--------------------------------------------------------- 3.81.7 --------------------------------------------------------- o Восстановлена работоспособность функции поиска на runscanner.net. --------------------------------------------------------- 3.81.6 --------------------------------------------------------- o 16-битные Windows NE файлы исключены из категории исполняемых. --------------------------------------------------------- 3.81.5 --------------------------------------------------------- o Исправлена критическая ошибка в функции создания точек восстановления при работе с большими (>15k файлов) образами автозапуска. Количество точек восстановления ограничивается автоматически. Дополнительно существенно сокращено потребление памяти при создании точки. --------------------------------------------------------- 3.81.4 --------------------------------------------------------- o Исправлена функция "Статус->Все файлы в текущей категории проверены" o 16-битные Windows NE файлы причислены к категории исполняемых без возможности извлечения сигнатур. --------------------------------------------------------- 3.81.3 --------------------------------------------------------- o Категория "DNS" переименована в "DNS & IP" В свойствах подключения доступны данные о параметрах TCP-IPv4. (в т.ч. и для неактивных систем) o Добавлен пропуск файлов размером свыше 300mb при автоматической проверке подозрительных файлов по базе проверенных. --------------------------------------------------------- 3.81.2 --------------------------------------------------------- o Добавлена поддержка запуска uVS под LS для RDP сессий на серверных платформах. o Исправлена ошибка в функции разбора командной строки процесса. --------------------------------------------------------- 3.81.1 --------------------------------------------------------- o Добавлен 26-й твик для деактивации IPSec политики без ее удаления. (после деактивации желательно перезагрузить систему). o Исправлена работа 25-го твика на системах младше Vista. --------------------------------------------------------- 3.81 --------------------------------------------------------- o Обновлена функция анализа подозрительных файлов. o Исправлена функция анализа префетчера. o Увеличено окно сохранения скрипта. o В окне редактирования поискового критерия добавлена поддержка механизма drag & drop. o В лог после Persistent routes выводится информации об активных "IPSec policy". o Добавлен 25-й твик для удаления всех IPSec policy. (после удаления желательно перезагрузить систему). --------------------------------------------------------- 3.80.17 --------------------------------------------------------- o Функция "Поиск объектов отсутствующих в списке PEB_LDR_DATA активных процессов" адаптирована для работы с 64-х битными процессами. o Обновлена функция перехода по ссылкам в 64-х битном regedit-е. (для Win 8x64) o Горячая клавиша Alt+Enter (Свойства файла) теперь работает для файлов попадающих под действие системного редиректора в 64-х битных системах. o Отключена функция выборочного завершения процессов при необходимости удаления из адресного пространства внедренной/загруженной DLL. --------------------------------------------------------- 3.80.16 --------------------------------------------------------- o Добавлен 64-х битный модуль. Теперь адресное пространство 64-х разрядных процессов анализируется в полном объеме. (uvsz.x64) --------------------------------------------------------- 3.80.15 --------------------------------------------------------- o В список DNS серверов добавлена запись "DNS Server list" В этой записи указаны DNS сервера используемые системой на момент формирования списка. --------------------------------------------------------- 3.80.14 --------------------------------------------------------- o В окно информации об объекте добавлена новая горячая клавиша Shift+Space. Объект проверен, окно закрыть. o В окно информации об объекте добавлена возможность редактировать сработавший критерий (см. контекстное меню при щелчке правой кнопкой по соотв. строке) o Каталог для распаковки образов перенесен во временный каталог Windows. o Модифицирована функция автоскрипта. Теперь delall и del применяются только к файлам. --------------------------------------------------------- 3.80.13 --------------------------------------------------------- o Обновлена функция декомпрессии образа автозапуска. Имя архива теперь не имеет значения. --------------------------------------------------------- 3.80.12 --------------------------------------------------------- o Исправлена ошибка в функции изменения статуса объекта. --------------------------------------------------------- 3.80.11 --------------------------------------------------------- o Исправлена ошибка в функции получения информации о компьютере. o Shift+Del - удалить все ссылки на файл o Shift+Space - файл проверен o Ctrl+Del - удалить только сам файл o Ctrl+Shift+Del - удалить файл со всеми ссылками на него --------------------------------------------------------- 3.80.10 --------------------------------------------------------- o Новый пункт меню Файл->Создать образ автозапуска без проверки ЭЦП и перейти в режим работы с образом (при работе с активной системой) o Пункт меню Файл->Открыть образ автозапуска теперь доступен при работе с активной системой. o В контекстном меню доступна новая команда: Поместить копии всех исполняемых файлов каталога в Zoo Скриптовая команда dirzooex. Функция доступна в любом режиме. --------------------------------------------------------- 3.80.9 --------------------------------------------------------- o Исправлена ошибка в функции проверки скрипта. --------------------------------------------------------- 3.80.8 --------------------------------------------------------- o Новый параметр в settings.ini [Settings] ; Имя скрипта (без пути) добавляемого автоматически в конец автоскрипта. ; Скрипт должен быть в виде текстового файла в UNICODE кодировке. ; Расположение: в подкаталоге "script". ImgAutoScriptAdd (по умолчанию пустая строка) o Новая скриптовая команда "dirzooex". Команда копирует все исполняемые файлы указанного каталога в Zoo. Пример: dirzooex c:\temp (!) Команда не копирует файлы из подкаталогов. o Новая скриптовая команда "rstreg". Восстанавливает реестр сохраненный командой breg или bdreg. o Исправлена ошибка в функции постобработки скрипта. --------------------------------------------------------- 3.80.7 --------------------------------------------------------- o Исправлена ошибка в функции создания скрипта. o Скриптовая команда "areg" теперь добавляется автоматически. o Добавлена установка GoogleDNS для IPv6. o Новая скриптовая команда "del". Команда удаляет файл без учета прав доступа к нему в т.ч. и после перезагрузки если файл не удалось удалить сразу. o Новый пункт меню Скрипт->Автоскрипт (гор. клавиша Alt+A) Функция доступна при работе с образом, для правильной работы функции необходимо провести подготовительные работы, а именно: 1. Внести сигнатуры обнаруженных зловредов в базу. 2. Скрыть файлы с ложным детектом или отрегулировать длину сигнатуры 3. Проверить список по базе поисковых критериев, если это необходимо 4. Устранить ложное срабатывание по критериям или перевести эти файлы в категорию проверенных. После данных этапов можно активировать функцию автоскрипта. В результате будет сгенерирован скрипт содержащий: 1. Команды сигнатурного поиска и удаления всего попавшего под детект за исключением предварительно скрытых файлов. 2. Удаление всех оставшихся объектов имеющих статус "?ВИРУС?". 3. DNS попавший под поисковый критерий замещается на GoogleDNS. 3. Автоматическое применение необходимых твиков. 4. Удаление попаших под детект строк в HOSTS или его очистка (см. флаг ImgAutoDelHost) 5. Деинсталляция попавшего под критерии софта. (!) На п.2 влияет новый флаг ImgAutoDelMethod1 и флаги bAutoZooOnDelAll, bAutoBL. o Новый пункт меню Скрипт->Автоскрипт с виртуализацией (гор. клавиша Alt+Shift+A) Отличается лишь использованием виртуализации реестра и флагом ImgAutoDelMethod2 o Новый параметр в settings.ini [Settings] ; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции ; автоскрипта. ImgAutoDelMethod1 (по умолчанию 1) 0 - игнорировать 1 - применить delall 2 - применить delref 3 - применить delref+del o Новый параметр в settings.ini [Settings] ; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции ; автоскрипта с виртуализацией реестра. ImgAutoDelMethod2 (по умолчанию 3) 0 - игнорировать 1 - применить delall 2 - применить delref 3 - применить delref+del --------------------------------------------------------- 3.80.6 --------------------------------------------------------- o Новый пункт меню Файл->Создать полный образ автозапуска и перейти в режим работы с образом (при работе с активной системой) o Новый пункт меню Файл->Перейти в режим работы с активной системой, поместить скрипт в буфер обмена (при работе с образом) o Новый параметр в settings.ini [Settings] ; Значение определяет расширения файлов которые в обязательном ; порядке добавляются в категорию запускавшихся неявно или вручную. PrefetchExt (по умолчанию .EXE.SCR.DLL.SYS.BAT.CMD.VBS) o Новая горячая клавиша Alt+A Соответствует последовательному нажатию кнопки "Убить все вирусы" и сочетаний клавиш: Ctl+T, Ctrl+H, Ctrl+U. o Исправлена ошибка в функции фильтрующего поиска. (нажатия Ctrl+...) --------------------------------------------------------- 3.80.5 --------------------------------------------------------- o Исправлена ошибка в функции отмены предыдущей команды. --------------------------------------------------------- 3.80.4 --------------------------------------------------------- o Новая горячая клавиша Ctrl+Z или Alt+Backspace. Отменить предыдущую команду, буфер расчитан на 8 команд. (Только при работе с образом) o Устранено дублирование regt по Ctrl+T. o Улучшена функция определения файлов запускавшихся неявно и вручную. o Исправлена ошибка в функции поиска файлов. o Новое значение для флага в settings.ini ; Флаг управляет автоматическим добавлением команд в скрипт для удаления ; строк файла HOSTS попавших под поисковые критерии. (только при работе с образами) ImgAutoDelHost (0 по умолчанию) 1 - удалять из HOSTS все строки попавшие под критерий 2 - однократно применить 14-й твик. --------------------------------------------------------- 3.80.3 --------------------------------------------------------- o Новая горячая клавиша Ctrl+T Автоматически применить твики #1,2,3,9 при необходимости. Функция работает по логу. Автоматическим использованием данной функции управляет флаг ImgAutoTweak в секции "Settings" файла settings.ini (только при работе с образами) -------------------------------------------------------- 3.80.2 --------------------------------------------------------- o Исправлена ошибка сохранения списка известных файлов при работе с удаленной x64 системой. o Изменено имя файла подкачки при создании загрузочного диска на C:\page_uVS.sys, для его автоматического удаления при загрузке проверенной системы. o Добавлена поддержка длинного пути до файла в кавычках содержащего "/" вместо "\". o Добавлена поддержка критериев для строк в файле HOSTS. Критерий можно создать в контекстном меню. Удаление строк попавших под критерий возможна из контекстного меню лога. o Новая горячая клавиша Ctrl+H Удалить все записи HOSTS попавшие под поисковые критерии. Функция работает по логу, соотв. если вы изменяли критерии, то перед новым нажатием Alt+F7 очистите лог uVS. Автоматическим использованием данной функции управляет флаг ImgAutoDelHost в секции "Settings" файла settings.ini (только при работе с образами) o В окне создания загрузочного диска теперь сохраняется размер pagefile-а. --------------------------------------------------------- 3.80.1 --------------------------------------------------------- o Обновлен сетевой движок, минимизировано количество файловых операций. Восстановлена нормальная работа с Windows 7. Windows 7 после одного из автообновлений потерял способность обеспечивать нормальную работу удаленного пользователя с файлами расположенными в расшаренных папках и до сих пор проблема произвольного отказа в доступе не устранена, поэтому движок был полностью переделан для обхода этой проблемы, в результате чего движок теперь работает значительно быстрее c новыми системами. (в т.ч. работа с удаленным рабочим столом) (!) ОДНАКО при низкоскоростном или неустойчивом соединении теперь возможна (!) перманентная потеря соединения. Поддерживать же 2 разных протокола для разных систем я не буду, поскольку новый движок при всех его потенциальных проблемах теперь обеспечивает работу практически в реальном времени c Windows 7 при незначительном лаге и относительно надежен в переделах одной подсети. Если у вас возникнут проблемы с какой-то конкретной комбинацией систем то пожалуйста отправьте мне на email письмо с описанием проблемы и версиями локальной и удаленной системы в т.ч. и номером SP. o Новая скриптовая команда "dirzoo". Команда копирует содержимое указанного каталога в Zoo по маске. Пример: dirzoo c:\temp\*.exe o Новый параметр в settings.ini [Settings] ; Флаг управляет разверткой команды delnfr в последовательность delref ; при работе с образом. ImgDelnfrUnwind (0 по умолчанию) --------------------------------------------------------- 3.77.18 --------------------------------------------------------- o Новая горячая клавиша Ctrl+U Деинсталлировать весь софт попавший под поисковые критерии. Функция работает по логу, соотв. если вы изменяли критерии, то перед новым нажатием Alt+F7 очистите лог uVS. Принудительным добавлением ключа /quiet управляет флаг ImgUninstQuiet в секции "Settings" файла settings.ini (только при работе с образами) Автоматическим использованием данной функции управляет флаг ImgAutoUninstall в секции "Settings" файла settings.ini (только при работе с образами) o Известные файлы со статусом ?ВИРУС? больше не попадают под действие фильтра "Скрыть известные". o Добавлена новая функция в контекстное меню Статус->Все файлы в текущей категории проверены o В лог добавлена контекстная команда Деинсталлировать ... c ключом /quiet (!) Деинсталлятор должен поддерживать данный ключ (например msiexec). o Теперь установленные программы проверяются исключительно по критериям с атрибутом uninstall. o При добавлении в скрипт команды на деинсталляцию ПО в скрипт записывается наименование ПО в виде комментария. Повторное добавление команды заблокировано. o Улучшена функция определения файлов запускавшихся неявно и вручную. o В скрипт больше не добавляется команда zoo для отсутствующих файлов. --------------------------------------------------------- 3.77.17 --------------------------------------------------------- o Теперь можно создавать простые критерии по имени установленного ПО. Создание критериев доступно в контекстном меню окна "Установленные программы" (Alt+U) При срабатывании критерия в лог заносится соотв. запись. Запустить деинсталлятор можно с помощью контекстного меню прямо из лога uVS. Функция доступна во всех режимах работы uVS. o В окно информации о файле добавлена новая функция "Скачать". Функция доступна для системных файлов и во всех режимах работы uVS, включая работу с образом. Если оригинальный файл удалось найти и скачать то он помещается в подкаталог files. o Добавлена новая функция Запустить -> Сброс кэша DNS Служба dsncache перезапускается, затем выполняется ipconfig /flushdns. Скриптовая команда: dnsreset Функция доступна во всех режимах работы uVS. o Новая скриптовая команда "unload". Команда выгружает процесс соотв. указанному файлу. o При работе с образом в окно информации о файле добавлены данные о детекте по базе сигнатур. (если была проверка после открытия образа) --------------------------------------------------------- 3.77.16 --------------------------------------------------------- o Новый модуль uvs_snd.exe, предназначен для отправки списков системных файлов на сервер для автоматического пополнения базы MAIN. Отчет о разборе списка приходит на email. Если в процессе обработки были добавлены новые файлы, то отправитель получает бесплатное обновление базы проверенных файлов. (!) В апдейтере должен быть прописан ключ указанный в вашей учетной записи. (!) Функция работает в т.