Universal Virus Sniffer v3.81.1 Copyright (c) Кузнецов Д.М. 2009-13 Официальный сайт: http://dsrt.dyndns.org Форум поддержки: http://www.anti-malware.ru/forum/index.php?showforum=63 e-mail : demkd@mail.ru Поддержать развитие проекта: WebMoney: R442182429613 Z154203397744 E378147978275 Bitcoin: 1KXExkYavLMXbkPpo7H3DUWTgskwMuK6rW F.A.Q. Q: Зачем нужен uVS? A: Для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами. Q: Минимальные требования к пользователю? A: Должен уметь руками убивать простые трояны и иметь основные познания в устройстве системы. Т.е. продвинутый пользователь хорошо знакомый с реестром Windows. Q: Является ли uVS заменой антивирусу? A: Нет. uVS предназначен для борьбы с вирусами, которые не способен опознать ИЛИ убить ваш любимый антивирус с ТЕКУЩИМИ антивирусными базами. Q: Является ли uVS полной заменой vscan-а 1.x? A: Полностью. Проект vscan закрыт. Q: Стоит ли запускать uVS в нормальном режиме, не лучше ли сразу запустить в безопасном? A: uVS предназначен для запуска именно в зараженной системе и именно в нормальном режиме. Q: Системные требования uVS? A: Win2k, WinXP x86/x64, Win2k3 x86/x64, Vista x86/x64, Win7 x86/x64, возможно Win2k8 x86/x64, WinPE. 45mb+свободной оперативной памяти (+память под реестр), пароль/логин администратора, (!) Проверка в Windows PE 1.x возможна на компьютерах со 64(и более)Mb оперативной памяти. (проверка цифровых подписей НЕ_доступна) (!) Проверка в Windows PE 2.x-4.x возможна лишь на компьютерах с 384(и более)Mb. (проверка цифровых подписей доступна) Q: Чем uVS отличается от подобного ПО? A: http://dsrt.dyndns.org/uvs.htm Q: У меня не получается запустить uVS, что я делаю не так? A: Правильный способ: Для начала uVS рекомендуется хранить в архиве. Разворачивать архив непосредственно на зараженной машине в каталог не имеющий ограничений на запись. Соотв. запуск uVS непосредственно с CD/DVD-ROM или защищенной от записи флешки невозможен. Q: Чем отличается запуск uVS под LocalSystem от обычного запуска? A: LocalSystem имеет максимальные права доступа к реестру и файловой системе, но не имеет доступа к сети. Обычный запуск обеспечивает uVS теми правами, что имеет текущий пользователь. Q: Почему диспетчер задач показывает некий процесс со странным именем без расширения, а uVS его не видит? A: uVS запускается под случайным именем – соотв. возможно это он и есть. Q: Почему uVS показывает только один процесс svchost.exe, ведь их много? A: uVS работает с файлами, один файл - одна запись. Выгрузка или команда на уничтожение выгружает все процессы соотв. этому файлу. Q: Почему uVS не показывает LNK-файлы в автозапуске? A: uVS извлекает из LNK ссылки на файлы и добавляет в список реальный объект автозапуска. LNK добавляется в список только в случае если он испорчен, либо он НЕ является LNK, либо uVS не поддерживает данный тип LNK. LNK-файлы указывающие на отсутствующий файл находятся в соотв. разделе. LNK удаляется синхронно с самим объектом автозапуска. Q: uVS не подключается по сети к Windows 7, что делать? A: Проверить настройки фаера, убедиться что есть доступ к шаре ADMIN$ Настроить локальную политику безопасности: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "LocalAccountTokenFilterPolicy"=dword:00000001 Q: Можно ли узнать почему файл помечен "подозрительным"? A: Даблклик. Q: Что делает "Удалить все ссылки на файл"? A: Ссылки в реестре, lnk/pif файлы и т.