Universal Virus Sniffer (uVS) 4.14

[Rashevskiy]

uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.
uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.
uVS обладает рядом уникальных функций:
Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя), ведение пользовательской базы сигнатур вирусов, автоопределение файловых вирусов, работа с неактивными системами, работа с удаленными машинами, возможность создания и загрузки образа автозапуска, автогенерация сриптов для лечения, дефрагментация и восстановление реестра, обнаружение скрытого автозапуска, высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска. С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

[fieldset=Внимание:] Программа исполняет команды без ненужных запросов, использование программы без понимания последствий собственных действий неизбежно приведет к печальным последствиям.[/fieldset]

Сайт утилиты.
Зеркало на актуальную версию.
База проверенных файлов

Файлы и готовые пакеты на DEPOSITFILES [авторская ссылка]
​

 

[akok]

Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.

Возможности программы:

1. Три основных режима: работа с активными, неактивными, удаленными системами.
2. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
3. Создание образов автозапуска. (например для удаленного помощника).
4. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
5. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
6. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
7. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
8. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
9. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписей под чистой системой]
10. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
11. Обнаружение скрытых DLL в адресном пространстве процесса.
12. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
13. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
14. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
15. Бэкап реестра с его дефрагментацией и восстановлением.
16. Выявление исполняемых файловых потоков.
17. Виртуализация реестра.
18. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.

Скачать (актуальная версия v3.60) SHA1: CA0170C7189F876807C7BB3E7770E41AC85FFE64

База проверенных файлов [ZIP 10,1Mb] 532512 хэшей в базе [29.04.2011]


И немного от себя.
Достойный инструмент для работы с заражёнными системами.

 

[Arbitr]

а кто то уже проверял?? мы же смотрели ее зимой и тогда решили что пока сырая...

 

[akok]

Я даже использовал в лечении. Достойно.

 

[Rashevskiy]

Достойно.

Более чем.
Может быть стоит пригласить автора утилиты на наш SafeZone?

 

[akok]

Ничего не имею против если ему будет интересно у нас

 

[akok]

v3.61
Добавил работу с DNS + мелкие исправления и улучшения.

o Добавлена новая категория "DNS".
DNS доступен для редактирования в любом режиме.
Скриптовая команда для установки dns подключения - "setdns".
Поддерживается IPv4 и IPv6.
Для IPv4 доступна быстрая замена DNS на один из популярных DNS.

o Функции проверки файлов на VT теперь можно прервать нажав ESC.
(!) Нажатие ESC прерывает процесс добавления новых файлов в очередь, завершение всего процесса
(!) произойдет после завершения всех запущенных на момент нажатия потоков.

o Добавлен новый пункт меню "Реестр->[HKLM] Очистить System\MountedDevices"
Скриптовая команда "clrmd".
Функция предназначена для исправления проблем возникших из-за переноса системы на другой носитель.

o Новая функция: "Реестр->Проверить параметры классов устройств по копии реестра"
Назначение функции: выявление различий с целью восстановления нормальной работы системы.

o При невозможности увеличить длину сигнатуры для устранения ложного детекта теперь предлагается удалить сигнатуру из базы.

o В окно информации о файле добавлена командная строка для процессов.
Дополнительно производится разбор командной строки и найденные в ней исполняемые файлы помещаются
в категорию "Запускался неявно или вручную".

o В окно удаленного рабочего стола добавлены 3 кнопки.
"CAD" - симулировать нажатие Ctrl+Alt+Del
"<" - предыдущий рабочий стол
">" - следующий рабочий стол
В заголовке окна отображается название рабочего стола.

o Загрузка профилей отложена на первое обновление списка, что позволяет при работе с удаленной системой
выполнять вход в рабочую станцию если не было ни одного обновления списка. (установлен флаг bNetFastLoad)

o Исправлена функция "Добавить хэши всех проверенных файлов в базу проверенных"
при работе с удаленной системой вызов этой функции иногда приводил к аварийному завершению uVS.