ч. и при нулевом балансе. Подробнее см. http://dsrt.dyndns.org/uvs_freeupdate.htm o Обновлен апдейтер, добавлена настройка для интеграции uvs_snd в uVS. Список может быть отправлен автоматически при открытии образа автозапуска в uVS. o Исправлена ошибка в функции разбора параметров исполняемого файла. o Исправлена ошибка в функции разбора параметров cmd.exe. o Исправлена интерфейсная ошибка в апдейтере. --------------------------------------------------------- 3.77.15 --------------------------------------------------------- o Добавлен поиск по хэшу на systemexplorer.net o Обновлена функция проверки по хэшу на VT. o В окно информации о файле добавлен File_Id для реализации в ближайшем будущем функции отправки информации о системных файлах из образа автозапуска. Данная функция позволит автоматически пополнять серверную базу MAIN хэшами чистых системных файлов практически в реальном времени, что в итоге существенно упростит проверку системы и сократит риск пропуска модифицированных системных файлов. --------------------------------------------------------- 3.77.14 --------------------------------------------------------- o В функцию удаления временных файлов добавлено 4 каталога. o Исправлена ошибка в функции формирования списка установленных программ, что могло привести к отказу от деинсталляции выбранной программы. o Обновлена функция проверки по хэшу на VT. --------------------------------------------------------- 3.77.13 --------------------------------------------------------- o Исправлена интерфейсная ошибка в окне создания загрузочного диска. o Исправлена функция добавления дополнительных файлов при создании загрузочного диска. o Добавлена функция определения пути до DISM.EXE из Windows ADK. --------------------------------------------------------- 3.77.12 --------------------------------------------------------- o Добавлена поддержка пути до файла содержащего "/" вместо "\". --------------------------------------------------------- 3.77.11 --------------------------------------------------------- o Добавлена функция проверки обновлений при запуске uVS. (см. меню "Настройка") o При создании загрузочного образа больше не требуется патчить copype.cmd Добавлена опциональная интеграция пакетов: Русский LP, HTA , WMI, .NET (4.5), MDAC. o Апдейтер теперь отображает оставшийся после обновления баланс BTC. (в т.ч. баланс сохраняется в логе) o Исправлена функция открытия файлов. (файлы с пробелами в конце имени/расширения) o Добавлена функция автосоздания временных каталогов пользователей. (для устранения проблемы с очисткой каталогов пользователей из под TS) o Исправлена ошибка в функции загрузки файлов на virusscan.jotti.org (для x64 систем) --------------------------------------------------------- 3.77.10 --------------------------------------------------------- o В дистрибутив добавлен файл для обновления uVS и базы проверенных файлов. Имя файла: update.exe Ведется локальный лог "update.log" серверный лог будет доступен для скачивания в ближайшее время. Update.exe можно использовать с ключом запуска /q (без интерфейса) (!) В данный момент обновление бесплатное, для работы обновления необходимо (!) зарегистрироваться. По окончанию тестового периода обновление станет (!) платным. Способ оплаты BTC (bitcoin). Адрес для пополнений (!) доступен после регистрации. Этот же адрес используется при настройки (!) модуля обновления. Плата будет взиматься за успешное обновление. (!) За проверку на наличие обновлений плата не взимается. Что такое биткоин и как его можно получить вы можете почитать пока здесь http://btcsec.com o В список добавлены 2 параметра браузера firefox. o Теперь создание загрузочных образов возможно лишь на базе установленного Windows 8 ADK. (!)Обои теперь в формате jpeg. o Обновлена функция проверки по хэшу на VT. o Исправлена функция сохранения скрипта. o Исправлена функция постобработки скрипта. o Исправлена функция обработки скриптовой команды cexec. o Исправлена функция создания образа диска. o Исправлена функция декодирования параметров критерия. o Теперь считываются все 9 секторов exFAT VBR. o При выходе из uVS в реестр проверяемой системы добавляется запись для удаления (при следующем запуске системы) файла C:\page_uVS.sys (!) Только при проверке неактивных систем. --------------------------------------------------------- 3.77 --------------------------------------------------------- o Добавлен 1 ключ автозапуска. o Обновлены списки известных файлов для Windows 8x64. o Добавлена поддержка проверки внешних ЭЦП (по CatRoot) для Windows 8. (!) В силу нового метода хеширования для проверки ЭЦП неактивного Windows 8 (!) вам потребуется использовать Windows не младше 8-й версии. (!) Младшие версии Windows не смогут правильно работать с загруженным CatRoot. (!) Если в будущем станет известен метод получения правильного хэша, то _возможно_ (!) получится заставить работать младшие версии Windows c CatRoot из Windows 8. o Изменен параметр запуска /i (указать образ автозапуска) Пример: start.exe /i "c:\uvs\uvs.txt" (всегда в кавычках) Если НЕ указать путь до файла то будет открыто окно выбора образа. (!) /r НЕ требуется o Изменен параметр в settings.ini [Settings] ; при добавлении сигнатуры или блокировке файла по хэшу ; добавлять в скрипт полный путь до файла в виде комментария bAddComment = 1 (1 по умолчанию) o Новый параметр в settings.ini [Settings] ; Флаг управляет автоматическим добавлением скриптовой команды ; czoo при наличии в скрипте команды zoo bHlpCZoo (0 по умолчанию) o Новый параметр в settings.ini [Settings] ; Флаг управляет автоматическим добавлением скриптовой команды ; restart bHlpRestart (0 по умолчанию) o Исправлена ошибка в функции разбора файла критериев. o Теперь при разборе пути до файла учитывается параметр "WOW64". (для сервисов в X64 системах) o Изменены параметры архивации образа с помощью WinRAR. o Исправлена ошибка в функции эмуляции команды delnfr при работе с образом. o Исправлена ошибка в функции определения пути до 32-х битного архиватора. (для Vista x64) o Исправлены мелкие ошибки. --------------------------------------------------------- 3.76 --------------------------------------------------------- o Поисковые критерии теперь могут содержать несколько условий связанных между собой логическими операндами И/ИЛИ(AND/OR) . В окне информации о файле в контекстное меню добавлены дополнительные команды для работы с критериями: 1. Добавить условие в критерий * (если предварительно был создан критерий с первым условием) 2. Сделать критерий * текущим (если тек. строка содержит имя критерия) Допустимо использование условий с пустым атрибутом, в этом случае сравнение значений производится для всех атрибутов. (!) База критериев будет автоматически конвертирована в новый формат (!) при первом запуске uVS. o В Vista X64 исправлено автовосстановление некоторых дефолтных значений. o В список автозапуска добавлены все файлы из CLSID, в т.ч. и из пользовательских реестров. o Добавлены дефолтные значения для двух ключей реестра: *\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 *\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32 Для автоматического устранения вреда нанесенного crexv.ocx o Гор. клавиша Alt+C. Выкл/вкл. авто пересчет размеров колонок. o Исправлена ошибка из-за которой по F4 не проверялись файлы со статусом ?ВИРУС? o Добавлен пункт меню Запустить->Netsh winsock reset. Скриптовая команда winsockreset. Результат исполнения выводится в лог. (!) В 64-х битных версиях windows младше Windows 7x64 запускается (!) 32-х битная версия netsh. o Добавлена скриптовая команда cexec для запуска консольных приложений с выводом результата в лог uVS. Результат выводится в 2-х кодировках. (!) В 64-х битных версиях windows младше Windows 7x64 системный редиректор перед запуском файла НЕ отключается. o Для NT6 и старше в лог выводится значение EnableLUA HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ o В контекстное меню файла добавлено подменю "Статус" В меню доступно 3 пункта: 1. Скрыть - Файл скрывается из списка и исключается из всех операций _до выхода_ из uVS (скриптовая команда "hide") 2. Проверенный - файл помечается как проверенный. 3. Подозрительный - файл получает статус подозрительный до обновления списка. 4. Все файлы в каталоге и подкаталогах проверенные o Новая скриптовая команда OFFSGNSAVE С момента исполнения запрещает сохранение базы сигнатур до выхода из uVS. o Новый параметр в settings.ini [Settings] ; Флаг управляет автоматическим добавлением скриптовой команды ; OFFSGNSAVE bHlpNoSaveSgn (0 по умолчанию) o Теперь при массовой проверке по базе проверенных (F4) пропускаются файлы размером более 300mb с выдачей соотв. сообщения в лог. --------------------------------------------------------- 3.75 --------------------------------------------------------- o Изменено имя архива Zoo (добавлен префикс ZOO_) o Флаг "Скрыть ненайденные и с заполненным производителем" разделен на две части: "Скрыть отсутствующие" и "Скрыть с производителем". o Добавлена возможность сохранять сектор с MBR в файл целиком. (в т.ч. и для образов созданных uVS v3.75) o Реализован поиск по имени критерия. o При создании загрузочного диска теперь можно выбрать обои. o Новый параметр в settings.ini [Settings] ; Запрет команд добавления/удаления хэшей из базы проверенных в контекстном ; меню файла при работе с образом. ImgDisableAV (0 по умолчанию) o Для 64-х битных систем теперь используется 64-битный dism, поскольку 32-х битный обычно неработоспособен. o Добавлена работа с сервисом Whois для ip адресов DNS И для IP адресов в логе. o Исправлена функция поиска по критерию среди записей DNS. o Исправлена ошибка в функции удаления ссылок. (при удаленнии ссылок на файл добавленный вручную могло произойти аварийное завершение uVS) --------------------------------------------------------- 3.74 --------------------------------------------------------- o Поддержка поиска файлов на www.runscanner.net (см. контекстное меню файла) o В список для проверки добавлен 1 ключ реестра. o Восстановлена проверка хэшей на VirusTotal.com o Исправлена ошибка в функции удаления ссылок. o Исправлена критическая ошибка в функции разбора имен файлов. o Исправлена критическая ошибка в функции определения родителя процесса. --------------------------------------------------------- 3.73 --------------------------------------------------------- o Исправлена критическая ошибка присутствующая во всех предыдущих версиях. o Добавлена новая функция Файл->Импортировать сигнатуры из скрипта в буфере обмена... o Добавлена возможность отправки загрузчиков на virusscan.Jotti.org при работе со образом автозапуска. --------------------------------------------------------- 3.72 --------------------------------------------------------- o Новая функция создания загрузочных флешек и образов (ISO) загрузочных дисков с интегрированным uVS. (см. меню Файл->Создать загрузочную...) (!) Требуется WAIK3 или Windows7 SP1 AIK Supplement Update, oscdimg.exe (если нет WAIK) (!) Используйте в качестве шаблона для интеграции развернутый _пакет_ uVS (FAR будет использован в качестве оболочки) o Новые функции в меню Подпись/Хэш. Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на VirusTotal.com Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на virusscan.Jotti.com o Добавлена возможность загрузки файлов на virusscan.Jotti.com (прерывание процесса по ESC) o Добавлена возможность просмотра содержимого загрузчика. o Для сигнатур загрузчиков теперь доступна функция "Ложное срабатывание, увеличить длину сигнатуры". o Новый твик #24 "Восстановить из копии ключи Group Policy [HKLM]" Для выполнения необходим бэкап реестра как и в случае с твиком #21. o Новый ключ запуска start.exe /t (автозапуск для выполнения скрипта из буфера обмена) В дистрибутив добавлен файл script.cmd. o Поддержка поиска файлов на SystemExplorer.net (см. контекстное меню файла) o В контекстное меню критерия добавлена новая функция "Новый критерий на базе текущего". o В описание файла скопированного в Zoo добавлено имя компьютера и тек. дата/время. o Новый пункт меню "Дополнительно->Выбрать путь до хранилища/дистрибутива..." o Внесены изменения в подсчет SHA1 IPL. SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 (0x1C70 теперь включительно) всегда заполняется нулями. o Новый параметр в settings.ini [Settings] ; Отключение звуковых сигналов. bMute (0 по умолчанию) o Флаг bCreateImage теперь используется и при работе с удаленной системой. Этот флаг предназначен для автоматического создания образов. (подробнее см. FAQ) o Исправлена ошибка при обработке скриптовой команды adddir. o Исправлена ошибка при обработке скриптовой команды zoo. (при работе с удаленными системами) --------------------------------------------------------- 3.71 --------------------------------------------------------- o Внесены изменения в подсчет SHA1 IPL. SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 всегда заполняется нулями. Данное изменение значительно упростит проверку IPL и в большинстве случаев избавит от необходимости анализа "неизвестного" кода, который на самом деле ничем не отличается от кода стандартного загрузчика. Функция сохранения загрузчика сохраняет НЕ_модифицированный код. o Исправлена ошибка в функции обработки команды addsgn. Команда не принимала имена сигнатур длиной более 20 символов. o Изменена функция обработки файла HOSTS. Теперь обрабатывается не только HOSTS с указанным в реестре путем, но и дефолтный. При любом изменении оба файла объединяются в один и результирующий файл помещается по дефолтному пути с исправлением пути в реестре. При сохранении HOSTS из образа оба файла сохраняются в один. Первым идет HOSTS с измененным путем. o Изменен метод сохранения файла HOSTS. Теперь uVS своими действиями либо провоцирет установленный антивирус на запрос у пользователя разрешения модификации файла HOSTS, либо (если это допускается настройками антивируса) происходит запись в HOSTS без запроса. Данное изменение сделано из-за неадекватного поведения некоторых продуктов, молча блокирующих доступ на запись к модифицированному зловредами HOSTS. o Новый пункт меню "Запустить"->"Дата/время". (!) Для удаленных систем окно открывается в удаленной системе. o Исправлена ошибка в функции создания образа удаленной системы. Образ уже несколько версий подряд не сохранялся из-за "оптимизаций" в функции обработки ответов сервера. o Исправлена ошибка в функции копирования файла в STORE. В 64-х битных системах функция блокировала отключение системного редиректора. o Исправлена критическая ошибка в функции подстановки переменных окружения. --------------------------------------------------------- 3.70 --------------------------------------------------------- o Дефолтное значение bNetFastLoad изменено на 1. o Дефолтное значение SearchMode изменено на 1. o Новый параметр в settings.ini [Settings] ; Архивация файла (образа) ArchiveFile = 7zip\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=64m "%s.7z" "%s" (пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS) ; Разархивация образа DecompressImage = 7zip\7za.exe x -y "%s" -o"%s" *.txt (пример для 7za.exe в подкаталоге 7zip) ; Архивация Zoo ArchiveZoo = 7zip\7za.exe a -t7z "%s.7z" -pvirus "%s\*.*" (пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus) (!) Для уменьшения риска заражения вашего архиватора файловым вирусом рекомендуется (!) изменить или совсем убрать расширение файла. (!) Пример для файла без расширения: ArchivateZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*" o Файлы со статусом проверенный _И_ подозрительный более НЕ скрываются соотв. флагом. o Добавлена поддержка образов в архиве с "-" замененными на "_" в имени. o Исправлены некоторые ошибки в английском языковом файле. o Исправлена функция разбора параметра Userinit и некоторых других параметров. o Исправлена функция поиска по производителю. (проблемы с поиском по маленьким буквам) o Исправлена ошибка при запуске под чистым рабочим столом на компьютерах с высокопроизводительными SATA-3 SSD. (не успевал смениться рабочий стол при запуске) o Пожертвования на развитие теперь принимаются и в виде Bitcoin: 1KXExkYavLMXbkPpo7H3DUWTgskwMuK6rW --------------------------------------------------------- 3.69 --------------------------------------------------------- o Добавлена функция извлечения и проверки сигнатур MBR/VBR/IPL. (в т.