п. указывающие на этот файл уничтожаются. (!) Команда исполняется немедленно без вопросов. Q: Что делает "Удалить все ссылки вместе с файлом"? A: Все исполняющиеся копии файла насильно выгружаются и уничтожаются ссылки на них, затем удаляется сам файл. (!) Команда исполняется немедленно без вопросов. Q: Почему не_активна кнопка "Проверить список"? A: Список сигнатур пуст, соотв. не на что проверять. Q: А почему тогда активна кнопка "Проверить каталог"? A: Проверка каталога не только ищет вирусы, но и подозрительные файлы в этом каталоге. Q: Почему при проверке каталога проверяются и отдельные файлы вне его? A: LNK файлы находящиеся внутри проверяемого каталога могут указывать куда угодно, соотв. uVS проверяет все файлы на которые указывает каждый LNK файл. Q: Почему uVS поставляется с пустой базой сигнатур? A: uVS не антивирус, базу заполняет сам пользователь только тем, что ему необходимо в данный момент времени для успешного лечения. Q: Как добавить вирусную сигнатуру? A: Правой кнопкой по элементу списка или кнопкой "Добавить вирусы" можно указать на файл(ы). Q: Для чего нужна длина сигнатуры? A: Чем меньше длина тем выше вероятность ложного срабатывания. 8 байт подходит почти для всего. Для полиморфов и файловых вирусов она может быть 5, будет очень сложно Для некоторых троянов требуется 32 байта. Для DLL рекомендуется указывать 64 байта. (!) Для серьезных полиморфов сигнатурный движок uvs совершенно бесполезен, (!) в этом случае без хорошего антивируса победить заразу (особенно удаленно) будет очень сложно. Q: Можно ли менять длину уже существующей сигнатуры? A: Да. Q: Почему uVS не хочет добавлять сигнатуру из указанного файла? A: Добавление сигнатур возможно лишь из исполняемых файлов. Q: Как убить найденные вирусы? A: Есть 2 пути простой и правильный. Изложу правильный: Каждого обнаруженного зловреда необходимо внести в базу, затем проверить список нажав соотв. кнопку, убедиться, что нет ложных срабатываний и затем нажать кнопку "Убить вирусы". Этот способ гарантирует с вероятностью близкой к 100%, что ни один активный вирус из внесенных в базу не выживет, даже если один из вирей поддерживает другой. Q: Зачем нужен Zoo? A: Для сбора сэмплов и последующего их опознания. Q: Что такое "известный модуль"? A: Это файл имеющий определенное имя и лежащий по определенному пути. Списки известных модулей для каждой ОС независимы друг от друга и включают в себя базовый набор системных файлов. Q: В “известные” можно добавлять что угодно? A: Да, однако лучше обойтись без излишнего фанатизма. \Program files и \Windows не привязаны к конкретному диску, все остальное добавляется по абсолютному пути. Q: Почему так долго сохраняется реестр? A: В процессе происходит дефрагментация и восстановление реестра. (время выполнения сильно зависит от флага bFastBackup). Q: Как починить поврежденный реестр? A: Запустить uVS выбрав каталог системы с поврежденным реестром, затем сделать бэкап реестра и выполнить восстановление. В процессе реестр будет исправлен и дефрагментирован. Q: Как восстановить реестр из бэкапа uVS если Windows отказался грузиться? A: Загрузиться с диска/флешки и в windows\system32\config скопировать файлы system.uVS и software.uVS вместо system и software соотв. Q: Как открыть ссылку на ключ запуска в редакторе реестра? A: Открыть окно информации о файле и даблклик по нужной ссылке. Q: Тест на скрытые драйверы находит все руткиты? A: Нет, лишь определенный их тип. Для обнаружения любых руткитов используйте файл сверки и проверку цифровой подписи под WinPE не младше 2.0. (Для Win8 не младше WinPE 4.0) Q: Как избавиться от найденных руткитов? Указанных uVS файлов на диске нет. A: см. соотв. файл. Q: Как запустить uVS с CD/DVD диска в т.