Обзоры Universal Virus Sniffer (uVS) 5.0.RC2

[Arbitr]

чет я что то не понимаю.. согласно инструкции делаю лог

Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

и получаю вот такой лог, я что то не понимаю.. как же его смотреть тут же глаза блин сломаешь

 

[грум]

Arbitr
надо надо запустить UVS там есть строка загрузить образ

 

[Severnyj]

uVS 3.67BETA

uVS 3.67 BETA
База проверенных обновлена.

• Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
  Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
  • Для FAT16/exFAT сохраняется код из бутсектора.
  • Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
  • Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
  Функция доступна в любом режиме.
  
  
• Добавлена поддержка сохранения и проверки кода IPL. (15 секторов за бутсектором NTFS)
  Функция доступна в любом режиме.
  
  
• Добавлена возможность перезаписи загрузчиков VBR/IPL.
  
  
• Добавлены скриптовые команды fixvbr и fixipl.
  

  Пример: fixvbr c: 6
  где с - имя загрузочного диска,
  6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)
  Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.

  Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
  Команды fixvbr/fixipl принимают в качестве второго параметра любое_число.
  Разделение команд сделано специально, поскольку в некоторых случаях (Boot.Cidox) требуется восстановление только IPL.
  • Команды не_доступны при работе с удаленной системой.
  
  
• VBR/MBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.
  
  
• Новые параметр в settings.ini
  

  [Settings]
  ; Фильтр по производителю антивируса через запятую.
  vFilter
  Фильтр применяется в функциях массовой проверки файлов.
  Результаты проверки антивирусом не попавшим в список учитываться не будут.
  Пример: Kaspersky, DrWeb, AntiVir, Comodo

  • Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно указывать оба варианта.
  
  
• Изменен формат файла сверки.
  Теперь для сверки сохраняется весь код в MBR+VBR+IPL.
  
  
• Удалено из лога сообщение о том что хэш загрузчика есть в базе.
  В лог выводится информация лишь о непроверенных загрузчиках.

Источник

 

[Severnyj]

v3.67

v3.67
База проверенных обновлена.

Финальный список исправлений:

• Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
  • Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
  • Для FAT16/exFAT сохраняется код из бутсектора.
  • Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
  • Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
  • Функция доступна в любом режиме.
  
  
• Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS)
  • Функция доступна в любом режиме.
  
  
• Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS). (меню "Руткиты")
  
  
• Добавлена скриптовая команда fixvbr.
  

  Пример: fixvbr c: 6
  где с - имя загрузочного диска,
  6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)

  • Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.
  • Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
  • Команда fixvbr принимает в качестве второго параметра любое _число.
  • (!) Команда не_доступна при работе с удаленной системой.
  
  
• MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.
  
  
• Новый пункт в меню "Реестр" -> "[INTEL] Включить поддержку AHCI..."
  • Функция доступна для активной и неактивной системы. (Для XP/2k3 перед использованием см. AHCI.txt).
  • (!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений.
  
  
• Новые параметры в settings.ini
  

  [Settings]
  ; Фильтр по производителю антивируса через запятую.
  vFilter (сторка)
  Фильтр применяется в функциях массовой проверки файлов.
  Результаты проверки антивирусом не попавшим в список учитываться не будут.
  Пример: Kaspersky, DrWeb, AntiVir

  • (!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно
  • (!) указывать оба варианта.
  
  

  ; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранне полученных данных с VT или JT.
  vGetName (строка)
  В строке можно указать через запятую производителей в порядке приоритета.
  Пример: Kaspersky, DrWeb, AntiVir

  
  
• Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу. Функция доступна в контекстном меню файла. Скриптовая команда "rbl".
  
  
• Новая горячая клавиша Alt+M. Переключает режим поиска: по имени или по производителю.
  
  
• Разрешено добавление сигнатур из файлов находящихся в локальном Zoo. (для всех режимов)
  
  
• В uVS добавлена базовая поддержка GPT. Соотв. загрузчики присутствуют в списке под именем MBRGPT#...
  