ч. и для образов автозапуска созданных v3.66-v3.68) o Добавлена полностью автоматическая функция коррекции поврежденных каталогов winsock. В лог выводится предупреждение о проблемах с каталогом. Восстановление нумерации и общего количества элементов происходит автоматически при обновлении списка. o Добавлен новый пункт в меню "Подпись/Хэш": "Сбросить статус "подозрительный" у всех известных файлов без цифровой подписи" o Твик #14 теперь удаляет все пустые строки из HOSTS. o Добавлена функция проверки по хэшу загрузчиков на VT/JT. o Добавлена функция загрузки MBR/VBR/IPL на VT (при наличии VTUploader-а). Функция самостоятельно извлекает загрузчик (в т.ч. и из образа) и передает в vtuploader временный файл со случайным именем, временный файл будет удален при следующем запуске uVS. o В список добавлены стартовые страницы MSIE, Firefox, Opera, Chrome Удаление ссылок на соотв. URL удаляет эту стартовую страницу во всех указанных браузерах. (!) Барузер НЕ должен быть активен в этот момент. o Для скриптовой команды adddir разрешено использование флага отмены рекурсии как и в случае параметра AddDirs. Пример: adddir >c: где ">" отменяет рекурсию и соотв. добавляются лишь файлы находящиеся в корне диска С. o Добавлены дефолтные значения для некоторых ключей реестра. o Улучшена обработка нажатия ESC при обращении к VirusTotal. o При автоматической формировании имени вируса (vGetName) теперь используется не только название вируса, но и имя производителя соотв. антивируса. o Модифицирована функция безопасного удаления... Функция снова не удаляет ссылки на отсутствующие сервисные DLL. o Восстановлена работоспособность функции определения владельца активного окна. (Alt+Shift+I при запуске на чистом рабочем столе) o Исправлена ошибка проверки эцп файла находящегося в локальном Zoo при работе с удаленной системой. o Исправлена ошибка при передачи параметра текстовому редактору. o Исправлена критическая ошибка в коде иногда приводившая к аварийному завершению uVS. --------------------------------------------------------- 3.68 --------------------------------------------------------- o В список для проверки добавлено 2 ключа реестра. o Новая функция в меню "Дополнительно"->"Сбросить атрибуты для всех файлов/каталогов в..." Функция НЕ_доступна при работе с образом. o Новая функция в меню "Настройка"->"Ручная настройка трансляции имен дисков..." Функция доступна при работе с неактивной системой. o Новый параметр в settings.ini [Settings] ; Автоматическое добавление исполняемых файлов в указанных каталогах в список AddDirs Разделитель: | Флаг отмены рекурсии: > Допустимо использование скриптовых сокращений пути. Пример: %sys32% | d:\tools | >%SystemDrive% o Исправлена ошибка в start.exe При возникновении проблем с доступом к необходимым файлам мог происходить самопроизвольный сброс некоторых флагов. o Модифицирована функция безопасного удаления... Функция не удаляет ссылки на файлы имеющие лишний "\" перед именем файла. o Исправлена ошибка в функции проверки скрипта. --------------------------------------------------------- 3.67 --------------------------------------------------------- o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор). Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT. (!) Для FAT16/exFAT сохраняется код из бутсектора. (!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора) (!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах. Функция доступна в любом режиме. o Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS) Функция доступна в любом режиме. o Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS). (меню "Руткиты") o Добавлена скриптовая команда fixvbr. Пример: fixvbr c: 6 где с - имя загрузочного диска, 6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3) Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6. Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6. Команда fixvbr принимает в качестве второго параметра любое _число. (!) Команда не_доступна при работе с удаленной системой. o MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом. o Новый пункт в меню "Реестр" -> "[INTEL] Включить поддержку AHCI..." Функция доступна для активной и неактивной системы. (Для XP/2k3 перед использованием см. AHCI.txt). (!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений. o Новые параметры в settings.ini [Settings] ; Фильтр по производителю антивируса через запятую. vFilter (сторка) Фильтр применяется в функциях массовой проверки файлов. Результаты проверки антивирусом не попавшим в список учитываться не будут. Пример: Kaspersky, DrWeb, AntiVir (!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно (!) указывать оба варианта. ; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранее полученных данных с VT или JT. vGetName (строка) В строке можно указать через запятую производителей в порядке приоритета. Пример: Kaspersky, DrWeb, AntiVir o Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу. Функция доступна в контекстном меню файла. Скриптовая команда "rbl". o Новая горячая клавиша Alt+M Переключает режим поиска: по имени или по производителю. o Разрешено добавление сигнатур из файлов находящихся в локальном Zoo. (для всех режимов) o В uVS добавлена базовая поддержка GPT. Соотв. загрузчики присутствуют в списке под именем MBRGPT#... o (!) Изменен формат базы вирусов. Добавлена функция обнаружения повреждений базы. Добавлено примечание (127 символов) и длина имени увеличена до 39 символов. База конвертируется автоматически при первом ее изменении. Импорт поддерживается из обоих форматов. o (!) Изменен формат файла сверки. Теперь для сверки сохраняется весь код в MBR+VBR+IPL. --------------------------------------------------------- 3.66 --------------------------------------------------------- o Добавлена поддержка сохранения и проверки кода загрузчика в MBR. Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или в контекстном меню лога. (если выделена строка с хэшем). (для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66) o Новый пункт в меню "Руткиты": Заменить загрузчик в MBR (кроме работы с удаленной системой) С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска. Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS. Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик. Скриптовая команда "fixmbr" с параметром. o Новый пункт в меню "Файл" Восстановить системный реестр из каталога... Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом. Доступен выбор произвольного каталога с реестром. (кнопка "Другой") (!) Для неактивных систем перезагрузка не требуется. (!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится. (!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem, (!) компьютер перезагружается автоматически. o Твик #23: "Очистить ВСЕ каталоги System Volume Information" (в частности удаляются все точки восстановления). o Расширен вывод информации в лог при работе с Jotti. o Исправлена ошибка в функции сохранения системного реестра удаленной системы. o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе с образом. --------------------------------------------------------- 3.65 --------------------------------------------------------- o Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла, о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных. (в т.ч. и при работе с образами сделанными предыдущими версиями uVS) o Подкаталог STORE теперь является дефолтным хранилищем файлов. Структура хранилища: Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки) для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае последняя буква расширения должна быть заменена на подчеркивание. Допускается расположение файлов во вложенных подкаталогах. Примеры имен основных каталогов: NT50, NT61x64 и т.п. o В контекстное меню файла добавлена команда "Скопировать файл в STORE". o Скриптовая команда exec теперь допускает использование сокращений пути до файла: %SYS32% = подкаталог SYSTEM32 проверяемой системы %SYSTEMROOT% = каталог проверяемой системы %SYSTEMDRIVE% = имя диска где расположена система o Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы" Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его запрашивает. Скриптовая команда "rknown". (!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды (!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF. o В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена". o Работа со скриптами вынесена в отдельное меню "Скрипт". o Новый пункт меню: "Скрипт->Проверить скрипт". o Модифицирована функция: "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete) После удаления временных файлов и перед удалением ссылок добавлено обновление списка. o Добавлена новая скриптовая команда "crimg". Команда создает полный образ автозапуска. o В твик номер 12 добавлено удаление значений: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption o Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища. o Для jotti.org введено ограничение на 1 поток. Максимальное количество запросов ограничивается сервером (60 запросов максимум). o Для virustotal.com введено ограничение на 4 потока. --------------------------------------------------------- 3.64 --------------------------------------------------------- o Твик #6 "Отключить восстановление системы" теперь работает в Vista/Seven. o Новая функция в контекстном меню файла: "Добавить все исполняемые файлы каталога в список" (доступна для всех режимов) o Добавлена поддержка virusscan.jotti.org (!) Сервер сильно ограничивает количество запросов. o Функция "Сохранить системный реестр" теперь создает отдельный подкаталог для файлов реестра. o Исправлены ошибки в функциях проверки хэша файла на VT приводившие к пропуску файлов, а иногда и к аварийному завершению uVS. o Исправлена ошибка в функции анализа установленных тулбаров MSIE. --------------------------------------------------------- 3.63 --------------------------------------------------------- o Добавлено 3 ключа реестра. o Добавлен тип сравнения "Не равно" для критерия. Поддержка автоконвертации формата файла snms удалена (формат до v3.50). o Установлено ограничение (20Mb) на размер файла при массовой проверке хэшей на VT. o При проверке по хэшу на VT дополнительно выводится дата первого появления файла [First Seen] на VT. Время удалено. o Новый пункт меню "Файл->Сохранить системный реестр". (!) Для активной системы реестр сохраняется полностью только при запуске под LocalSystem. o Добавлена новая скриптовая команда "adddir". Команда добавляет все исполняемые файлы указанного каталога в список. o В твик номер 12 добавлено удаление значений: Welcome LogonPrompt LegalNoticeText LegalNoticeCaption o Исправлена ошибка в функции разбора lnk файлов. o Исправлена ошибка в функции разбора job файлов. o Исправлена ошибка в функции разбора командной строки. o Исправлена ошибка в функции компенсации буквы диска. (В некоторых случаях при сверке выдавалось ложное сообщение о том, что файл сверки испорчен). o Исправлена ошибка из-за которой файлы добавленные вручную пропускались при проверке списка по F7. --------------------------------------------------------- 3.62 --------------------------------------------------------- o Улучшена функция добавления в список плагинов браузеров Opera/Firefox. (для "portable" версий браузеров). o Новая горячая клавиша: Alt+Enter - Открыть свойства файла. o Оптимизирован альтернативный режим сканирования. o Проверка на наличие каталогов для временных файлов. o Расширен набор известных файлов принудительно добавляемых в список. o Расширен список известных файлов при отсутствии которых в лог выдается предупреждение. o Исправлена функция передачи файла в VTUploader из Zoo при работе с удаленной системой. o Исправлены мелкие интерфейсные ошибки. --------------------------------------------------------- 3.61 --------------------------------------------------------- o Добавлена новая категория "DNS". DNS доступен для редактирования в любом режиме. Скриптовая команда для установки dns подключения - "setdns". Поддерживается IPv4 и IPv6. Для IPv4 доступна быстрая замена DNS на один из популярных DNS. o Функции проверки файлов на VT теперь можно прервать нажав ESC. (!) Нажатие ESC прерывает процесс добавления новых файлов в очередь, завершение всего процесса (!) произойдет после завершения всех запущенных на момент нажатия потоков. o Добавлен новый пункт меню "Реестр->[HKLM] Очистить System\MountedDevices" Скриптовая команда "clrmd". Функция предназначена для исправления проблем возникших из-за переноса системы на другой носитель. o Новая функция: "Реестр->Проверить параметры классов устройств по копии реестра" Назначение функции: выявление различий с целью восстановления нормальной работы системы. o При невозможности увеличить длину сигнатуры для устранения ложного детекта теперь предлагается удалить сигнатуру из базы. o В окно информации о файле добавлена командная строка для процессов. Дополнительно производится разбор командной строки и найденные в ней исполняемые файлы помещаются в категорию "Запускался неявно или вручную". o В окно удаленного рабочего стола добавлены 3 кнопки. "CAD" - симулировать нажатие Ctrl+Alt+Del "<" - предыдущий рабочий стол ">" - следующий рабочий стол В заголовке окна отображается название рабочего стола. o Загрузка профилей отложена на первое обновление списка, что позволяет при работе с удаленной системой выполнять вход в рабочую станцию если не было ни одного обновления списка. (установлен флаг bNetFastLoad) o Исправлена функция "Добавить хэши всех проверенных файлов в базу проверенных" при работе с удаленной системой вызов этой функции иногда приводил к аварийному завершению uVS. o Исправлена функция получения экрана при работе с удаленным рабочим столом. --------------------------------------------------------- 3.60 --------------------------------------------------------- o Добавлен 1 ключ автозапуска. o Добавлена тек. дата/время в лог. o В окно информации о файле добавлено поле parentid (для процессов). o Теперь запоминается последнее использованное IP/имя компьютера. o В меню дополнительно добавлен пункт "Информация о компьютере". Функция доступна при работе с активной и удаленной системой. Данные получаются в основном с помощью WMI. Данные можно сохранить в базу компьютеров. (cdlz) Горячая клавиша: Alt+I. o В меню дополнительно добавлен пункт "Компьютеры". Для просмотра базы компьютеров. o Добавлена возможность загрузки файла на VirusTotal.com (с помощью VTUploader-а). Предварительно необходимо выбрать путь до VTUploader-а в меню "Настройка". VTUploader v1.0 http://forum.oszone.net/thread-139400.html VTUploader v2.0 http://www.virustotal.com/advanced.html (!) v1.0 не требует дополнительных телодвижений в процессе заливки файла. o Теперь в случае невозможности запустить процесс под текущим пользователем автоматически производится запуск процесса под пользователем использованным для запуска uVS. (актуально для Windows 2000) o Новая скриптовая команда "RF" Восстановить файл из хранилища/дистрибутива. По умолчанию файлы восстанавливаются из подкаталога STORE в каталоге запуска uVS Если файла в STORE нет то запрашивается каталог у пользователя. (команда не работает с удаленными системами) o Скриптовая команда "restart" вне зависимости от положения внутри скрипта теперь всегда выполняется после исполнения остальных команд. o Новая функция: "Реестр->Проверить параметры сервисов/драйверов по копии реестра" Назначение функции: выявление различий с целью восстановления нормальной работы системы. o Файлы добавленные вручную теперь остаются в списке после обновления всего списка. (в т.ч. теперь и попадают в образ автозапуска) o Добавлена новая функция Файл->Добавить в список->Все исполняемые файлы в каталоге... Функция доступна во всех режимах при работе с реальной системой. o Добавлена новая функция "Открыть каталог где находится файл в вФМ". Внешний Файловый Менеджер должен быть выбран заранее. (Функция доступна в т.ч. и при работе с удаленной системой) Горячая клавиша: Alt+Shift+F o Усилена функция безопасного удаления ссылок на все отсутствующие файлы. Неизвестные отсутствующие файлы имеющие статус [SAFE_MODE] теперь тоже удаляются этой функцией. Т.