o Исправлена функция получения экрана при работе с удаленным рабочим столом.

http://dsrt.dyndns.org/files/uvs_v361.zip

 

[akok]

3.63
Очередное исправление.

o Добавлено 3 ключа реестра.

o Добавлен тип сравнения "Не равно" для критерия.
Поддержка автоконвертации формата файла snms удалена (формат до v3.50).

o Установлено ограничение (20Mb) на размер файла при массовой проверке хэшей на VT.

o При проверке по хэшу на VT дополнительно выводится дата первого появления файла [First Seen] на VT.
Время удалено.

o Новый пункт меню "Файл->Сохранить системный реестр".
(!) Для активной системы реестр сохраняется полностью только при запуске под LocalSystem.

o Добавлена новая скриптовая команда "adddir".
Команда добавляет все исполняемые файлы указанного каталога в список.

o В твик номер 12 добавлено удаление значений:

• Welcome
• LogonPrompt
• LegalNoticeText
• LegalNoticeCaption

o Исправлена ошибка в функции разбора lnk файлов.

o Исправлена ошибка в функции разбора job файлов.

o Исправлена ошибка в функции разбора командной строки.

o Исправлена ошибка в функции компенсации буквы диска.
(В некоторых случаях при сверке выдавалось ложное сообщение о том, что файл сверки испорчен).

o Исправлена ошибка из-за которой файлы добавленные вручную пропускались при проверке списка по F7.

http://dsrt.dyndns.org/files/uvs_v363.zip

База проверенных файлов (от 29.05.2011)

 

[Severnyj]

Пора в Полезно знать, наверное инструкцию добавлять.

 

[akok]

Ничего не имею против если ему будет интересно у нас

У разработчика нет времени

 

[Rashevskiy]

У разработчика нет времени

Обидно...

Добавлено через 1 минуту 19 секунд

Пора в Полезно знать, наверное инструкцию добавлять.

Да, согласен, я думаю, что это очень эффективный инструмент для лечения активного заражения.

 

[Severnyj]

Релиз v3.64

Релиз v3.64

• Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.
• Новая функция в контекстном меню файла: "Добавить все исполняемые файлы каталога в список" (доступна для всех режимов)
• Добавлена поддержка virusscan.jotti.org (!) Сервер сильно ограничивает количество запросов.
• Функция "Сохранить системный реестр" теперь создает отдельный подкаталог для файлов реестра.
• Исправлены ошибки в функциях проверки хэша файла на VT приводившие к пропуску файлов, а иногда и к аварийному завершению uVS.
• Исправлена ошибка в функции анализа установленных тулбаров MSIE.

uVS v3.64 [ZIP 1,4Mb] SHA1: DF0667E11FAC9F412E7D565E83ED4FB8B0DCF1EA

База проверенных файлов [ZIP 10,5Mb] 544553 хэшей в базе [03.06.2011]

 

[akok]

Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven.

Попросил разработчика добавить а функционал по очистке точек восстановления, кроме полного отключения.

 

[Страждущий]

Вопрос. Исчез у меня на Висте Блокнот. Ярлык был в Пуск. Открыл Папку не помню Windows или System32. Нашел там notepad.exe. Отправил в Пуск. Переименовал в Блокнот.exe. Ну так с ним и работал. Скачал сейчас uvs_v364 и из любопытства стал щелкать по всем пунктам в ней. Дощелкался до того, что комп перезагрузился. Исчез из Пуск Блокнот.exe.
Зашел в Windows. Нашел notepad (без exe) отправил в Пуск. Переименовал в Блокнот. Теперь Блокнот (без exe). Работает. Что это было ? Почему был exe, а стал не exe и куда он делся

 

[akok]

любопытства стал щелкать по всем пунктам в ней. Дощелкался до того, что комп перезагрузился. Исчез из Пуск Блокнот.exe

Вот ключевое предложение. Вариант прост откатиться при помощи точки восстановления.

 

[S.R]

Страждущий, могу предположить, что теперь расширения для зарегистрированных типов файлов не показываются.