  
• (!) Изменен формат базы вирусов.
  • Добавлена функция обнаружения повреждений базы.
  • Добавлено примечание (127 символов) и длина имени увеличена до 39 символов.
  • База конвертируется автоматически при первом ее изменении.
  • Импорт поддерживается из обоих форматов.
  
  
• (!) Изменен формат файла сверки. Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

Источник

 

[Severnyj]

v3.68

uVS v3.68 [ZIP 1,4Mb] SHA1: D00F09C9AD5FBB7C472F8F0007876F6F10540422

База проверенных файлов [ZIP 12Mb] 558808 хэшей в базе [26.07.2011]

Исправление, как показали опыты в ключе *\Control\Session Manager\AppCertDlls
можно создавать значения с произвольным именем значения (в т.ч. и в дефолтном) и прописанная в нем dll будет успешно подгружаться в процессы, соотв. теперь обрабатываются все строковые значения в данном ключе, обработка скриптовой команды delref тоже пофиксена.

• В список для проверки добавлено 2 ключа реестра.
  
  
• Новая функция в меню "Дополнительно"->"Сбросить атрибуты для всех файлов/каталогов в..."
  • Функция НЕ_доступна при работе с образом.
  
  
• Новая функция в меню "Настройка"->"Ручная настройка трансляции имен дисков..."
  • Функция доступна при работе с неактивной системой.
  
  
• Новый параметр в settings.ini
  [Settings]
  ; Автоматическое добавление исполняемых файлов в указанных каталогах в список
  AddDirs
  Разделитель: |
  Флаг отмены рекурсии: >
  Допустимо использование скриптовых сокращений пути.
  

  Пример: %sys32% | d:\tools | >%SystemDrive%

  
  
• Исправлена ошибка в start.exe
  • При возникновении проблем с доступом к необходимым файлам мог происходить самопроизвольный сброс некоторых флагов.
  
  
• Модифицирована функция безопасного удаления...
  • Функция не удаляет ссылки на файлы имеющие лишний "\" перед именем файла.
  
  
• Исправлена ошибка в функции проверки скрипта.

Источник

 

[Вархаммер]

Достойно.

Я в 2010 г. предлагал ввести его в обучение.

Можно еще обратить внимание на утилиту Universal Virus Sniffer (uVS), которой проводять лечение на форуме ESET.

Видно же, что у утилиты большой потенциал. Скоро наверное AVZ будет использоваться, в лечении так же как и сейчас HijackThis. То есть, фактически никак.

 

[akok]

Скоро наверное AVZ будет использоваться, в лечении так же как и сейчас HijackThis.

Возможно AVZ переродиться в сугубо специфичную утилиту для 911.

Добавлено через 30 секунд

Я в 2010 г. предлагал ввести его в обучение.

Всему свое время.

 

[Severnyj]

Universal Virus Sniffer (uVS) 3.69

Изменения в версии 3.69

• Добавлена функция извлечения и проверки сигнатур MBR/VBR/IPL.
  (в т.ч. и для образов автозапуска созданных v3.66-v3.68)
  
  
• Добавлена полностью автоматическая функция коррекции поврежденных каталогов winsock.
  В лог выводится предупреждение о проблемах с каталогом.
  Восстановление нумерации и общего количества элементов происходит автоматически при обновлении списка.
  
  
• Добавлен новый пункт в меню "Подпись/Хэш":
  "Сбросить статус "подозрительный" у всех известных файлов без цифровой подписи"
  
  
• Твик #14 теперь удаляет все пустые строки из HOSTS.
  
  
• Добавлена функция проверки по хэшу загрузчиков на VT/JT.
  
  
• Добавлена функция загрузки MBR/VBR/IPL на VT (при наличии VTUploader-а).
  Функция самостоятельно извлекает загрузчик (в т.ч. и из образа) и передает в vtuploader временный файл со случайным именем, временный файл будет удален при следующем запуске uVS.
  