е. теперь исключениями являются лишь объекты имеющие статус: активный известный отключенный драйвер сервисная_DLL o Задействован флаг "Скрыть проверенные" в Zoo. o Теперь для 32-х битной системы можно назначить 32-х битный файловый менеджер и текстовый редактор, а для X64 выбрать 64-х битный. o Добавлено предупреждение в лог при отсутствии файла sfcfiles.dll, файл теперь добавляется в категорию отсутствующих, где его можно будет легко восстановить из дистрибутива. (для 2k/xp/2k3) o Файлы с сетевым путем теперь не проходят полную проверку при сверке. o Новые параметры в settings.ini [Settings] ; Управление загрузкой при работе с активной системой. bFastLoad = 0 (0 по умолчанию, обычный запуск) 1 (не считывать список автозапуска) ; Управление автоматическим созданием образа при работе с активной системой. bCreateImage = 0 (0 по умолчанию, обычный запуск) 1 (создать и сохранить образ автоматически) 2 (создать и сохранить образ автоматически в свернутом виде, затем закрыть uVS) 3 (создать и сохранить образ автоматически в свернутом виде, звуки не издавать, затем закрыть uVS) o Исправлена функция восстановления произвольного ключа реестра из бэкапа. выбранный ControlSetXXX в бэкапе теперь транслируется в ControlSetYYY соответствующий CurrentControlSet-у. o Исправлена функция поиска файлов. o Исправлена ошибка в функции проверки цифровой подписи. Теперь проверяется на отзыв вся цепочка сертификатов. (!) Для _качественной_ проверки цифровых подписей требуется доступ в интернет. o Исправлена функция подбора расширения файла. Проверялись не все расширения. o Исправлена ошибка в функции асинхронной загрузки файлов из интернета. При невозможности установить соединение с сервером VT возвращался неправильный номер ошибки. o http://dsrt.jino-net.ru закрыт. Официальный сервер: http://dsrt.dyndns.org --------------------------------------------------------- 3.51 --------------------------------------------------------- o Из-за значительного размера базы проверенных файлов (SHA1) отменено ее копирование на удаленный компьютер, что значительно сокращает время загрузки и экономит системные ресурсы проверяемой машины. (!) ВСЕ функции имеющие отношение к базе проверенных файлов работают как и раньше. (!) Функциональных потерь нет, база SHA1 стала локальной. o Новый параметр в settings.ini [Settings] ; Имя пользовательской базы проверенных файлов Sha1Name (по умолчанию SHA1) o Добавлена возможность использования дополнительных баз проверенных файлов. Каталог для дополнительных баз называется SHA (в каталоге uVS). Дополнительные базы загружаются автоматически и только в R/O режиме. Загрузка происходит as is т.е. все _дополнительные_ базы загружаются в отдельный массив данных находящийся в оперативной памяти... (!) БЕЗ анализа их содержимого на пересечение между собой и пользовательской базой. (!) Добавить хэш в пользовательскую базу возможно лишь при отсутствии хэша во ВСЕХ загруженных (!) базах. Удалить хэш можно лишь из пользовательской базы проверенных файлов. Т.е. схема использования набора баз простая: каждый кто хочет выложить свою базу для общего пользования называет ее уникальным образом, пользователь собирает дополнительные базы в каталог SHA, соотв. пользователь имеет собственную доступную для изменений базу (возможно с уникальным именем, см. выше Sha1Name) и набор R/O баз за редактирование которых отвечают уже их создатели. o Теперь НЕ замораживаются потоки на базе известных модулей. (для совместимости с Windows 7 X64) o В 64-битных системах теперь по умолчанию используется 64-х битный notepad. o Оптимизирована функция "Добавить хэши всех проверенных файлов в базу проверенных". o Функция "Импортировать базу хэшей проверенных файлов" теперь доступна во всех режимах. o Детализированы некоторые типы ссылок в окне информации о файле. o В список добавлен 1 ключ MSIE. o Исправлены ошибки в функции повторного открытии образа автозапуска. o Исправлена ошибка в функции импорта базы поисковых критериев, результирующая база не всегда сохранялась. o Исправлены проблемы с вычислением хэшей файлов находящихся в локальном Zoo при работе с удаленной системой или образом автозапуска. --------------------------------------------------------- 3.50 --------------------------------------------------------- o Добавлены новые функции в меню "Подпись/Хэш" "Проверить все файлы на VirusTotal.com" (Alt+Shift+W) "Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com" (Alt+W) Результат проверки доступен в логе и отображается в столбце "Производитель" в виде: VT [xx/yy] где xx = кол-во детектов, yy = всего антивирусов. VTOK [yyyy-mm-dd] где yyyy-mm-dd = submisson date _без_времени в выходной форме VirusTotal.com (!) В случае ошибки или отсутствии соотв. хэша в базе VirusTotal.com производитель не изменяется. Видимый в списке статус файла изменяется на "?ВИРУС?" (если файл НЕ имел статуса "ВИРУС"). При проверке активной/неактивной системы результат дополнительно доступен в окне информации о файле. Используются системные (MSIE) настройки доступа в интернет. При работе с удаленной системой подключение к интернету требуется лишь для системы проверяющего. o Добавлены новые функции в меню "Файл". "Поместить копии всех файлов со статусом "ВИРУС" в Zoo" "Поместить копии всех файлов со статусом "?ВИРУС?" в Zoo" o Изменена структура базы snms, теперь это база поисковых критериев. Старая база изменяет формат на новый автоматически при первом запуске. (подробнее смотри файл "База поисковых критериев.txt") Горячая клавиша для поиска по базе критериев: Alt+F7 Файлы имеющие признак зловреда получают статус "?ВИРУС?". (!) База больше НЕ поставляется в комплекте с uVS. o В окне информации о файле добавлена кнопка "Просмотр", для просмотра и редактирования текстовых файлов. o Изменено дефолтное имя файла при создании образа, теперь вместо "uvs" подставляется строка вида: Компьютер_Дата_Время. o В категории Zoo больше не отображаются файлы описаний (*.txt) Теперь файлы описаний удаляются автоматически вместе с основным файлом. o Список файлов в Zoo теперь обновляется только при обновлении всего списка. o Теперь поддерживается открытие архива образа автозапуска (zip/7-zip/rar). (При наличии в системе установленного 7-Zip или WinRAR) (!) Имя архива должно соответствовать имени образа в архиве. o Новые параметры в settings.ini [Settings] ; Количество одновременных потоков для закачки файлов из интернета. ; Допустимые значения от 1 до 16 MaxInetThreads = 4 (4 по умолчанию) ; Автоматически архивировать созданный образ автозапуска. ; При наличии в системе 7-Zip/WinRAR. bZipImage = 1 (1 по умолчанию) ; Автоматически проверять список при открытии образа ImgAutoF7 = 1 (1 по умолчанию) ; Автоматически проверять список по базе поисковых критериев ImgAutoAltF7 = 1 (1 по умолчанию) ; Автоматически проверять список по базе проверенных файлов при открытии образа ImgAutoF4 = 1 (1 по умолчанию) [APP] ; Используемый браузер (полный путь без кавычек) ; Выбор браузера доступен в меню "Настройка". ; Поддерживаются относительные пути. Browser (по умолчанию используется дефолтный) ; Используемый текстовый редактор ; Выбор редактора доступен в меню "Настройка". ; Поддерживаются относительные пути. TextEditor (по умолчанию используется notepad) o Флаг "Скрыть ненайденные и с заполненным производителем" теперь НЕ скрывает файлы со статусами "ВИРУС" и "?ВИРУС?". o Исправлены ошибки в функциях запуска файлов. o Исправлена ошибка в функции удаления файлов из Zoo. o Исправлена ошибка в функции проверки скрипта перед исполнением. (отвергались скрипты с командой BDREG). o Исправлена ошибка в функции сохранения ключей реестра (с поднятым флагом bFastBackup). Теперь при отказе в быстром сохранении ключа происходит автоматический переход на обычный метод сохранения ключей с дефрагментацией содержимого. o Исправлена ошибка в функции удаления файлов: не удалялись файловые потоки в корне NTFS раздела. o Исправлена ошибка в окне выбора файла (не отключался системный редиректор под x64) --------------------------------------------------------- 3.46 --------------------------------------------------------- o Новая функция на основе 2-х уже существующих доступна в меню "Дополнительно": "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" Горячая клавиша: Alt+Del o Новые параметры в settings.ini [Settings] ; Быстрый бэкап ключей реестра 1:1 (без дефрагментации результата) ; Этот параметр влияет на работу всех функций связанных с сохранением/копированием ключей. ; Параметр игнорируется если uVS работает в Windows 2000. ; Параметр всегда равен 1 для сетевого режима. bFastBackup = 1 (1 по умолчанию) ; Сохранять при выходе размер и позицию окна bSaveWndPos = 1 (0 по умолчанию) o Новая скриптовая команда bdreg. Бэкап реестра с дефрагментацией результирующих файлов. breg - бэкап реестра без дефрагментации. o Новая функция "Дефрагментация SYSTEM и SOFTWARE" в меню "Файл". o Добавлена горячая клавиша Shift+F10 для вызова контекстного меню файла. o Исправлена ошибка в функции инициализации антисплайсинга, ошибка могла привести к аварийному завершению программы на этапе запуска. --------------------------------------------------------- 3.45 --------------------------------------------------------- o Улучшен модуль антисплайсинга, устранены проблемы с запуском startf в Win7 при установленном Comodo Firewall. o В контекстном меню файла доступна новая функция предназначенная для поиска по хэшу файла на VirusTotal.com. (функция доступна в любом режиме в т.ч. и при работе с образом) o Добавлена дополнительная информация для некоторых ключей реестра. Для сервисов/драйверов ImagePath отображается как есть без доп. обработки, далее следует имя сервиса/драйвера и тип запуска. o Реализована подстановка пути до открытого образа при сохранении скрипта. o Добавлена возможность извлечь файл HOSTS из открытого образа автозапуска. (Файл->Извлечь HOSTS и сохранить его в файл...) o Исправлена ошибка в функции отображения строк из файла HOSTS. o Исправлена ошибка в функции копирования ключей для 64-х битных систем. o Из-за ошибки не работало визуальное разделение условно известных и неизвестных DLL. o Исправлена ошибка в функции подстановки расширений исполняемых файлов. (Не распознавались исполняемые файлы с путями содержащими в себе точки) --------------------------------------------------------- 3.44 --------------------------------------------------------- o В список очистки временных файлов добавлены: o _назначенные_пользователем_ каталоги с кэшем MSIE. o каталоги с кэшем Firefox. o каталоги с кэшем Opera. o каталоги с кэшем Chrome. o Немного ускорен запуск uVS при работе с удаленной системой. Дополнительно есть возможность настроить параметры загрузки с помощью параметра в settings.ini [Settings] ; Управление загрузкой в сетевом режиме. bNetFastLoad = 0 (0 по умолчанию, обычный запуск) 1 (не создавать список автозапуска) 2 (не создавать список автозапуска и открыть удаленный рабочий стол) o В лог добавлена информация о свободном месте на системном диске. o Исправлен эмулятор редиректора реестра 64-х битных систем. o Исправлен эмулятор системного редиректора 64-х битных систем. o Все ограничения для активных/неактивных WinXP/2k3 x64 сняты. Эти системы теперь поддерживаются в полном объеме. o Исправлена ошибка в функции удаления ключей реестра вызывавшая аварийное завершение uVS в 64-х битных системах. o Исправлена ошибка в функции сверки приводящая к двойной компенсации буквы диска в имени подозрительного файла и возможно к аварийному завершению uVS. o Исправлена ошибка в функции смены владельца ключа реестра и сброса прав доступа к нему. (фнукция НЕ работала под Vista/Seven). o Исправлена ошибка в функции обмена данными при работе с удаленной системой (зависание по F6). --------------------------------------------------------- 3.43 --------------------------------------------------------- o Новые параметры в settings.ini [Settings] ; при добавлении файла в Zoo (не для сетевого режима) помещать в Zoo файл с описанием. bSaveZooFileInfo = 1 (1 по умолчанию) ; Дополнительно сканировать D&S/Users и загружать найденные профили пользователей, даже ; если их НЕТ в списке профилей пользователей проверяемой системы. bAllProfiles = 1 (0 по умолчанию) o Создание лога выполненного скрипта теперь происходит в соответствии с параметром в settings.ini [Settings] ; 0 = Не создавать файл с логом. ; 1 = Создавать лог в каталоге Zoo _перед выполнением команды CZOO. ; 2 = Создавать лог _после выполнения скрипта в корневом каталоге uVS. ; 3 = Создавать оба лога. bSaveScrLog = 2 (2 по умолчанию) o Ускорена функция импорта базы проверенных файлов. o Добавлен звуковой сигнал при обнаружения повреждений в базах проверенных/известных. o Твик #22 теперь восстанавливает параметры запуска *.cpl (всего обрабатывается 15 типов файлов) o Сокращена процедура антисплайсинга для совместимости с Kerio Firewall. (как в uVS так и в StartF) o Исправлена функция разбора logon/logoff скриптов. o Исправлена и оптимизирована функция переключения мониторов. o Исправлена ошибка в контекстном меню при работе с образом автозапуска. o Исправлена функция пересчета координат мыши для мультимониторных систем. o Исправлена ошибка в функции удаления временных файлов для удаленных систем. o Исправлена ошибка иногда возникающая при проверке хэшей файлов находящихся в Zoo. --------------------------------------------------------- 3.42 --------------------------------------------------------- o Добавлена автоматическая проверка по _локальной_ базе подозрительных имен при загрузке образа. o Улучшена функция трансляции имен дисков, теперь можно работать с неактивной системой на виртуальном диске. (Например подключенный диск виртуальной машины VMware). o В контекстное меню файла имеющего статус вируса добавлена команда "Ложное срабатывание, увеличить длину сигнатуры" Длины всех подходящих сигнатур будут увеличены на глубину совпадения с сигнатурой этого файла + 1. o Исправлена ошибка в функции построения списка файлов запускавшихся вручную/неявно. --------------------------------------------------------- 3.41 --------------------------------------------------------- o В окне установленных программ теперь можно удалять записи из реестра без запуска деинсталлятора. Гор. клавиша Del, скриптовая команда "uidel". Функция доступна во всех режимах. o Модифицирована скриптовая команда "сzoo". Перед архивацией в Zoo помещается содержимое лога в виде текстового файла в unicode кодировке. (только для активных/неактивных систем) o Теперь при работе с удаленной системой и запуске файлового менеджера по Alt+F ему передается параметр запуска в виде: \\computername\c$ o Добавлена проверка скриптов _перед_ исполнением. Если файл НЕ является правильным скриптом uVS или содержит неизвестные команды то пользователю выдается соотв. сообщение и скрипт НЕ исполняется. o В окно просмотра удаленного рабочего стола добавлен новый управляющий элемент "CPBSYNC". Этот переключатель управляет АВТОсинхронизацией буфера обмена, т.е. если его включить _вместе_ с передачей содержимого экрана будет производится синхронизация текста из буферов обмена обоих компьютеров. Изначально данная функция отключена, сохранение состояния НЕ производится для исключения возможности непреднамеренной передачи буфера обмена при первом открытии окна. (!) Функция работает в обе стороны, т.