Universal Virus Sniffer (uVS)

Universal Virus Sniffer (uVS) 4.15.1

Rashevskiy

Постоянный участник
Сообщения
141
Реакции
194
uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
uVS обладает рядом уникальных функций:
Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами, возможность создания и загрузки образа автозапуска, автогенерация сриптов для лечения, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

[fieldset=Внимание:] Программа исполняет команды без ненужных запросов, использование программы без понимания последствий собственных действий неизбежно приведет к печальным последствиям.[/fieldset]

 
Последнее редактирование модератором:
Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.

Возможности программы:
  1. Три основных режима: работа с активными, неактивными, удаленными системами.
  2. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
  3. Создание образов автозапуска. (например для удаленного помощника).
  4. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
  5. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
  6. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
  7. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
  8. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
  9. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписей под чистой системой]
  10. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
  11. Обнаружение скрытых DLL в адресном пространстве процесса.
  12. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
  13. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
  14. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
  15. Бэкап реестра с его дефрагментацией и восстановлением.
  16. Выявление исполняемых файловых потоков.
  17. Виртуализация реестра.
  18. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.

Скачать (актуальная версия v3.60) SHA1: CA0170C7189F876807C7BB3E7770E41AC85FFE64

База проверенных файлов [ZIP 10,1Mb] 532512 хэшей в базе [29.04.2011]


И немного от себя.
Достойный инструмент для работы с заражёнными системами.
 
v3.61
Добавил работу с DNS + мелкие исправления и улучшения.

o Добавлена новая категория "DNS".
DNS доступен для редактирования в любом режиме.
Скриптовая команда для установки dns подключения - "setdns".
Поддерживается IPv4 и IPv6.
Для IPv4 доступна быстрая замена DNS на один из популярных DNS.

o Функции проверки файлов на VT теперь можно прервать нажав ESC.
(!) Нажатие ESC прерывает процесс добавления новых файлов в очередь, завершение всего процесса
(!) произойдет после завершения всех запущенных на момент нажатия потоков.

o Добавлен новый пункт меню "Реестр->[HKLM] Очистить System\MountedDevices"
Скриптовая команда "clrmd".
Функция предназначена для исправления проблем возникших из-за переноса системы на другой носитель.

o Новая функция: "Реестр->Проверить параметры классов устройств по копии реестра"
Назначение функции: выявление различий с целью восстановления нормальной работы системы.

o При невозможности увеличить длину сигнатуры для устранения ложного детекта теперь предлагается удалить сигнатуру из базы.

o В окно информации о файле добавлена командная строка для процессов.
Дополнительно производится разбор командной строки и найденные в ней исполняемые файлы помещаются
в категорию "Запускался неявно или вручную".

o В окно удаленного рабочего стола добавлены 3 кнопки.
"CAD" - симулировать нажатие Ctrl+Alt+Del
"<" - предыдущий рабочий стол
">" - следующий рабочий стол
В заголовке окна отображается название рабочего стола.

o Загрузка профилей отложена на первое обновление списка, что позволяет при работе с удаленной системой
выполнять вход в рабочую станцию если не было ни одного обновления списка. (установлен флаг bNetFastLoad)

o Исправлена функция "Добавить хэши всех проверенных файлов в базу проверенных"
при работе с удаленной системой вызов этой функции иногда приводил к аварийному завершению uVS.

o Исправлена функция получения экрана при работе с удаленным рабочим столом.

http://dsrt.dyndns.org/files/uvs_v361.zip
 
3.63
Очередное исправление.

o Добавлено 3 ключа реестра.

o Добавлен тип сравнения "Не равно" для критерия.
Поддержка автоконвертации формата файла snms удалена (формат до v3.50).

o Установлено ограничение (20Mb) на размер файла при массовой проверке хэшей на VT.

o При проверке по хэшу на VT дополнительно выводится дата первого появления файла [First Seen] на VT.
Время удалено.

o Новый пункт меню "Файл->Сохранить системный реестр".
(!) Для активной системы реестр сохраняется полностью только при запуске под LocalSystem.

o Добавлена новая скриптовая команда "adddir".
Команда добавляет все исполняемые файлы указанного каталога в список.

o В твик номер 12 добавлено удаление значений:
  • Welcome
  • LogonPrompt
  • LegalNoticeText
  • LegalNoticeCaption
o Исправлена ошибка в функции разбора lnk файлов.

o Исправлена ошибка в функции разбора job файлов.

o Исправлена ошибка в функции разбора командной строки.

o Исправлена ошибка в функции компенсации буквы диска.
(В некоторых случаях при сверке выдавалось ложное сообщение о том, что файл сверки испорчен).

o Исправлена ошибка из-за которой файлы добавленные вручную пропускались при проверке списка по F7.

http://dsrt.dyndns.org/files/uvs_v363.zip

База проверенных файлов (от 29.05.2011)
 
У разработчика нет времени :)
Обидно... :sorry:

Добавлено через 1 минуту 19 секунд
Пора в Полезно знать, наверное инструкцию добавлять.
Да, согласен, я думаю, что это очень эффективный инструмент для лечения активного заражения.
 