  
• В список добавлены стартовые страницы MSIE, Firefox, Opera, Chrome
  Удаление ссылок на соотв. URL удаляет эту стартовую страницу во всех указанных браузерах.
  (!) Браузер НЕ должен быть активен в этот момент.
  
  
• Для скриптовой команды adddir разрешено использование флага отмены рекурсии как и в случае параметра AddDirs.
  Пример: adddir >c:
  где ">" отменяет рекурсию и соотв. добавляются лишь файлы находящиеся в корне диска С.
  
  
• Добавлены дефолтные значения для некоторых ключей реестра.
  
  
• Улучшена обработка нажатия ESC при обращении к VirusTotal.
  
  
• При автоматической формировании имени вируса (vGetName) теперь используется не только название вируса, но и имя производителя соотв. антивируса.
  
  
• Модифицирована функция безопасного удаления...
  Функция снова не удаляет ссылки на отсутствующие сервисные DLL.
  
  
• Восстановлена работоспособность функции определения владельца активного окна. (Alt+Shift+I при запуске на чистом рабочем столе)
  
  
• Исправлена ошибка проверки эцп файла находящегося в локальном Zoo при работе с удаленной системой.
  
  
• Исправлена ошибка при передачи параметра текстовому редактору.
  
  
• Исправлена критическая ошибка в коде иногда приводившая к аварийному завершению uVS.

Скачать:

• Текущая русская версия [ZIP 1.4Mb]
• Английский языковой файл [ZIP 86Kb]
• Текущая база проверенных файлов [ZIP 12Mb]

Источник

 

[shestale]

Пытаюсь скачать по этой ссылке, аваст блокирует и выдает сообщение о вредоносной программе???

Текущая русская версия [ZIP 1.4Mb]

 

[Severnyj]

Пытаюсь скачать по этой ссылке, аваст блокирует и выдает сообщение о вредоносной программе???

Старый фолс Аваста отсылал им несколько раз да без толку

http://www.virustotal.com/file-scan...0ae33c66572f07a4cb2ece5b3b4c85fa1d-1306692880

 

[shestale]

Т.е. если я ее даже и скачаю при отключенном авасте, потом с включенным авастом она все равно не будет работать?

 

[Severnyj]

Скачаете и распакуете при выключенном Авасте далее добавляете папку с uVS в исключения и все работает)))

 

[Severnyj]

Universal Virus Sniffer (uVS) 3.70

---------------------------------------------------------
3.70
---------------------------------------------------------

• Дефолтное значение bNetFastLoad изменено на 1.
  
  
• Дефолтное значение SearchMode изменено на 1.
  
  
• Новый параметр в settings.ini
  
  [Settings]
  • Архивация файла (образа)
    ArchiveFile = 7zip\7za.exe a -t7z -mx9 -m0=ppmd=32:mem=64m "%s.7z" "%s"
    (пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS)
    
    
  • Разархивация образа
    DecompressImage = 7zip\7za.exe x -y "%s" -o"%s" *.txt
    (пример для 7za.exe в подкаталоге 7zip)
    
    
  • Архивация Zoo
    ArchiveZoo = 7zip\7za.exe a -t7z "%s.7z" -pvirus "%s\*.*"
    (пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus)
    
    
  • (!) Для уменьшения риска заражения вашего архиватора файловым вирусом рекомендуется
    
    
  • (!) изменить или совсем убрать расширение файла.
    
    
  • (!) Пример для файла без расширения: ArchivateZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*"
  
  
• Файлы со статусом проверенный _И_ подозрительный более НЕ скрываются соотв. флагом.
  
  
• Добавлена поддержка образов в архиве с "-" замененными на "_" в имени.
  
  
• Исправлены некоторые ошибки в английском языковом файле.
  
  
• Исправлена функция разбора параметра Userinit и некоторых других параметров.
  