е. это именно синхронизация. (!) Включение данной функции приводит к некоторой потере в скорости обновления экрана. o Оптимизировано окно твиков при работе с удаленной системой. o Расширена и переименована категория "С сетевым путем", категория теперь включает в себя все файлы с полным путем содержащим \\. Новое название категории "Полный путь содержит \\" o В лог добавлены версии установленных браузеров. o Новые параметры "bAutoZooOnF7" и "bAutoBLOnF7" при работе с образами (см _Скрипты.txt) o В скрпит больше нельзя добавить повторы команды "zoo". o Расширена функция поиска плагинов к FireFox-у. o Расширена функция поиска каталогов с плагинами Opera. o Теперь при ошибке удаления ключа реестра выводится полный путь до ключа. o Из кода устранено использование функций shlwapi. Вся обработка путей теперь осуществляется собственными функциями и никак не зависит от системы. o Исправлена ошибка в обработке скриптовой команды "zoo" для x64 систем. (Не отключался системный редиректор перед копированием файла и не добавлялся SHA1 к имени файла) o Исправлена ошибка в обработке команды "delmz" для x64 систем. o Исправлена функция компрессии путей в скриптах. o Исправлена функция сохранения файла подозрительных имен файлов. (snms) o Исправлена ошибка в функции генерации переменных окружения неактивной системы. o Исправлен startf.exe --------------------------------------------------------- 3.40 --------------------------------------------------------- o Добавлена функция управления удаленным рабочим столом. Поддерживается 6 мониторов, клавиатура, 3-х кнопочная мышь с колесиком. Функция оптимизирована для 32/24/16-х битных режимов, дополнительно поддерживаются 8/4-х битные режимы. (!) Функция предназначена для условий в которых использования полноценной программы удаленного (!) управления невозможно. (!) НЕ_рекомендуется использовать на машинах со старыми видеокартами. Гор. клавиша Alt+V. (подробнее см. файл "удаленный рабочий стол.txt") o Оптимизирована функция обмена данными по сети. o Модифицирован твик #11, дополнительно сбрасываются параметры: LegacyAuthenticationLevel и LegacyImpersonationLevel o Теперь при открытии окна твиков производится проверка необходимости в применении некоторых твиков. Кнопки с излишними твиками (по итогам проверки) будут недоступны. o В лог добавлен путь до файла hosts. o Устранена утечка памяти при файловых операциях. o Исправлены ошибки при работе с файлами AUTORUN.INF. o Исправлена функция антисплайсинга при работе с удаленной системой. --------------------------------------------------------- 3.33 --------------------------------------------------------- o Добавлен твик #22 "Восстановить из копии параметры запуска файлов". Восстанавливаются из бэкапа ключи Classes\exefile, Classes\.exe и еще 14 основных типов файлов. o В меню "Запустить" добавлен пункт "Управление сервисами". (В случае работы с удаленной системой в открывшемся окне выберите в меню "Действие->Подключится к другому компьютеру" и введите имя или ip нужного компьютера) o Улучшена функция анализа имен файлов, теперь файлы с чередованием в имени некоторых ASCII и NON-ASCII символов считаются подозрительными. o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария. --------------------------------------------------------- 3.32 --------------------------------------------------------- o Улучшена функция антисплайсинга. o Оптимизирована функция работы с файлами. o Оптимизирована функция "Убить все вирусы". o Оптимизирована функция добавления сигнатуры в скрипт. o Исправлена функция анализа относительных путей в autorun.inf o Добавлена возможность автоматического помещения файлов в Zoo при добавлении сигнатуры. (кроме сетевого режима) o Добавлена возможность _автоматической_ проверки _образа_ по базам проверенных и вирусов. o Добавлена возможность дополнять скрипт заранее заготовленным скриптами. Скрипты должны быть в виде текстовых UNICODE файлов. Имена файлов: от 0.txt до 9.txt Расположение: в каталоге "script". Добавить нужный скрипт можно с помощью горячей клавиши Ctrl+Shift+цифра o Изменена функция "Убить все вирусы", в случае работы с образом автозапуска в скрипт предварительно помещается команда "chklst". o Изменена функция "Проверить список", в случае работы с образом автозапуска в скрипт больше НЕ помещается команда "chklst". Дополнительно функция теперь автоматически помещает в скрипт сигнатуры найденных вирусов, в т.ч. и при загрузке образа (если установлен соотв. флаг в настройках). (Оставлена возможность поместить команду "chklst" отдельно от "delvir" с помощью гор. клавиши Shift+F7, а по F7 происходит лишь проверка списка) o Исправлена функция очистки HOSTS (в нек. случаях в 2000/XP могла удалиться запись с localhost). --------------------------------------------------------- 3.31 --------------------------------------------------------- o Добавлено 2 скриптовых команды. sfc файл - проверить и восстановить указанный файл с помощью SFC (только для Vista и старше) (в контекстном меню файла) sfcall - запустить sfc /scannow и ожидать завершения (в меню "Запуск") o В StartF добавлен антисплайсинг. o В меню запуск добавлен пункт "Экранная клавиатура". o Модифицирована функция разбора пути файла. o Исправлена функция получения настроек программы при работе с образом автозапуска. o Исправлена ошибка в функции повторного открытия образа автозапуска. (ошибка приводящая в т.ч. и к аварийному завершению программы) --------------------------------------------------------- 3.30 --------------------------------------------------------- o Модифицирован поиск по набору символов, теперь можно выбрать режим поиска. 1. обычный - обычный поиск по нажатиям 2. фильтрующий (по умолчанию) - отображается лишь то, что содержит набранные символы 3. фильтрующий по первым буквам - отображается лишь то, что начинается с набранных символов (В спец. поле отображается последовательность набранных символов) Настроить режим поиска можно в меню "Настройка". Горячие клавиши: Backspace - удалить последний введенный символ Esc - сбросить фильтр (!) Фильтр автоматически сбрасывается при смене категории. o Добавлены новые ключи запуска для start.exe (см. _Режимы запуска.txt) o Добавлена поддержка пользовательской базы подозрительных имен файлов. База представляет собой текстовый файл (unicode) со списком имен файлов, одно имя на строку, допускается корректировка файла в любом текстовом редакторе, uVS загружает и использует базу автоматически. Если неизвестный и непроверенный файл имеет имя из этой базы, то файл попадает в категорию подозрительных. o Добавлен автоматический антисплайсер для некоторых функций API. Только для адресного пространства uVS. (может быть полезен при зачистке примитивных руткитов) o Улучшена функция поиска активных файловых вирусов. o Добавлена возможность сохранения скрипта в процессе работы. Гор. клавиша Alt+S. o Исправлена функция поиска файлов запускавшихся неявно. --------------------------------------------------------- 3.27 --------------------------------------------------------- o Исправлена ошибка отображения 64-х битных числовых значений под Win2k. o Скриптовая команда gpupdate игнорируется в режиме проверки неактивной системы. o Добавлена утилита xMD5 для внесения хэшей из bl.log в реестр. (HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes) xMD5 можно запускать с параметром (ip адрес или имя компьютера), если запустить без параметра то хэши будут прописаны в реестр активной системы. o Модифицирован образ автозапуска, теперь в нем сохраняется в т.ч. и список установленных программ. Соотв. при работе с образом доступна гор. клавиша Alt+U. (В v3.27 можно использовать образы пред. версий uVS) o Добавлена новая скриптовая команда EXEC. (Запустить указанный файл с параметрами и ЖДАТЬ завершения запущенной программы) o Косметические изменения в списке выбора категорий. --------------------------------------------------------- 3.26 --------------------------------------------------------- o Добавлена поддержка вычисления MD5 (RFC 1321) o В контекстное меню файла добавлена возможность запрета запуска исполняемого файла по MD5 хэшу. (Для WinXP и старше, для применения настроек необходимо запустить gpupdate /force, иногда требуется перезагрузка компьютера) Скриптовая команда: BL хэш_md5 размер_файла_в_байтах Функция может быть использована для предотвращения повторного заражения или в адм. целях. (!) Поддерживается ведение лога хэшей запрещенных к запуску файлов в отдельном файле. (!) Для включения ведения лога в Settings.ini укажите в секции Settings значение bLogBL=1 (!) Имя файла bl.log. o Добавлена поддержка _системного_бэкапа_ реестра_ Vista/Seven. Теперь системный бэкап реестра используется по умолчанию для всех версий Windows. o Добавлен новый твик #19 "Снять ограничения на запуск по хэшу, установленные uVS-ом". o Добавлен новый твик #20 "Восстановить испорченные значения ImagePath". Восстановление производится для нек. системных сервисов полностью со всеми дефолтными параметрами запуска. (при запуске в лог помещается информация об испорченных значениях) (!) Функция НЕ тестировалась на Win2k8. o Добавлен твик #21 "Восстановить из копии ключ SafeBoot" Твик работает идентично пункту меню Реестр->[HKLM] Восстановить из копии ключ SafeBoot (!) Для работы этой функции необходим бэкап реестра. (!) По-умолчанию используется системный бэкап реестра. (!) Если требуется использовать более свежий бэкап то _предварительно_ необходимо выбрать (!) каталог с бэкапом в меню "Реестр". o В меню "Запуск" добавлен пункт GPUPDATE /FORCE Скриптовая команда: GPUPDATE (кроме режима проверки неактивных систем). o Добавлен режим просмотра лога. Гор. клавиша Alt+L. o Подчищен лог при работе с образом системы. o Исправлена ошибка при сохранении тек. каталога в окне выбора файла. --------------------------------------------------------- 3.25 --------------------------------------------------------- o Для процессов проявляющих сетевую активность добавлена доп. информация (адрес:порт) для каждого pid-а отдельно. (TCP/TCP6, UDP/UDP6) o Создано специальное окно для более удобного применения твиков. (гор. клавиша Alt+T) o Добавлены твики: 15 - Разрешить отображение вкладки Экран->Рабочий стол 16 - Разрешить отображение вкладки Экран->Заставка 17 - Полная очистка ключей Safer\CodeIdentifiers\0\Paths 18 - Снять ограничения на запуск приложений в Explorer-е o В категории "Линки на отс. файлы" добавлена поддержка горячей клавиши Del. (удаление файла без предупреждения) o Из функции "Выгрузить ВСЕ неизвестные/непроверенные процессы и блокировать запуск служб" исключена _принудительная проверка цифровых подписей, что делает ее более гибкой. Например если вы хотите выгрузить все неизвестные за исключением 1-2 процессов, то просто помечаете нужные файлы проверенными вручную и затем запускаете эту функцию. Если хотите выгрузить ВСЕ неизвестное и непроверенное, то сперва проверяете подписи и/или хэши. o Удален третий метод завершения процессов из-за конфликта с самозащитой Trend Micro OfficeScan 10-й версии. (как в uVS так и в StartF) Оставлен лишь базовый метод (номер 1) и два метода для продавливания (само)защиты ASA и IJ. TM не был добавлен в исключения, поскольку IJ его полностью выгружает без фатальных последствий для системы свойственных бывшему методу номер 3 и номеру 2 (отключенному в v2.83). KAV теперь тоже не конфликтует с функциями массового завершения процессов, соотв. он удален из списка исключений. o Исправлена ошибка в Start.exe иногда возникающая при использовании английской локализации. --------------------------------------------------------- 3.24 --------------------------------------------------------- o Добавлено 24 ключа реестра в список для проверки. o Возвращена функция оптимизации пути в переработанном виде, теперь надежно отличаются дополнительные "невидимые" подкаталоги "." и ".." от стандартных и в случае обнаружения в пути к файлу таких нестандартных _участков оптимизация _этих _участков НЕ производится. (!) Зайти в такие каталоги или удалить их можно в любом окне выбора файла или каталога. (например в окне доступном по кнопке "Проверить каталог") o Расширен список кривых версий PSAPI для Windows 2000, соотв. при обнаружении такой версии в лог выдается предупреждение и используется упрощенный метод сбора загруженных DLL. o Добавлен новый пункт меню Дополнительно->Установленные программы. При работе с активной или удаленной системой даблкликом можно запустить соотв. деинсталлятор в _проверяемой_системе_. При работе с неактивной системой доступен только режим просмотра. При работе с образом автозапуска функция недоступна. o Оптимизирована функция сохранения образа автозапуска. o Функция рассчета SHA1 исправлена, теперь правильно считается хэш файлов размером больше 4Gb. o Исправлены мелкие интерфейсные ошибки в окне выбора каталога/файла. Горячая клавиша Del теперь может удалять и отдельные файлы. o Исправлена ошибка сохранения образа для удаленных систем. (не добавлялись дополнительные файлы из системных папок при установленном фильтре на дату) o Восстановлена работоспособность _сетевых_ функций испорченных переходом на поддержку длинных и нестандартных путей к файлам в v3.23. --------------------------------------------------------- 3.23 --------------------------------------------------------- o Добавлена поддержка нестандартных путей в окно выбора каталога/файла. В т.ч. поддерживается вход в дубликат каталога ".." Вход в пустые каталоги больше не допускается. (!) Стандартный каталог ".." удален из списка, возврат на уровень выше теперь возможен только (!) с клавиатуры. o Добавлена возможность удалить каталог из окна выбора каталога/файла. Поддерживается удаление каталогов с дубликатом "..". Поддерживается очистка всего диска. Функция работает во всех режимах. (гор. клавиша Del). o Добавлена возможность открывать другой образ автозапуска (только в режиме работы с образом) (гор. клавиша Ctrl+O) o Добавлена поддержка нестандартных путей во все основные функции. o Удалена функция оптимизации пути к файлу для поддержки нестандартных путей. o Исправлена ошибка в функции инициализации, ошибка могла привести к подвисанию процесса uVS на старте (если инициализация завершилась неудачно). o Удалена операция обновления списка в функции сохранения образа для неактивных систем, что позволяет теперь сохранять образ неактивных систем без потери результатов сверки. --------------------------------------------------------- 3.22 --------------------------------------------------------- o Объединены категории Firefox и Opera. o Добавлена категория "Добавлены вручную" В эту категорию можно поместить файлы с помощью новой функции: Файл->Добавить в список все исполняемые файлы не старше указанной даты... o Новая функция "Добавить в список все исполняемые файлы не старше указанной даты..." Функция рекурсивно сканирует системные папки и выбирает оттуда исполняемые файлы с датой соотв. дате для текущего фильтра. o Модифицирована функция сохранения образа автозапуска, по умолчанию в образ добавляется результат работы функции "Добавить в список все исполняемые файлы не..." (!) ТОЛЬКО ЕСЛИ установлен фильтр по дате. (!) Соотв. перед сохранением образа рекомендуется устанавливать фильтр по дате несколько меньшей (!) даты заражения. o Добавлена новая функция - архивация Zoo при помощи _установленных_в_системе_ 7Zip или WinRAR. Архив помещается в корневой каталог uVS, пароль к архиву virus, имя архива в формате YYYY-MM-DD_HH-MM-SS, расширение 7z или rar. Скриптовая команда czoo. (!) Все файлы после архивации удаляются из Zoo. o Добавлен твик #14 - Очистить HOSTS Удаляются все записи, кроме localhost o Теперь при запуске в лог печатаются значимые строки из HOSTS и версия MSIE. o Исправлена критическая ошибка при разборе некоторых ключей реестра. o Исправлена функция инициализации работы с активной системой. o Исправлена функция добавления в список известных. o Доступна английская локализация интерфейса. --------------------------------------------------------- 3.21 --------------------------------------------------------- o Добавлена безопасная виртуализация SYSTEM и SOFTWARE. Пердварительно выполняется обычный бэкап реестра и на основе бэкапа формируются виртуальные ветки SYSTEM/SOFTWARE. Т.е. в данном случае исключаются потенциальные проблемы быстрой виртуализации, однако после безопасной виртуализации в списке не появятся скрытые ключи реестра, что имеет свои плюсы и минусы. Например плюс в том что в виртуальных ветках изначально отсутствуют ключи автозапуска скрытые руткитом, т.