жмем ок.

вышло долгожданное теперь уже обновление uVS версия 3.20
подробности выпуска можно прочесть в авторской теме здесь
http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=110438
с деталями выпуска еще предстоит разобраться....

Цитата

- Появилась новая фича - виртуализация реестра. ... Т.е. это гибридный режим, позволяющий преодолевать практически любую защиту ключей реестра прямо в активном режиме. Назначение - подавление самозащиты зловредов и упертого софта при невозможности загрузится с диска и конечно лечение некоторых типов руткитов на удаленных системах. (т.е. при отсутствии физического доступа к компьютеру и проблемах с загрузкой в PE). Можно использовать в скриптах. - Добавлен новый пункт в меню Запустить->"Внешний файловый менеджер". (гор. клавиша Alt+F) Менеджер запускается под тем же пользователем, что и uVS. При первом использовании укажите исполняемый модуль вашего любимого файлового менеджера. Рекомендуется поместить его в подкаталог в каталоге uVS, тогда будет использоваться относительный путь вместо абсолютного, что сделает сборку мобильной. - Добавлена новая команда "restart" в скриптовый язык. Команда прекращает выполнение скрипта и перезагружает систему. В режиме работы с образом системы команда добавляется в меню "Дополнительно". - Добавлена новая команда "breg" в скриптовый язык. Команда выполняет бэкап реестра. - Добавлена новая функция "Поместить копии всех НЕПРОВЕРЕННЫХ файлов в BOX". Файлы помещаются в каталог BOX (в корне uVS) и именуются аналогично тем что попадают в ZOO. - Добавлена возможность извлекать сигнатуры из файлов "лишенных статуса исполняемого". - Добавлен новый пункт меню Файл->"Выполнить скрипт находящийся в буфере обмена". - Добавлен новый твик "Удалить все Persistent routes". (твик #13) - Теперь при старте в лог печатаются все Persistent routes. (Некоторые зловреды используют их для блокировки доступа к антивирусным сайтам)

как создать скрипт лечения

1. читать документацию по программе (файл _Скрипты.txt из папки DOC)

Цитата
(!) Скрипты формируются _автоматически_ при проведении обычных операций на образе системы, (!) либо в любом другом режиме по указанию пользователя. (удерживать Shift при отдаче команды) (!) Скрипты могут быть выполнены только при проверке активной и неактивной системы.

2. при работе с образом автозапуска часть операций из главного меню (Дополнительно, Дополнительно-Твики и др.), или из контекстного меню,
доступного по правой кнопке мыши, ассоциируется с внутренней командой, исполняемой модулем uvs при работе с активной (неактивной системой).
например:
поместить копию файла в ZOO --> zoo [файл]
добавить сигнатуру файла в скрипт и вирусную базу --> addsgn [sgn] [имя сингнатуры в базе]
и .т.д.

по завершении работы с образом автозапуска вам будт предложено сохранить формируемый т.о. скрипт в текстовый файл.

3.21 есть

в скором времени будет реализована локализация программы.

Цитата

Добавлена возможность локализации интерфейса uVS без изменения дистрибутива. Желающие перевести интерфейс uVS на язык отличный от английского и затем поддерживать его в актуальном виде (при смене версии uVS) могут обращаться ко мне на email: [email protected] Имя модуля локализации "lclz". Английский модуль в данный момент находится на проверке, в дистрибутив английский модуль включаться НЕ будет, скачать его можно будет с оф. сайта отдельно.

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=110883