Релиз v3.64

Релиз v3.64

  • Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.
  • Новая функция в контекстном меню файла: "Добавить все исполняемые файлы каталога в список" (доступна для всех режимов)
  • Добавлена поддержка virusscan.jotti.org (!) Сервер сильно ограничивает количество запросов.
  • Функция "Сохранить системный реестр" теперь создает отдельный подкаталог для файлов реестра.
  • Исправлены ошибки в функциях проверки хэша файла на VT приводившие к пропуску файлов, а иногда и к аварийному завершению uVS.
  • Исправлена ошибка в функции анализа установленных тулбаров MSIE.

uVS v3.64 [ZIP 1,4Mb] SHA1: DF0667E11FAC9F412E7D565E83ED4FB8B0DCF1EA

База проверенных файлов [ZIP 10,5Mb] 544553 хэшей в базе [03.06.2011]
 
Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.

Попросил разработчика добавить а функционал по очистке точек восстановления, кроме полного отключения.
 
Вопрос. Исчез у меня на Висте Блокнот. Ярлык был в Пуск. Открыл Папку не помню Windows или System32. Нашел там notepad.exe. Отправил в Пуск. Переименовал в Блокнот.exe. Ну так с ним и работал. Скачал сейчас uvs_v364 и из любопытства стал щелкать по всем пунктам в ней. Дощелкался до того, что комп перезагрузился. Исчез из Пуск Блокнот.exe.
Зашел в Windows. Нашел notepad (без exe) отправил в Пуск. Переименовал в Блокнот. Теперь Блокнот (без exe). Работает. Что это было ? Почему был exe, а стал не exe и куда он делся :)
 
любопытства стал щелкать по всем пунктам в ней. Дощелкался до того, что комп перезагрузился. Исчез из Пуск Блокнот.exe

Вот ключевое предложение. Вариант прост откатиться при помощи точки восстановления.
 
Страждущий, могу предположить, что теперь расширения для зарегистрированных типов файлов не показываются.
 
Вопрос был в другом: вообще-то notepad в Windows вдруг тогда стал exe.
А без exe исчез? А теперь исчез notepad.exe , а стал нормальный notepad (без exe). И работает при этом хорошо.
P.S. Спасибо. Разобрался с этим exe. Отключено было в свойствах Папки отображение расширений. Это uvs_v364, наверное, отключила показ расширений, пока я беспорядочно по ней щелкал.
Включил в Свойствах Папки - Показ расширений, теперь он опять exe
 
v3.65


  • Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла, о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных. (в т.ч. и при работе с образами сделанными предыдущими версиями uVS)

  • Подкаталог STORE теперь является дефолтным хранилищем файлов.
    Структура хранилища:
    Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки) для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае последняя буква расширения должна быть заменена на подчеркивание.
    Допускается расположение файлов во вложенных подкаталогах.
    Примеры имен основных каталогов: NT50, NT61x64 и т.п.

  • В контекстное меню файла добавлена команда "Скопировать файл в STORE".

  • Скриптовая команда exec теперь допускает использование сокращений пути до файла:
    %SYS32% = подкаталог SYSTEM32 проверяемой системы
    %SYSTEMROOT% = каталог проверяемой системы
    %SYSTEMDRIVE% = имя диска где расположена система

  • Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"
    Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его запрашивает.
    Скриптовая команда "rknown".
    (!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды
    (!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.

  • В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".

  • Работа со скриптами вынесена в отдельное меню "Скрипт".

  • Новый пункт меню: "Скрипт->Проверить скрипт".

  • Модифицирована функция:
    "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)
    После удаления временных файлов и перед удалением ссылок добавлено обновление списка.

  • Добавлена новая скриптовая команда "crimg".
    Команда создает полный образ автозапуска.

  • В твик номер 12 добавлено удаление значений:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption

  • Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.

  • Для jotti.org введено ограничение на 1 поток.
    Максимальное количество запросов ограничивается сервером (60 запросов максимум).

  • Для virustotal.com введено ограничение на 4 потока.

Источник

uVS v3.65 [ZIP 1,4Mb] SHA1: 03891E07A3F9657B0B2FB953D670EB61C1D83500

База проверенных файлов [ZIP 10,5Mb] 548716 хэшей в базе [17.06.2011]
 
Последнее редактирование модератором:
v3.66
Небольшое обновление.

o Добавлена поддержка сохранения и проверки кода загрузчика в MBR.
Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или
в контекстном меню лога. (если выделена строка с хэшем).
(для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)

o Новый пункт в меню "Руткиты":
Заменить загрузчик в MBR (кроме работы с удаленной системой)
С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.
Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.
Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.
Скриптовая команда "fixmbr" с параметром.

o Новый пункт в меню "Файл"
Восстановить системный реестр из каталога...
Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом.
Доступен выбор произвольного каталога с реестром. (кнопка "Другой")
(!) Для неактивных систем перезагрузка не требуется.
(!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится.
(!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem,
(!) компьютер перезагружается автоматически.

o Твик #23: "Очистить ВСЕ каталоги System Volume Information"
(в частности удаляются все точки восстановления).

o Расширен вывод информации в лог при работе с Jotti.

o Исправлена ошибка в функции сохранения системного реестра удаленной системы.

o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе
с образом.


Добавлено через 10 минут 19 секунд
uVS v3.66 или с зеркала

База проверенных файлов [ZIP 11Mb] 555843 хэшей в базе [26.06.2011]
 
Назад
Сверху Снизу