е. после актуализации реестра руткит получит проблемы с загрузкой уже только из-за своего стремления скрывать свой автозапуск. (скиптовая команда sreg) o Скриптовые команды areg, vreg, sreg, restart теперь пропускаются при исполнении скрипта на неактивной системе. o Модифицирована функция удаления файлов. o Исправлена функция "Убить все вирусы", в случае если зловред, убитый этой функцией, запускался с неявно заданным путем, то в реестре могла остаться на него ссылка. Теперь ссылки остаются только на убитые _известные_ файлы. o Устранена утечка памяти при открытии вложеных окон "Информация о файле". o Добавлена возможность локализации интерфейса uVS без изменения дистрибутива. Желающие перевести интерфейс uVS на язык отличный от английского и затем поддерживать его в актуальном виде (при смене версии uVS) могут обращаться ко мне на email: demkd@mail.ru Имя модуля локализации "lclz". Английский модуль в данный момент находится на проверке, в дистрибутив английский модуль включаться НЕ будет, скачать его можно будет с оф. сайта отдельно. o Исправлена функция разбора пути до файла, были проблемы с разбором путей содержащих в себе "." --------------------------------------------------------- 3.20 --------------------------------------------------------- o Добавлена возможность работы с виртуальным реестром. Виртуализируются ветки SYSTEM и SOFTWARE. (пользовательский реестр не затрагивается) Область применения: Удаление ссылок на руткиты или излишне... упорный софт, который защищает свои ключи реестра, (при невозможности загрузиться с dvd/флешки или отсутствии физического доступа к компьютеру) (в т.ч. по сети) Подробнее см. DOC\виртуализация.txt Функция доступна при работе с активными/удаленным системами и образом системы. Доступны скриптовые команды vreg и areg. (!) Функция потенциально опасная, но и возможности которая она открывает переоценить трудно. o Добавлен новый пункт в меню Запустить->"Внешний файловый менеджер". (гор. клавиша Alt+F) Менеджер запускается под тем же пользователем, что и uVS. При первом использовании укажите исполняемый модуль вашего любимого файлового менеджера. Рекомендуется поместить его в подкаталог в каталоге uVS, тогда будет использоваться относительный путь вместо абсолютного, что сделает сборку мобильной. (Настройки хранятся в файле Settings.ini) (!) uVS не только запускает менеджер, но и выдает ему привилегии для ПОЛНОГО доступа к файлам (!) и каталогам с ограниченным доступом. (например к System Volume Information) (!) Будьте осторожны с этой функцией при подозрении на активный файловый вирус, uVS НЕ защищает (!) файловый менеджер. o Добавлена новая команда "restart" в скриптовый язык. Команда прекращает выполнение скрипта и перезагружает систему. В режиме работы с образом системы команда добавляется в меню "Дополнительно". o Добавлена новая команда "breg" в скриптовый язык. Команда выполняет бэкап реестра. o Добавлена новая функция "Поместить копии всех НЕПРОВЕРЕННЫХ файлов в BOX". Файлы помещаются в каталог BOX (в корне uVS) и именуются аналогично тем что попадают в ZOO. o Добавлена возможность извлекать сигнатуры из файлов "лишенных статуса исполняемого". o Добавлен новый пункт меню Файл->"Выполнить скрипт находящийся в буфере обмена". o Добавлен новый твик "Удалить все Persistent routes". (твик #13) o Модифицирован алгоритм разбора и очистки значений некоторых важных ключей реестра. o При неудачной проверке цифр. подписи файла, файл получает статус подозрительного. (Только в случае массовой проверки по F6) o Теперь в лог печатается описание ошибки проверки цифр. подписи. o Теперь при значительных операциях с реестром Regedit автоматически закрывается. (для устранения проблем с выгрузкой hive-ов). o Исправлена ошибка при сортировке списка по статусу. o Теперь при старте в лог печатаются все Persistent routes. (Некоторые зловреды используют их для блокировки доступа к антивирусным сайтам) o Исправлена функция построения списка файлов запускавшихся неявно. o Исправлена ошибка в функции удаления ключей со всеми подключами. --------------------------------------------------------- 3.12 --------------------------------------------------------- o При проверке цифровых подписей неактивной системы ее CatRoot теперь загружается автоматически если это необходимо. o При проверке цифровых подписей известные файлы для которых проверка завершилась с ошибкой теперь заносятся в категорию подозрительных. o Добавлены новые горячие клавиши: Ctrl+F1 - Скрыть/показать проверенные файлы. Alt+F1 - Скрыть/показать известные файлы. Alt+Up - Пердыдущая категория Alt+Down - Следующая категория o Функция "Открыть каталог где находится файл" теперь работает только если Explorer загружен. o Исправлена функция разбора ключа Load. (ведущая запятая) o Удалена ошибочная выгрузка драйверов при проверке НЕактивной системы. o Исправлены мелкие интерфейсные ошибки при работе с удаленной системой. --------------------------------------------------------- 3.11 --------------------------------------------------------- o Добавлена новая функция Файл->Добавить хэши всех проверенных файлов в базу проверенных Хэши всех проверенных (любым способом, в т.ч. пользователем) файлов помещаются в базу проверенных. Функция достаточно безопасная, однако будьте внимательны при пополнении собственной базы проверенных. (!) Функция доступна и при работе с удаленной системой. o Изменено наименование файлов копируемых в Zoo, к имени файла добавляется SHA1 файла. o Добавлен звуковой сигнал на завершение пополнения базы проверенных. o Оптимизирована перерисовка окна информации о файле при работе с удаленной системой. o Оптимизирована функция импорта базы проверенных. o Теперь при использовании гор. клавиш F6 и F4 автоматически включается опция "Скрыть проверенные" o Теперь функции проверки цифр. подписи и хэшей не проверяют подписи уже проверенных файлов и файлов с сетевым путем, что значительно повышает производительность особенно при последовательной проверке. Сбросить статус ВСЕХ проверенных файлов можно в меню Подпись/Хэш соотв. функцией. o Теперь при работе с удаленной системой в лог заносится список всех dial-up соединений и имя компьютера. o Модернизирована функция сверки, теперь при определении измененных файлов используется SHA1. (!) Формат файла сверки изменен. o Исправлена ошибка при работе с образом системы: SHA1 печатался в лог, но не помещался в буфер обмена соотв. командой. o Исправлена ошибка из-за которой некоторые уже проверенные файлы не получали статус "проверенный" после обновления списка. o Исправлены критические ошибки, которые могли привести к аварийному завершению при работе с удаленной системой. o Исправлена критическая ошибка, которая могла привести к аварийному завершению при проведении сверки. --------------------------------------------------------- 3.10 --------------------------------------------------------- o Новая функция - вычисление хэша файла SHA1. Функция доступна в: Контекстном меню файла->В буфер обмена->SHA1 (После вычисления SHA1 будет доступен в свойствах файла и буфере обмена) Окне информации о файле - кнопка SHA1->CB, при нажатии кнопки хэш помещается в буфер обмена. (дополнительно производится поиск хэша в базе проверенных как и в первом случае) В меню Подпись/Хэш (для произвольного реального файла на лок. диске или диске удаленной системы) (хэш виртуальных файлов смотрите в их свойствах) В меню Подпись/Хэш для всех файлов в списке, все файлы с хэшами найденными в базе помечаются как проверенные. (гор. клавиша F4) (!) При работе с образом используется _локальная_ база проверенных и соотв. доступна массовая проверка хэшей файлов по вашей базе. Для начального заполнения базы проверенных хэшами чистых файлов используйте рекурсивную функцию: Файл->Добавить исполняемые файлы каталога в базу проверенных... Дополнительно в меню Файл можно импортировать хэши из другой базы для объединения или пополнения общей базы проверенных файлов. Функции по работе с хэшем доступны при работе с _реальной_ системой и частично при работе с образом системы. (не доступны функции добавления и удаления хэша для исключения ошибок) Область применения - проверка файла на virustotal по SHA1 и ведение базы проверенных файлов. База имеет имя sha1. При обновлении списка происходит автоматическое вычисление хэша подозрительного файла, если хэш будет найден в базе то подозрения с файла снимаются и файл получает статус "проверенный". Код для вычисления SHA1 целиком взят из RFC3174. o При работе с образом системы в свойства виртуальных файлов теперь доступен SHA1 в разделе доп. информации и актуальный тип/статус виртуального файла (после проведения операций над файлом) o Введена начальная поддержка Argument Switch Attack для получения неограниченного доступа к защищенным процессам и их завершения. ASA тестировалась на WinXP, Win7 x86, Win7 x64 на одно и многопроцессорных системах. Метод признан годным к использованию и в в логе uVS будет фигурировать под именем "ASA". Использована стандартная двухэтапная ASA, максимальное количество циклов каждого этапа 5000. Основная область применения - завершение защищенных процессов под NTx64, где не работает старый, но более мощный 4-й метод завершения процессов. (для краткости и логов он получил имя "IJ") Побочная область применения - тестирования любимого защищенного софта на устойчивость к ASA. ASA активируется автоматически при отказе в завершении процесса, если ASA не удалась, то активируется модифицированный IJ (только для x86), где на подготовительном этапе при необходимости используются отдельные элементы первого этапа ASA. o В меню твиков добавлен новый пункт "Сброс значений ключей Winlogon в начальное состояние" (твик #12) Значения GinaDLL, SaveDumpStart, ServiceControllerStart, Taskman, LsaStart, AppSetup, System - удаляются для HKLM и всех пользователей, Userinit, Shell, VmApplet принимают правильное значение для HKLM и соотв. версии NT, для пользователей удаляются. UIHost принимает правильное значение для HKLM, для пользователей удаляется и удаляется для версий NT>=6. o Исправлена ошибка в функции разбора ключей реестра и в некоторых случаях приводящая к аварийному завершению. o Исправлена ошибка в функции разбора UIHost, Userinit, Shell и некоторых других ключей. o Улучшены функции работы с ключами реестра, теперь при работе с ключами и значениями при _необходимости_ автоматически происходит сброс прав доступа к ключу и в особых случаях захват ключей с заменой его владельца на пользователя под которым запущен uVS. --------------------------------------------------------- 3.03 --------------------------------------------------------- o Исправлена ошибка в функции разбора неявных параметров. o В меню "Запуск" добавлен Диспетчер задач. o Улучшена функция обработки CLSID. o В список просматриваемых ключей добавлено 2 ключа реестра. o При старте в лог добавляется информация о доступной физической памяти. o В меню "Реестр" добавлены два новых пункта "Бэкап SAM" и "Восстановить SAM". Эти пункты добавлены для возможности отмены изменений произведенных с помощью функции "Учетные записи (сбросить пароль/активировать)". Восстановить SAM (и соотв. все сброшенные пароли) можно в т.ч. и в активной системе. o Теперь отображается прогресс завершения процессов. (в т.ч. и при работе с удаленными системами) --------------------------------------------------------- 3.02 --------------------------------------------------------- o Добавлен твик: "Включить поддержку DCOM". (твик номер 11) o Добавлена проверка ключа HKLM\Software\Microsoft\Windows\CurrentVersion\BITS на предмет наличия в нем значения host и выводом предупреждения в лог. o Добавлена новая функция "Перезапустить Explorer". (см. меню "Запустить"). o Для Start.exe добавлен параметр запуска /p для автозаполнения полей Пользователь и Пароль. (не совместим с /d) Примеры: start.exe /p user start.exe /p user password start.exe /p user@domain password o Теперь explorer всегда запускается под тек. пользователем. o При старте в лог добавляется информация о пользователях. o В окно информации о файле добавлен раздел Доп. информация для некоторых категорий файлов. o Исправлена функция сброса пароля. (в некоторых случаях uVS отказывался сбрасывать пароли учетных записей Win2k). o Исправлен твик "Разблокировать свойства папки" (не исправлялось значение в HKLM) o Исправлены ошибки в функции построения списка загруженных DLL при работе с кривой версией psapi.dll (например в Windows XP _без_ SP находится именно кривая версия psapi) Получение списка загруженных DLL и имен процессов теперь работает и с этими версиями psapi, но без возможности обнаружения скрытых DLL и обнаружения искаженных путей до файлов. o Исправлена ошибка в функции запуска приложения от имени тек. пользователя. o Исправлена проблема с прорисовкой списка при ожидании завершения команд. --------------------------------------------------------- 3.01 --------------------------------------------------------- o Для модулей в окне информации о файле теперь указывается список процессов имеющих образ данной DLL в своем адресном пространстве. o Ускорена загрузка GUI, для наблюдения за ходом первого обновления списка (во всех режимах). o Прогресс и лог динамически обновляется при выполнении операций в удаленной системе. o Теперь можно создавать образ автозапуска удаленной системы. o Теперь можно исполнять скрипты в удаленной системе. После исполнения скрипта происходит синхронизация Zoo. o Улучшена стабильность работы при неустойчивой связи с удаленной системой. o Улучшена обработка процессов с искаженными именами. o Процессы с искаженным именем/путем или перемещенные/переименованные после запуска автоматически заносятся в категорию подозрительных. Настоящее путь\имя можно узнать в разделе "Образы" информации о файле. o В меню "Файл" добавлена команда "Выход". o Исправлена ошибка: неправильно определялся путь до DLL/EXE загруженных с сетевого ресурса. o Исправлена ошибка: в окне информации о файле не работал клик по файлу с сетевым путем. o Исправлена ошибка: не включался альтернативный метод сканирования при проверке удаленной системы. --------------------------------------------------------- 3.00 --------------------------------------------------------- o Добавлен 4-й режим запуска: "Загрузить образ". В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы. (!) Виртуальные файлы имеют РЕАЛЬНЫЕ сигнатуры, вы можете вносить их в базу или сразу в скрипт. (!) Все доступные операции выполняются только на виртуальных файлах, однако операции именно (!) ВЫПОЛНЯЮТСЯ, т.е. если вы запустите проверку списка то будут найдены все зловреды, сигнатуры (!) которых имеются в вашей ЛОКАЛЬНОЙ базе, включая добавленные вами из виртуальных файлов. (!) Соотв. если вы нажмете "проверить список" и затем "убить все вирусы" зловреды будут удалены (!) из списка, в реальной же системе тот же эффект даст выполнение сгенерированного по вашим (!) действиям скрипта. (!) Скрипт сохраняется по желанию при выходе из uVS. o Добавлены функции создания образов автозапуска. Полный - вся информация об автозапуске включая состояние цифр. подписей. (рекомендуется) Сокращенный - вся информация об автозапуске без предварительной проверки цифр. подписей. (файлы образов отлично сжимаются вплоть до 15x, размер полного образа ~2Mb) o Добавлена поддержка создания и исполнения скриптов. Скрипт формируется автоматически при работе с образом системы или при удержании клавиши Shift при отдаче команды на исполнение в других режимах. (только для некоторых команд) (Подробнее см. файл _Скрипты.txt в каталоге DOC) o Улучшена функция построения списка загруженных DLL Функция показывает все DLL в памяти процесса, в т.ч. небрежно скрытые. o Добавлена функция "Поиск объектов отсутствующих в списке PEB_LDR_DATA активных процессов" Все найденные помечаются как подозрительные. (!) Попадание какой-то DLL в список НЕ означает что она специально была скрыта руткитом. o В окне информации о файле добавлена доп. информация. Кроме списка DLL доступен список образов исполняемых модулей в адресном пространстве процесса (сам EXE и DLL загруженные после момента обновления списка) и список отображенных в память файлов. Добавлена строка со статусом цифровой подписи файла. (если файл проверил сам пользователь, то считается что файл подписан "пользователем") o Добавлена функция: "Максимально полно очистить ключ Explorer-а" Ключ реестра приводится к состоянию на момент окончания установки Windows. (!) Только для активных систем и текущего пользователя. o Добавлена функция обнаружения скрытия расширений исполняемых файлов. o Добавлен твик: "Отключить скрытие расширений исполняемых файлов". (для всех пользователей) o Добавлен твик: "Включить отображение скрытых файлов". (для всех пользователей) o В категорию "Запускался неявно или вручную" теперь попадают лишь существующие файлы с НЕ_сетевым путем. o Улучшена функция построения списка потоков на базе DLL. o Улучшена функция проверки цифр. подписей. o В список просматриваемых ключей добавлен 1 ключ реестра. o Логи стали более подробные. o Для основных функций теперь виден прогресс выполнения. (при проверке активной или неактивной системы) o Оптимизирована функция удаления файлов указанных в autorun.inf. o Теперь в статусе вируса отображается его название с глубиной совпадения в скобках. o Уменьшена вероятность ложного детекта Sality.