ч. и при вставке диска. A: _autorun.zip Q: Что означает поле статус в информации о файле. A: АКТИВНЫЙ Процесс/Драйвер загруженный в память (по мнению системы). Загруженная библиотека (DLL) (по мнению uVS). ВИРУС Файл опознанный как вирус, но его сигнатура не найдена в базе. Имя_вируса(глубина_совпадения_сигнатуры)+VT Файл опознанный как вирус (по сигнатуре из пользовательской базы данных). "+VT" означает что диагноз был подтвержден на VirusTotal.com. ?ВИРУС? Возможно вирус по данным VirusTotal.com (файл детектится как минимум одним из антивирусных движков) ВНЕДРЯЕМЫЙ Неизвестная DLL обнаруженная в адресном пространстве uVS или одного из процессов на базе ИЗВЕСТНОГО файла. ИЗВЕСТНЫЙ Файл имеющий определенное имя и лежащий по определенному пути внесенный в базу известных файлов. (не путать с ПРОВЕРЕННЫМ, содержимое файла не верифицировано!) ПРОВЕРЕННЫЙ Файл прошедший проверку цифровой подписи или проверку хэша (по SHA1) или статус "проверенный" был присвоен файлу пользователем вручную (в окне информации о файле). ПОДОЗРИТЕЛЬНЫЙ Файл на который стоит обратить внимание, причина добавления в подозрительные указана в информации о файле. АВТОРАНОВЫЙ Прописан в autorun.inf, находящемся в корне одного и логических дисков. драйвер/сервис (в т.ч. отключенный) Ясно из названия. Прим. я использую слово "сервис" вместо официального "служба". DLL Библиотека/модуль. сервисная_DLL DLL прописаная в ServiceDLL / Library / ProviderPath одного из сервисов. в Zoo Файл находится в Zoo. в автозапуске Файл МОЖЕТ запуститься автоматически без участия пользователя. (МОЖЕТ - означает, что это и сервисы в режиме ручного запуска) Следует понимать, что такой статус имеют не только те файлы на которые указывает ссылка в реестре, линк в автозагрузке и т.п. Но и те что в общем случае запустятся обязательно не взирая ни на что (например NTDLL.DLL). Firefox_плагин, Opera_плагин Ясно из названия [system.ini] Файл указан в system.ini [СЕТЕВАЯ_АКТИВНОСТЬ] Процесс на базе данного файла проявляет сетевую активность, т.е. владеет открытым портом или как минимум пытается установить соединение в т.ч. и с localhost. (только для TCP/TCP6, UDP/UDP6) [SAFE_MODE] Файл участвует в автозагрузке одного из вариантов безопасного режима. Неизвестные файлы с таким статусом обычно являются зловредами. [SVCHOST] Файл прописан в ServiceDLL / Library / ProviderPath сервиса на базе _известного_ svchost.exe [файловый поток] Ясно из названия загрузчик файлы ntldr, bootmgr и т.п. в корнях логических дисков (т.е. не только загрузчики акт. системы) [Запускался неявно или вручную] _Существующий_ файл, который не содержится в автозапуске, НО п.н. запускался в прошлом, соотв. либо пользователем, либо системой, либо каким-то процессом, либо он в автозапуске, но uVS об этом ничего не знает. добавлен вручную Файл, НЕ в автозапуске был добавлен специальной функцией в соотв. с фильтром по дате, либо каким-либо другим способом, но всегда строго по требованию пользователя. Q: Для чего все эти файлы без расширений? A: bait – тестовый файл для ловли файловых вирусов (зашифрован) bl.log - В файле сохраняются хэши файлов (MD5) запрещенных к запуску с помощью uVS. Для включения ведения лога в Settings.ini укажите в секции [Settings] значение bLogBL=1 km* - списки известных модулей для соотв. OS (в открытом виде UTF8, km*.x64 для x64 систем) cdlz - база компьютеров. mbrc - стандартный загрузчик MBR. sgnz – база сигнатур (зашифрован) этот файл можно использовать с любой версией uVS. sha1 - база проверенных файлов. snms - база поисковых критериев. (текстовый файл) strt – бэкап start.exe (зашифрован) strf – бэкап startf.exe (зашифрован) lclz - локализация uVS (зашифрован) uvsz – тело uVS (зашифрован) usvc - модуль для подключения к удаленному компьютеру (зашифрован) Q: Для чего нужен xMD5? A: xMD5.exe предназначен для внесения хэшей из bl.log в реестр. xMD5 можно запускать с параметром (ip адрес или имя компьютера) или запускать без параметра для внесения хэшей в реестр активной системы. (Для применения изменений можно использовать gpupdate /force и/или перезагрузить целевой компьютер) Q: Ссылки на какие объекты удаляет функция "Безопасное удаление ссылок на все отсутствующие" A: На все объекты кроме имеющих статус: активный известный отключенный драйвер сервисная_DLL Q: VT Uploader v2 не очень удобен при заливке файлов, чем можно его заменить? A: VT Uploader v1 http://forum.oszone.net/thread-139400.html Q: Почему функции восстановления известных файлов не могут заменить поддельный userinit.exe? A: Это функции _восстановления_ поврежденных файлов, а если файл был подменен зловредом то сперва необходимо физически удалить зловерда и лишь потом пользоваться твиками и функциями восстановления. Q: Какие дополнительные параметры можно настроить в settings.ini? A: [Settings] ; при добавлении сигнатуры или блокировке файла по хэшу ; добавлять в скрипт полный путь до файла в виде комментария bAddComment = 1 (1 по умолчанию) ; Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима) bAutoZooOnDelAll = 1 (0 по умолчанию) ; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или ; при добавлении сигнатуры файла в _базу_ ; (!) только для ручного добавления сигнатуры bAutoBL = 1 (0 по умолчанию) ; Автоматически добавлять команду "ZOO" в скрипт для всех найденных вирусов (по F7). ; Команда НЕ добавляется если она уже присутствует в скрипте для данного файла. bAutoZooOnF7 = 1 (0 по умолчанию) ; Автоматически добавлять команду "BL" в скрипт для всех найденных вирусов (по F7). bAutoBLOnF7 = 1 (0 по умолчанию) ; 0 = Не создавать файл с логом. ; 1 = Создавать лог в каталоге Zoo _перед выполнением команды CZOO. ; 2 = Создавать лог _после выполнения скрипта в корневом каталоге uVS. ; 3 = Создавать оба лога. bSaveScrLog = 2 (2 по умолчанию) ; при добавлении файла в Zoo (не для сетевого режима) помещать в Zoo файл с описанием. bSaveZooFileInfo = 1 (1 по умолчанию) ; Дополнительно сканировать D&S/Users и загружать найденные профили пользователей, даже ; если их НЕТ в списке профилей пользователей, проверяемой системы. bAllProfiles = 1 (0 по умолчанию) ; вести лог файлов запрещенных к запуску по MD5 хэшу bLogBL=1 ; Управление загрузкой в сетевом режиме. bNetFastLoad = 0 (0 - обычный запуск) 1 (по умолчанию, не считывать список автозапуска) 2 (не считывать список автозапуска и открыть удаленный рабочий стол) ; Управление загрузкой при работе с активной системой. bFastLoad = 0 (0 по умолчанию, обычный запуск) 1 (не считывать список автозапуска) ; Сохранять при выходе размер и позицию окна bSaveWndPos = 1 (0 по умолчанию) ; Быстрый бэкап ключей реестра 1:1 (без дефрагментации результата) ; Этот параметр влияет на работу всех функций связанных с сохранением/копированием ключей. ; Параметр игнорируется если uVS работает в Windows 2000. ; Параметр всегда равен 1 для сетевого режима. bFastBackup = 1 (1 по умолчанию) ; Количество одновременных потоков для закачки файлов из интернета. ; Допустимые значения от 1 до 16 MaxInetThreads = 4 (4 по умолчанию) ; Автоматически архивировать созданный образ автозапуска. ; При наличии в системе 7-Zip/WinRAR. bZipImage = 1 (1 по умолчанию) ; Автоматически проверять список при открытии образа ImgAutoF7 = 1 (1 по умолчанию) ; Автоматически проверять список по базе поисковых критериев ImgAutoAltF7 = 1 (1 по умолчанию) ; Автоматически проверять список по базе проверенных файлов при открытии образа