 

[Страждущий]

Вопрос был в другом: вообще-то notepad в Windows вдруг тогда стал exe.
А без exe исчез? А теперь исчез notepad.exe , а стал нормальный notepad (без exe). И работает при этом хорошо.
P.S. Спасибо. Разобрался с этим exe. Отключено было в свойствах Папки отображение расширений. Это uvs_v364, наверное, отключила показ расширений, пока я беспорядочно по ней щелкал.
Включил в Свойствах Папки - Показ расширений, теперь он опять exe

 

[Severnyj]

v3.65

Похоже мой роутер скоро загнется, поэтому сайт будет работать как попало или вообще пропадет на продолжительное время и появится лишь после того как руки дойдут до замены железа, а может даже и модернизации всей сети с бонусной сменой провайдера, короче возможны технические проблемы.

• Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла, о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных. (в т.ч. и при работе с образами сделанными предыдущими версиями uVS)
  
  
• Подкаталог STORE теперь является дефолтным хранилищем файлов.
  Структура хранилища:
  Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки) для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае последняя буква расширения должна быть заменена на подчеркивание.
  Допускается расположение файлов во вложенных подкаталогах.
  Примеры имен основных каталогов: NT50, NT61x64 и т.п.
  
  
• В контекстное меню файла добавлена команда "Скопировать файл в STORE".
  
  
• Скриптовая команда exec теперь допускает использование сокращений пути до файла:
  %SYS32% = подкаталог SYSTEM32 проверяемой системы
  %SYSTEMROOT% = каталог проверяемой системы
  %SYSTEMDRIVE% = имя диска где расположена система
  
  
• Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"
  Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его запрашивает.
  Скриптовая команда "rknown".
  (!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды
  (!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.
  
  
• В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".
  
  
• Работа со скриптами вынесена в отдельное меню "Скрипт".
  
  
• Новый пункт меню: "Скрипт->Проверить скрипт".
  
  
• Модифицирована функция:
  "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)
  После удаления временных файлов и перед удалением ссылок добавлено обновление списка.
  
  
• Добавлена новая скриптовая команда "crimg".
  Команда создает полный образ автозапуска.
  
  
• В твик номер 12 добавлено удаление значений:
  HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText
  HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption
  
  
• Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.
  
  
• Для jotti.org введено ограничение на 1 поток.
  Максимальное количество запросов ограничивается сервером (60 запросов максимум).
  
  
• Для virustotal.com введено ограничение на 4 потока.

Источник

uVS v3.65 [ZIP 1,4Mb] SHA1: 03891E07A3F9657B0B2FB953D670EB61C1D83500

База проверенных файлов [ZIP 10,5Mb] 548716 хэшей в базе [17.06.2011]

 

[akok]

v3.66
Небольшое обновление.

o Добавлена поддержка сохранения и проверки кода загрузчика в MBR.
Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или
в контекстном меню лога. (если выделена строка с хэшем).
(для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)

o Новый пункт в меню "Руткиты":
Заменить загрузчик в MBR (кроме работы с удаленной системой)
С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.
Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.
Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.
Скриптовая команда "fixmbr" с параметром.

o Новый пункт в меню "Файл"
Восстановить системный реестр из каталога...
Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом.
Доступен выбор произвольного каталога с реестром. (кнопка "Другой")
(!) Для неактивных систем перезагрузка не требуется.
(!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится.
(!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem,
(!) компьютер перезагружается автоматически.

o Твик #23: "Очистить ВСЕ каталоги System Volume Information"
(в частности удаляются все точки восстановления).

o Расширен вывод информации в лог при работе с Jotti.

o Исправлена ошибка в функции сохранения системного реестра удаленной системы.

o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе
с образом.


Добавлено через 10 минут 19 секунд
uVS v3.66 или с зеркала

База проверенных файлов [ZIP 11Mb] 555843 хэшей в базе [26.06.2011]

 

[akok]

С твиком №23 стало хорошо.