* o Реализована остановка служб при выгрузке процессов. (Для предотвращения их перезапуска системой) o В заголовок окна добавлен путь до каталога проверяемой системы. (для удаленных систем - имя компьютера) o Увеличен таймаут при проверке удаленной машины до 20 минут. (для возможности работы со слабыми машинами) o При работе с удаленной системой файлы с сетевым путем больше не участвуют в проверке списка. Это существенно может увеличить скорость проверки. (до 20 раз и более в зависимости от количества) (доступа к сетевым файлам в этом режиме все равно нет, соотв. нет и потери в функционале) o Исправлены ошибки при сортировке списка. o Исправлена ошибка при обработке .net сборок. o Исправлена ошибка при удалении ключей с подключами в некоторых функциях. (ключ мог очищаться не полностью). o Исправлена ошибка иногда приводящая к неправильному определению статуса rundll32.exe/regsvr32.exe. o ...И многое другое, что я забыл внести в этот список. --------------------------------------------------------- 2.85 --------------------------------------------------------- o Добавлен новый пункт меню Реестр -> Учетные записи (сбросить пароль/активировать)... Пункт доступен для неактивных систем, uVS должен быть запущен под LocalSystem. Доступные операции: 1. Активировать(включить) учетную запись. 2. Сбросить пароль. (пароль = пустая строка) o В дистрибутив добавлен _autorun.zip в нем можно найти .inf для автозапуска StartF с CD/DVD. Запуск происходит с помощью cmd.exe. o Устранены проблемы с запуском regedit-а под WinPE 1.x o Устранены проблемы с отказом в удалении некоторых ключей реестра. (например MountPoints2) o Проверка цифровой подписи или нажатие кнопки "проверен" теперь снимает с файла статус "вирус". o Уменьшена вероятность ложного детекта Sality.* o Списки известных файлов для некоторых систем скорректированы. --------------------------------------------------------- 2.84 --------------------------------------------------------- o Ускорена функция восстановления файлов для младших систем. o Добавлена новая категория "С сетевым путем". o В список просматриваемых ключей добавлено 3 ключа реестра. o Категория "Запускался неявно или вручную" теперь работает при проверке неактивных систем. o Исправлена функция "Открыть каталог где находится файл". o Исправлены проблемы с окном выбора ключа для восстановления. o Пополнен список путей часто используемых зловредами. --------------------------------------------------------- 2.83 --------------------------------------------------------- o Добавлена новая функция - автоопределение длины сигнатуры по другому зараженному файлу. При выборе файла следует указать файл зараженный тем же вирусом, но отличный от того файла, что был использован при получении сигнатуры. Если длина сигнатуры окажется меньше 4-х байт, то п.н. вирус полиморфный и детектирование его будет сопровождаться большим количеством ложных срабатываний. (см. контекстное меню сигнатуры). o Добавлены функции монтирования и демонтирования WIM файлов. (см. меню "Бэкап") Для восстановления испорченных системных файлов Vista и старше из дистрибутива Windows. Для смешанных дистр. монтировать нужно \SOURCES\install.wim с индексом 1 для x86 и с индексом 2 для x64. (!) Требуется System32\dism.exe. o Улучшена функция восстановления файлов из дистрибутива/хранилища. 1. В качестве пути до дистрибутива можно использовать каталог с чистыми файлами с произвольной разбивкой на подкаталоги. В т.ч. подходит и каталог Windows чистой системы аналогичной версии и смонтированный дистрибутив Vistа/Seven. 2. Поиск производится рекурсивно до обнаружения файла правильной версии и разрядности. 3. В случае если файл не обнаружен и система 2k/2k3/XP производится поиск упакованного файла и его распаковка при наличии expand.exe. (!) Если разрядность распакованного файла не соотв. разрядности исходного файла замена файла не производится. (!) Если версия распакованного файла не соответствует версии исходного файла то решение о замене файла принимает пользователь. o В дистрибутив включен файл _unlock.inf Файл предназначен для снятия блокировки запуска exe/bat/cmd, разблокирования системных утилит и настроек. Файл вносит изменения в реестр даже если блокирован regedit.exe Применять его следует только если блокирован запуск StartF.exe, затем реком. запустить StartF. o Улучшена функция разбора сложных путей до исполняемых файлов с параметрами. o Улучшен разбор параметров cmd.exe. o Улучшена поддержка x64 систем. o Значительно повышена надежность детекта Sality.*, убрано окно с предупреждением, файлы сразу добавляются в подозрительные. o Оптимизирована функция ожидания ответа/запроса при работе с удаленной системой, уменьшен входящий сетевой трафик на 8% (при ожидания исполнения запроса серверной частью). o _Значительно_ ускорено открытие окна информации о файле/объекте. Ссылки на файл/объект теперь кэшируются при обновлении списка со всеми вытекающими. (!) Побочный эффект: формат файла сверки изменен. o При работе с удаленной системой стала доступна возможность перехода по ссылкам в реестре. Для этого в Regedit-е подключите реестр удаленного компьютера. (!) Имя/ip компьютера должно быть идентично тому что было указано при старте uvs. o Вирусы теперь выделяются в списке цветом. (см. меню "Настройка") o Добавлен новый статус "ИСПОРЧЕН". Файл с таким статусом п.н. испорчен вирусом, т.е. НЕ_инфицирован, а именно испорчен. o Улучшена обработка ошибок при чтении секторов с физического диска. o Пополнен список путей часто используемых зловредами. o Исправлена функция редактирования сигнатур, при проверке удаленной системы серверная часть не информировалась об изменении сигнатуры. o Восстановлена работоспособность 4-го метода завершения процессов. Метод перестал работать начиная с некоторой версии uVS, скорее всего после смены среды разработки. o Удален второй метод завершения процессов за бесполезностью при использовании 3-го и 4-го метода. Соотв. повышена совместимость с софтом где криво реализована самозащита. o Исправлена ошибка при сортировке по статусу. o Создано зеркало оф. сайта http://dsrt.dyndns.org --------------------------------------------------------- 2.82 --------------------------------------------------------- o Добавлен новый пункт меню "Реестр". Функции из него доступны для всех режимов. o Новая функция "Выбрать каталог с копией реестра..." По умолчанию выбран %windir%\repair (для Vista и старше нужно всегда указывать каталог) С помощью этой функции можно указать источник откуда будут брать данные функции восстановления. o Новая функция "Восстановить из копии ключ SafeBoot" Функция восстанавливает работоспособность Безопасного режима. Ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot o Новая функция "Восстановить из копии ключ Explorer-а" Ключ: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer o Новая функция "Восстановить из копии ключ Internet Explorer-а" Ключ: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer o Новая функция "Выбрать и восстановить из копии ключ..." Ключ: Любой из SOFTWARE или SYSTEM со всеми подключами и правами доступа. o Функция "Проверить подпись файла..." теперь работает и с удаленной системой. Окно выбора файла заменено и соотв. теперь нет ограничений для x64 систем. o Добавлена поддержка файловых потоков для NTFS разделов. Функция "Проверить каталог" теперь находит в выбранном каталоге исполняемые файловые потоки и проверяет их. Для файловых потоков поддерживаются все функции применимые к файлам. o Добавлена новая функция "Поиск файловых потоков в каталоге...". Все файловые потоки найденные в указанном каталоге добавляются в подозрительные. o Добавлена новая функция "Поиск исполняемых файловых потоков в каталоге...". Исполняемые файловые потоки найденные в указанном каталоге добавляются в подозрительные. o Добавлена новая категория "Запускался неявно или вручную" В категорию попадают _некоторые_ файлы запускавшиеся в _прошлом_ неявно, либо вручную. Область применения: выявление источника заражения. (!) Только для активных и удаленных систем. (!) Когда запускался тот или иной файл неизвестно, в список попадают НЕ (!) все файлы, что были когда-то запущенные вручную. (!) Для Vista и старше актуальность списка меньше, чем для XP. o Модифицирована функция восстановления из дистрибутива. Теперь можно указывать не только на дистрибутив, но и на каталог с чистыми файлами. Если при выборе пункта меню удерживать нажатым Ctrl, то всегда будет предлагаться выбор каталога с файлом или дистрибутивом. o При выходе из uVS проверяются Start и Startf и в случае если они заражены происходит их автоматическое восстановление. o Расширен список объектов для сверки. Теперь сверяются все файлы/потоки присутствующие в списке. Дополнительно добавлена возможность сделать файл сверки всех_исполняемых_файлов на системном диске. o Очистку лога теперь можно производить вручную. (контекстное меню -> первый пункт) o Добавлена возможность выгружать некоторые драйвера. o Добавлена функция обнаружения файлов с сигнатурами сходными с сигнатурами семейства файловых вирусов Sality. (функция исполняется при массовом считывании производителя файлов в т.ч. по F3) Найденные файлы можно пометить как подозрительные, либо нажать кнопку "Отменить" для отключения функции. Функция не гарантирует 100% результата, в список могут попасть чистые файлы. o Добавлены функции работы с буфером обмена. o Добавлен новый метод предотвращения зацикливания при сканировании каталогов содержащих junction/symlink. o Реализовано запоминание последнего каталога для всех режимов работы в окне выбора файла/каталога. o Отключены излишние проверки в функции "Проверить каталог". o Теперь при помещении файла в ZOO ему присваивается доп. расширение "---", для исключения случайного запуска. o Упрощена работа с файлами с сетевым путем, что может значительно ускорить обновление списка в некоторых случаях. o Функция "Очистить корзину и каталоги профилей пользователей от временных файлов" теперь выводит подробную информацию о своей деятельности в лог. o В функциях массовой выгрузки процессов KAV.EXE больше не выгружается... _если_ файл имеет цифровую подпись и проверка подписи прошла успешно. (Исключение сделано для предотвращения падения системы). o Исправлена ошибка при доступе к заблокированным файлам, иногда приводящая к аварийному завершению. o Исправлена ошибка отказа копирования ключей реестра под Win2k. o Исправлена ошибка определения пути к некоторым драйверам в режиме проверки неактивной системы. o Исправлена ошибка проверки цифровых подписей всех файлов в списке под x64. (для некоторых файлов подпись не проверялась) o Исправлено кэширование списка проверенных файлов. (кэш очищался при переходе в категорию "Файлы без проверенной подписи") o Исправлена ошибка разбора ключей реестра в которых используется в качестве разделителя пробел и запятая одновременно. (например Appinit_Dlls). o Исправлены ошибки. --------------------------------------------------------- 2.81.1 --------------------------------------------------------- o Start и StartF теперь UAC-aware. (для Vista и старше). o Исправлена опечатка в меню. --------------------------------------------------------- 2.81 --------------------------------------------------------- o Категория "Вирусы" объединена с категорией "Подозрительные и вирусы". o Добавлена новая категория "SVCHOST" в нее попадают соотв. сервисные DLL. Неизвестные и непроверенные файлы в этой категории редкость, соотв. стоит обратить на них внимание. (!) Теперь при удалении ссылок на сервисную DLL хостом которой является SVCHOST выдается (!) предложение удалить и саму службу. (конечно без удаления svchost.exe) o Оптимизирована и исправлена функция поиска и загрузки профилей пользователей. o Из StartF удален второй метод завершения процессов, что несколько ослабит давление на защищенные процессы. В частности теперь нет конфликта с KIS 2010. В самом uVS 2-й метод сохранен, а для безопасной выгрузки неизвестных процессов добавлена спец. функция с проверкой цифр. подписей. o Добавлена новая функция: "Выгрузить ВСЕ неизвестные/непроверенные процессы и блокировать запуск служб" Это наиболее мягкая функция выгрузки процессов, перед выгрузкой происходит сканирование цифровых подписей (если это нужно), известные файлы и файлы с проверенной цифровой подписью НЕ выгружаются. o Добавлена новая функция: "Выгрузить ВСЕ процессы и блокировать перезапуск оболочки и запуск служб" Активными остаются лишь необходимые для работы системы процессы и те что не удалось выгрузить. (!) Функция предназначена для организации запуска антивируса в условиях поражения системы (!) _известным файловым вирусом блокирующим антивирусы. (!) Разблокировать перезапуск оболочки можно в меню "Дополнительно". (!) В x64 системах запуск 64-х битных служб НЕ блокируется. o Добавлена новая функция в контекстное меню файла: "Проверить и восстановить файл если это необходимо" (!) Функция доступна для Vista и старше при проверке активных и удаленных систем. (!) Для восстановления используется системная утилита SFC.EXE с ключом /SCANFILE. o Добавлена новая функция в контекстное меню файла для всех режимов работы: "Установить нормальные атрибуты файла" o Добавлен новый пункт меню Сеть. В этот пункт перенесена функция "Установить программу/патч от имени активного пользователя (ждать завершения)" Напоминаю что функция копирует указанный файл в удаленную систему, запускает его и ЖДЕТ завершения. Основная область применения: установка патчей и программ удаленного администрирования без участия пользователя. o Добавлены новые функции: "Выполнить в проверяемой системе от имени активного пользователя" "Выполнить в проверяемой системе от имени пользователя под которым запущен uVS" Функции доступны для активной и удаленной системы. Если для удаленной системы запуск под активным пользователем невозможен (не было входа) то запуск происходит под учеткой SYSTEM. Основная область применения: Борьба с известными полиморфными файловыми вирусами (в т.ч. удаленно), а именно обеспечение запуска чистой копии антивируса при выгруженном эксплорере. (!) Под активным пользователем понимается тот под которым был произведен вход в систему. o Улучшена функция "Очистить корзину и каталоги профилей пользователей от временных файлов" Дополнительно функция удаляет все ИСПОЛНЯЕМЫЕ файлы (по формату) из каталогов "Cookies". o Добавлены в список несколько модулей загружаемых при старте Windows. o В окне информации о файле добавлена поддержка клавиши Enter (переход по тек. ссылке) o Блокирование (пере)запуска служб отключено при проверке неактивных систем. o Разрешено непосредственное сканирование каталога Zoo, а при сканировании внешних каталогов Zoo пропускается как и прежде. o Исправлена проблема с записью сигнатур/известных модулей в файлы с установленным флагом R/O. o При проверке цифровых подписей в неактивной системе теперь выдаются предупреждения на отсутствие цифр. подписи для всех _известных_ SYS и EXE. (!) Рекомендуется предварительно загружать каталог цифр. подписей неактивной системы. o Улучшена работа с сигнатурами. o Добавлена проверка базы известных файлов. o Исправлен start.exe иногда не нажимались выбранные кнопки по Enter-у. o Бесполезные при борьбе с руткитами пункты меню "Руткиты" перенесены в меню "Тесты". o Исправлены ошибки. --------------------------------------------------------- 2.80 --------------------------------------------------------- o Теперь uVS может работать с заблокированными файлами. [Без разблокировки, не нарушая работу приложений блокировавших эти файлы] Поддерживаемые файловые системы: o FAT12 (без ограничений) o FAT16 (без ограничений) o FAT32 (без ограничений) o exFAT (без ограничений) o NTFS (для файлов _меньше_ размера кластера (обычно 4Kb) функция _может_ не работать) (для сжатых файлов функция не работает) (для зашифрованных файлов функция не работает) Доступные операции: o копирование файла в Zoo o считывание сигнатуры o проверка сигнатуры o получение информации о файле o проверка цифровой подписи o Новая функция: "Тест на скрытое заражение активных файлов и всех файлов в автозапуске" Функция предназначена для выявления скрытого заражения файлов, эффективна против простых руткитов и активных файловых вирусов скрывающих заражение на уровне API. (см. меню Руткиты) o StartF модернизирован и теперь способен выгружать процессы с дырявой защитой от завершения и столь же дырявой защитой от обнаружения. (используется 3 метода завершения процессов) (!) Startf выгружает все неизвестные процессы в т.