ImgAutoF4 = 1 (1 по умолчанию) ; Имя пользовательской базы проверенных файлов Sha1Name (по умолчанию SHA1) ; Управление автоматическим созданием образа при работе с активной системой. bCreateImage = 0 (0 по умолчанию, обычный запуск) 1 (создать и сохранить образ автоматически) 2 (создать и сохранить образ автоматически в свернутом виде, затем закрыть uVS) 3 (создать и сохранить образ автоматически в свернутом виде, звуки не издавать, затем закрыть uVS) ; Фильтр по производителю антивируса через запятую. vFilter (по умолчанию пустая строка) Фильтр применяется в функциях массовой проверки файлов. Результаты проверки антивирусом не попавшим в список учитываться не будут. Пример: Kaspersky, DrWeb, AntiVir, Comodo (!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно (!) указывать оба варианта. ; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранее полученных данных с VT или JT. vGetName (строка) В строке можно указать через запятую производителей в порядке приоритета. (аналогично vFilter) ; Автоматическое добавление исполняемых файлов в указанных каталогах в список AddDirs Разделитель: | Флаг отмены рекурсии: > Допустимо использование скриптовых сокращений пути. Пример: %sys32% | d:\tools | >%SystemDrive% ; Отключение звуковых сигналов. bMute (0 по умолчанию) ; Разархивация образа DecompressImage = 7zip\7za.exe x -y "%s" -o"%s" *.txt (пример для 7za.exe в подкаталоге 7zip) ; Архивация Zoo ArchiveZoo = 7zip\7za.exe a -t7z "%s.7z" -pvirus "%s\*.*" (пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus) ; Архивация файла (образа) ArchiveFile = 7zip\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=64m "%s.7z" "%s" (пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS) (!) Для уменьшения риска заражения вашего архиватора файловым вирусом рекомендуется (!) изменить или совсем убрать расширение файла. (!) Пример для файла без расширения: ArchivateZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*" ; Запрет команд добавления/удаления хэшей из базы проверенных в контекстном ; меню файла при работе с образом. ImgDisableAV (0 по умолчанию) ; Флаг управляет автоматическим добавлением скриптовой команды ; czoo при наличии в скрипте команды zoo bHlpCZoo (0 по умолчанию) ; Флаг управляет автоматическим добавлением скриптовой команды ; restart bHlpRestart (0 по умолчанию) ; Флаг управляет автоматическим добавлением ключа /quiet к скриптовой ; команде на деинсталяцию ПО с помошью MSIEXEC (только при работе с образами) ImgUninstQuiet (0 по умолчанию) ; Флаг управляет автоматическим добавлением команд в скрипт для деинсталяции ; программ попавших под поисковые критерии. (только при работе с образами) ImgAutoUninstall (0 по умолчанию) ; Флаг управляет автоматическим добавлением команд в скрипт для удаления ; строк файла HOSTS попавших под поисковые критерии. (только при работе с образами) ImgAutoDelHost (0 по умолчанию) 1 - удалять из HOSTS все строки попавшие под критерий 2 - однократно применить 14-й твик. ; Флаг управляет разверткой команды delnfr в последовательность delref ; при работе с образом. ImgDelnfrUnwind (0 по умолчанию) ; Флаг управляет автоматическим применением твиков #1,2,3,9 ; при работе с образом. ImgAutoTweak (0 по умолчанию) ; Значение определяет расширения файлов которые в обязательном ; порядке добавляются в категорию запускавшихся неявно или вручную. PrefetchExt (по умолчанию .EXE.SCR.DLL.SYS.BAT.CMD.VBS) ; Имя скрипта (без пути) добавляемого автоматически в конец автоскрипта. ; Скрипт должен быть в виде текстового файла в UNICODE кодировке. ; Расположение: в подкаталоге "script". ImgAutoScriptAdd (по умолчанию пустая