  
• Исправлена функция поиска по производителю. (проблемы с поиском по маленьким буквам)
  
  
• Исправлена ошибка при запуске под чистым рабочим столом на компьютерах с высокопроизводительными SATA-3 SSD. (не успевал смениться рабочий стол при запуске)

Скачать:

• Текущая русская версия [ZIP 1.4Mb]
• Английский языковой файл [ZIP 86Kb]
• Текущая база проверенных файлов [ZIP 12Mb]

Источник

 

[Severnyj]

Universal Virus Sniffer (uVS) 3.71

---------------------------------------------------------
3.71
---------------------------------------------------------

• Внесены изменения в подсчет SHA1 IPL.
  SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 всегда заполняется нулями.
  Данное изменение значительно упростит проверку IPL и в большинстве случаев избавит от необходимости анализа "неизвестного" кода, который на самом деле ничем не отличается от кода стандартного загрузчика.
  Функция сохранения загрузчика сохраняет НЕ_модифицированный код.
  
  
• Исправлена ошибка в функции обработки команды addsgn.
  Команда не принимала имена сигнатур длиной более 20 символов.
  
  
• Изменена функция обработки файла HOSTS.
  Теперь обрабатывается не только HOSTS с указанным в реестре путем, но и дефолтный.
  При любом изменении оба файла объединяются в один и результирующий файл помещается по дефолтному пути с исправлением пути в реестре. При сохранении HOSTS из образа оба файла сохраняются в один.
  Первым идет HOSTS с измененным путем.
  
  
• Изменен метод сохранения файла HOSTS.
  Теперь uVS своими действиями либо провоцирет установленный антивирус на запрос у пользователя разрешения модификации файла HOSTS, либо (если это допускается настройками антивируса) происходит запись в HOSTS без запроса.
  Данное изменение сделано из-за неадекватного поведения некоторых продуктов, молча блокирующих доступ на запись к модифицированному зловредами HOSTS.
  
  
• Новый пункт меню "Запустить"->"Дата/время".
  Для удаленных систем окно открывается в удаленной системе.
  
  
• Исправлена ошибка в функции создания образа удаленной системы.
  Образ уже несколько версий подряд не сохранялся из-за "оптимизаций" в функции обработки ответов сервера.
  
  
• Исправлена ошибка в функции копирования файла в STORE.
  В 64-х битных системах функция блокировала отключение системного редиректора.
  
  
• Исправлена критическая ошибка в функции подстановки переменных окружения.

Официальный сайт:

• http://dsrt.dyndns.org

Скачать:

• Текущая русская версия [ZIP 1.4Mb]
• Английский языковой файл [ZIP 86Kb]
• Текущая база проверенных файлов [ZIP 12Mb]
• Сборки uVS и STORE

Источник

 

[Arbitr]

с салити слабо борется.. было файловое заражение спасовало...

 

[грум]

с салити слабо борется.. было файловое заражение спасовало...

Arbitr а можно поподробней если не затруднит.

 

[Сашка]

с салити слабо борется

и не должен бороться, а находит вроде не плохо. Только вот тест на АКТИВНЫЕ файловые вирусы на фактически съеденной салити системе показал норму.

 

[Arbitr]

во во..у мну тож показал норму.. дал полный поиск нашел службу убил и один файл что создавался в прогарм файлз и на этом все.. 3 часа курилки дело решили.

 

[Severnyj]

Объявление: сайт dsrt.dyndns.org НЕ_доступен по причине некомпетентности dydndns.org, который заблокировал акк и в качестве причины блокировки указывает "This account has been tied to instances of malware, which is a violation of our AUP"

Пока можно скачивать uVS с обменника.

v3.71 пакет в сборе (база устаревшая):
http://depositfiles.com/files/a5x8n1bzh

STORE отдельно:
http://depositfiles.com/files/f34wo4j52

Текущая база проверенных:
http://depositfiles.com/files/4wsup3nhv
(587598 хэшей)

Источник

 

[akok]

Еще у нас на файлообменнике есть

https://safezone.cc/forum/downloads.php?do=file&id=42