строка) ;Секция APP [APP] ; Внешний файловый менеджер ; Поддерживаются относительные пути. FM ; Используемый браузер (полный путь без кавычек) ; Выбор браузера доступен в меню "Настройка". ; Поддерживаются относительные пути. Browser (по умолчанию используется дефолтный) ; Используемый текстовый редактор ; Выбор редактора доступен в меню "Настройка". ; Поддерживаются относительные пути. TextEditor (по умолчанию используется notepad) Q: Почему uVS стартует очень медленно? A: Возможно у вас подключен кардридер или док-станция. Windows пожизненно плохо работает со съемными устройствами, ускорить процесс загрузки поможет перезагрузка системы или отключение ридера. Q: Для чего может потребоваться включение AHCI? A: Это необходимо при смене мат. платы, если при загрузке на новом железе Windows сваливается в синий экран то интеграция драйверов и включение AHCI в BIOS-е делает переход простым и не требующим переустановки системы. Включить поддержку AHCI можно в НЕактивной системе. И конечно при замене HDD на SSD вам потребуется включить AHCI для получения максимальной производительности. (подробнее см. AHCI.txt) Q: Есть ли горячие клавиши? A: Горячие клавиши: Esc - Сбросить фильтр (по имени файла). Backspace - Удалить последний введенный символ в строке фильтра. F1 - Скрыть/показать известные и проверенные файлы. Ctrl+F1 - Скрыть/показать проверенные файлы. Alt+F1 - Скрыть/показать известные файлы. F2 - Скрывать файлы с указанным в информации о файле производителем. Отсутствующие файлы тоже скрываются. F3 - Считать "производителя" и сигнатуры для всех файлов в списке. (для которых они еще не считаны) Ctrl+F3 - Включить автосчитывание "производителя" и сигнатур для всех файлов в списке. F4 - Проверка хэшей файлов в списке по базе проверенных файлов F5 - Обновить список автозапуска. F6 - Проверка цифр. подписей файлов в списке. F7 - Проверить список автозапуска на вирусы. F8 - Поднять/опустить главное окно F9 - Скрыть все перекрывающие окна и опознать их владельцев Shift+Del - удалить все ссылки на файл Shift+F10 - Контекстное меню файла. Shift+Space - Файл проверен. Сtrl+H - Удалить все строки файла HOSTS попавшие под поисковые критерии. Ctrl+O - Открыть образ автозапуска. Сtrl+P - Режим сканирования процессов. (альтернативный режим выявляет скрытые процессы) Ctrl+S - Сохранить список. Ctrl+T - Автоматически применить твики #1,2,3,9 при необходимости. Сtrl+B - Блокировать/разблокировать запуск служб. Сtrl+U - Деинсталлировать весь софт попавший под поисковые критерии. Ctrl+Z - Отменить предыдущую команду (только при работе с образом) Ctrl+Del - удалить только сам файл Ctrl+Shift+Del - удалить файл со всеми ссылками на него Enter - Информация о файле. Alt+Enter - Свойства файла. Del - Удалить из списка. Alt+Del - Очистить корзину, удалить временные файлы затем удалить ссылки на отсутствующие Alt+Up - Предыдущая категория Alt+Down - Следующая категория Alt+C - Выкл/вкл. авто пересчет размеров колонок. Alt+F - Запустить внешний файловый менеджер с повышенными привилегиями. Alt+Shift+F - Запустить внешний файловый менеджер с повышенными привилегиями и открыть каталог Alt+I - Информация о компьютере Alt+L - Режим просмотра лога. Alt+M - Режим поиска: по имени или по производителю. Alt+S - Сохранить скрипт. Alt+T - Твики. Alt+U - Открыть окно установленных программ Alt+V - Удаленный рабочий стол Alt+Backspace - Отменить предыдущую команду (только при работе с образом) Ctrl+Shift+цифра - Добавить готовый скрипт в конец текущего скрипта. Скрипты должны быть в виде текстовых UNICODE файлов. Имена файлов: от 0.txt до 9.txt Расположение: в каталоге "script".