ч. и антивирусы/фаеры с хилой самозащитой. (!) Если вы самостоятельно добавили нек. антивирус в известные, то он не пострадает в процессе. (!) Однако следует учитывать что внесение доп. модулей в известные несет в себе нек. риск. (!) Не стоит запускать StartF при _нормально_функционирующем_ KIS 2010 это может привести (!) к зависанию системы. o Новая функция: "Выгрузить ВСЕ неизвестные процессы и блокировать запуск служб" Функция более мощная чем то что встроено в StartF, добавлен 4-й метод завершения защищенных процессов (используется внедрение кода, только для 32-х битных систем). Функционал специально ограничен, _принуждение_ процессов к _аварийному_ завершению не производится. (см. Меню дополнительно) (!) Разблокировать запуск служб можно с помощью новой гор. клавиши Ctrl+B (!) Антивирусы/фаеры могут быть полностью выгружены или потерять часть своих процессов. (!) Не стоит использовать эту функцию при _нормально_функционирующем_ KIS 2010 это может привести (!) к зависанию системы. o uVS теперь использует аналогичный StartF механизм завершения процессов. Если процесс защищен и от 4-го метода завершения, то это уже свидетельствует о наличии драйвера защищающего процесс, соотв. стоит сделать файл сверки и загрузится в WinPE для сверки и лечения. (!) 4-й метод выгрузки используется автоматически при обнаружении хорошо защищенных процессов. o Функция сверки улучшена - теперь в файл сохраняются MBR всех физических дисков, все загрузочные сектора логических дисков (при сверке сравнивается лишь исполняемый код) и сигнатуры загрузчиков. (поддерживается FAT12/16/32, NTFS и exFAT) В случае если при сверке будут обнаружены различия между сохраненным и реальным сектором то будет выдано предупреждение о наличии заражения и предложение сохранить оба сектора в отдельные файлы. MBR сохраняется в каталоге uVS под именами MBR_id_SAVED.bin (сохраненный) и MBR_id_INFECTED.bin. Для загрузочных секторов имена файлов будут BOOT_X_****_Y.BIN (Х - текущее имя, Y сохраненное) (!) Формат файла сверки изменился, старые версии не смогут работать с новым форматом. (!) Способы удаления бутовых руткитов кратко описаны в документации. o Расширена функция извлечения сигнатур - теперь сигнатуры извлекаются и из COM-файлов. o Новая горячая клавиша Ctrl+B - блокирует/разблокирует запуск служб. o Новая горячая клавиша Ctrl+P - изменяет режим сканирования процессов. В альтернативном режиме в списке процессов отображаются обычные и плохо скрытые процессы. o В функцию автообнаружения зараженных файлов добавлен тест на скрытое заражение. o Новая функция в контекстном меню файла: "Лишить файл статуса "исполняемого файла"" Функция меняет первые два байта файла (IMAGE_DOS_SIGNATURE) с "MZ" на "UV", после чего файл не может быть исполнен/загружен. Функция предназначена для запрета исполнения/загрузки защищенных файлов при следующей перезагрузке. (До сброса кэша Windows изменения в файле не влияют на его способность к исполнению) (Если же файл не защищен от записи то файл потеряет статус исполняемого немедленно) (!) Если вы хотите извлечь из файла сигнатуру то делайте это ДО данной операции. (!) Прямая запись на диск возможна лишь при проверке активной системы младше Vista. o Новая функция в контекстном меню файла: "Восстановить файл из дистрибутива". Функция доступна для системных файлов в каталоге Windows только для активной и неактивной системы. Функция поддерживается только для младших систем: Win2k, WinXP, Win2k3. При первом использовании нужно указать каталог i386/AMD64 дистрибутива. (!) Требуется expand.exe либо в \System32, либо в каталоге запуска uvs. o Функция "Очистить категорию от ссылок на неизвестные объекты" переименована в "Безопасное удаление ссылок на ВСЕ отсутствующие объекты" и ссылка на нее вынесена в меню "Дополнительно". (функция теперь не удаляет ссылки на отсутствующие службы SafeMode) o Категория "SYSTEM.INI" переименована в "SYSTEM.INI и Загрузчики" В категорию теперь попадают загрузчики со всех лог. дисков (NTDETECT.COM, NTLDR, BOOTMGR и т.д.) (!) Чистые загрузчики могут иметь внешнюю цифровую подпись Microsoft. (!) Для проверки подписей загрузчиков неакт. систем нужно загрузить каталог внешних цифр. подписей. o В автозагрузку добавлены важные системные файлы (в т.ч. и загрузчики), которые не имеют ключей автозапуска. (для более полного охвата важных файлов при сверке автозапуска). o Недоступные файлы с сетевым путем исключены из категории отсутствующих. o Улучшена работа с чужими .NET компонентами эксплорера. o НЕизвестные и НЕпроверенные модули использующие ключ Appinit_Dlls теперь автоматически попадают в категорию подозрительных. o В список для проверки добавлено 2 группы ключей. o Исправлены ошибки. --------------------------------------------------------- 2.71 --------------------------------------------------------- o Добавлена расшифровка ошибок при подключении к реестру неактивной системы. o Добавлена новая функция "Очистить корзину и ВСЕ профили пользователей от временных файлов". (в т.ч. и для удаленных и неактивных систем) Очистка диска от мусора средствами uVS (рекомендуется выполнять перед сканированием дисков). o Добавлен твик "Отключить восстановление системы". o Модифицирована процедура проверки скриптов. o Модифицирована функция удаления файлов для защиты от перехвата соотв. функций API. o При проверке неактивной системы добавлен анализ переменных: %ALLUSERSPROFILE% (генерируется реальный путь на основе разбора D&S/Users) %USERPROFILE% (перебираются все профили пользователей до обнаружения файла) %APPDATA% (перебираются все профили пользователей до обнаружения файла) o Слегка модифицирован startf, теперь он завершает и примитивно скрытые процессы. o Для полного отключения автозапуска больше не нужна перезагрузка. o Добавлена полноценная обработка фильтров для классов устройств. o Ссылки на несуществующие службы теперь попадают в категорию отсутствующих объектов. o В контекстное меню в категории отсутствующих добавлена команда: "Очистить категорию от ссылок на неизвестные объекты" (в т.ч. и для удаленных и неактивных систем) Функция предназначена для быстрой и БЕЗОПАСНОЙ зачистки хвостов оставшихся после "лечения вирусов" хилым антивирусом не_желающим удалять за собой ссылки в реестре на удаленные _им_же_ файлы, что иногда приводит к неспособности системы к нормальной загрузке после такого "лечения вирусов". (!) НЕ_стоит бездумно удалять ручками то, что НЕ удалила эта функция, (!) это может привести к отказу к загрузке в безопасный режим. (!) Если в этом списке останутся удаленные ИЗВЕСТНЫЕ файлы (например в процессе удаления руткитов) (!) то их следует восстановить из дистрибутива. (!) Некоторые известные файлы изначально отсутствуют в системе, их восст. не требуется, (!) но и удалять вручную ссылки на них НЕ_рекомендуется. o В список для проверки добавлен 1 ключ реестра. (для MSIE) o Пополнены списки известных файлов. o Пополнен список путей запуска часто используемых зловредами. o Исправлена ошибка при очистке значения "Scrnsave.exe" отвечающего за тек. скринсейвер. o Исправлены интерфейсные ошибки. --------------------------------------------------------- 2.70 --------------------------------------------------------- o Добавлен новый стартер - startf.exe (!)запускать только при крайней необходимости(!) Совместим с x86/x64 системами. Этот файл обладает иммунитетом к некоторым видам троянов, блокирующих запуск любых процессов и соотв. способен запуститься, когда запуск других приложений заблокирован. При запуске он блокирует: o внедрение библиотек с помощью реестра в запускаемый процесс o запуск и перезапуск служб и (!) выгружает все НЕизвестные процессы, разрешает запуск редактора реестра и диспетчера задач, после чего запускает start.exe с ключом /d на (чистом рабочем столе), что практически полностью исключает внедрение в uvs посторонних DLL. (!) Startf.exe работает в течении 30 секунд и за это время необходимо запустить сам uvs. (!) Startf должен завершиться самостоятельно, выгружать его насильно не стоит. (!) Перед завершением startf разблокирует запуск служб и снимает запрет на внедрение DLL. (!) До завершения startf не_рекомендуется предпринимать активные действия в uvs. o Добавлена возможность установки каталога внешних цифровых подписей неактивной системы. (см. меню "Цифровые подписи") Установка возможна в т.ч. и в Windows PE 2.x-3.x версий. (тестировалось на WinPE 2.1 (ядро NT 6.0) и WinPE 3.0 (ядро NT 6.1)). Процесс установки обычно не требует перезагрузки системы, но в редких случаях uVS может попросить перезагрузить систему для реиндексации каталога внешних подписей. После установки проверка цифровых подписей идет с использованием установленного каталога и соотв. теперь есть возможность легко выявлять вирусы/руткиты модифицирующие системные EXE/SYS файлы. (достаточно запустить проверку цифровых подписей гор. клавша F6). Каталог не удаляется при выходе из uVS соотв. нет необходимости повторной установки каталога для одной и той же системы. (в случае проверки другой системы каталог следует обновить) Копирование cat файлов всегда производится в отдельный каталог: \System32\CatRoot\{10000000-0000-0000-0000-000000000001}, после чего производится их реиндексация. Удалять эти каталоги самостоятельно не_рекомендуется, для удаления пользуйтесь соотв. пунктом в меню "Цифровые подписи". (!) Для установки каталога необходимо некоторое количество свободного места на системном диске. o Добавлен новый управляющий элемент "Скрыть проверенные". Скрываются файлы с проверенной цифровой подписью. o Управляющий элемент "Скрыть известные" больше не скрывает "проверенные". Но теперь гор. клавиша F1 скрывает и "проверенные" и "известные". (отмечаются/снимаются обе галки одновременно) o Оптимизирована и исправлена процедура удаления ключей. (Для устранения множественных ссылок на удаляемый ключ, в основном касается CLSID и ProgID) o При проверке цифровой подписи добавлена обработка устаревших сертификатов. o Добавлена возможность проверки внутренней/внешней цифровой подписи любого файла. (см. меню "Цифровые подписи") (!) Выбрать отдельный файл из System32 в x64 системе не получится, в силу не_отключаемого (!) системного редиректора для окна выбора файлов. (в будущих версиях окно будет заменено) o Добавлена обработка SymbolicLink-ов, с коррекцией буквы диска для неактивных систем. o В функцию поиска вирусов в каталогах добавлено: o Поддержка SymbolicLink/MountPoint (только для неактивных систем) o Установлена защита от зацикливания. o В список для проверки добавлено 3 ключа реестра. o Оптимизирована обработка MountPoint-ов. o Удалены лишние пункты в контекстном меню для некоторых объектов. o Не_файлы помещены в категорию "скриптов и прочего". o Исправлена ошибка при проверке цифр. подписей в x64 системах связанная с системным редиректором. o Скрыты сообщения о внедренных потоках, если владелец потока известный модуль. (Однако файл как и раньше добавляется в соотв. категорию) o Исправлена ошибка при отображении ссылок. o Файлы библиотек из WinSxS и Assembly больше не причисляются к известным. Для них лишь пропускаются проверки на путь и имена. o Исправлена ошибка в функции проверки каталогов под WinPE. o Исправлена ошибка в функции разбора файла "autorun.inf". --------------------------------------------------------- 2.60 --------------------------------------------------------- o Добавлены функции проверки целостности файла на основе внутренней/внешней цифровой подписи. При проверке _неактивной_ системы проверка внешних подписей сильно ограничена. Функции доступны в контекстном меню файла, в окне информации о файле и в меню "Дополнительно". (!) Проверка ОДНОЙ подписи может занимать несколько секунд, (!) в процессе проверки возможна сетевая активность. o Файлам с верной цифровой подписью временно (до повторной проверки подписи) присваивается статус "проверенного" файла. "Проверенный" файл обладает почти всеми свойствами "известных" файлов. Например скрывается тем же элементом управления. o Добавлена новая категория "Файлы без проверенной подписи". В категорию попадают файлы без цифровых подписей, либо файлы подпись которых не удалось проверить. (!) Категория в данный момент полезна только при проверке активной системы. (!) 100% Актуальность данных в этой категории возможна только если предварительно (!) была произведена сверка автозапуска и все обнаруженные руткиты были удалены. o Start.exe теперь можно использовать с ключом запуска: /d В этом режиме окно запуска отображается на чистом рабочем столе как и сам uVS. (режим чистого рабочего стола, для борьбы с нек. троянами создающими окна верхнего уровня) Для переключения раб. столов доступна горячая клавиша (см. окно с логом). В архив добавлен startd.cmd запускающий start.exe с данным ключом. (!) Варианты запуска uVS в этом случае ограничены. (!) Запускать explorer в этом режиме не_рекомендуется, если вы его все-таки запустили или оставили запущенные программы и вышли из uVS то после выхода из uVS _рекомендуется_ перезагрузить компьютер. (гор. клавиша по умолчанию Alt+Shift+A, клавиша может быть изменена если данное сочетание занято) o В режиме чистого раб. стола в uVS доступна дополнительная функция - определение владельца окна. Если функция активна то при запуске в окне с логом отображается гор. клавиша. Пользоваться довольно просто: переключитесь на обычный рабочий стол, активируйте окно для которого нужно узнать владельца, нажмите сочетание клавиш для определения владельца. При этом произойдет переход в окно uVS и в списке подозрительных будет отмечен соотв. файл. (гор. клавиша по умолчанию Alt+Shift+I, клавиша может быть изменена если данное сочетание занято) o В uVS добавлена функция _временного_ скрытия _перекрывающих_ окон с автоматическим занесением процесса (владеющего окном) в категорию подозрительных файлов. Если окно не_желательное и при этом владелец известный файл то стоит обратить внимание на список неизвестных DLL (в окне информации о файле) и проверить целостность файла. (см. меню "Дополнительно", активируется гор. клавишей F9, только для активных систем) (!) Если функция неэффективна в конкретном случае, то используйте ключ /d для Start.exe. o Добавлена поддержка проверки АКТИВНОГО и НЕАКТИВНОГО Windows XP Prof. x64 и Win2k3 x64. Эти системы имеют серьезные ошибки при работе с внешним реестром x64 систем. Для проверки НЕАКТИВНЫХ x64 систем следует использовать Vista/Win7 x64 или любой 32-х битный NT (в т.ч. и Win2k) или WinPE (абсолютный доступ к реестру без каких-либо ограничений). o Кнопка "Убить все вирусы" теперь оставляет ссылки на ИЗВЕСТНЫЕ файлы (сами файлы уничтожаются), (Для удобства восстановления зараженных системных файлов) Для неизвестных файлов изменений нет. o В контекстное меню добавлен пункт "Удалить только сам файл". Делает попытку удалить файл, если попытка неудачна то файл будет удален после перезагрузки. o Новая горячая клавиша F8. (см. меню "Дополнительно") Управляет положением окна. o Добавлен список km52.x64 для WinXP x64/Win2k3 x64. o Теперь подгружаются профили пользователей Windows Vista (и старше), даже если системный диск имеет имя отличное от оригинального. (для младших систем проблем не было) o Улучшена работа со списком. o Улучшен анализатор автозапуска. o Пополнены списки известных файлов. o Пополнен список путей запуска часто используемых троянами. o Исправлена ошибка иногда приводящая к аварийному завершению при просмотре категории HOSTS. o Исправлены ошибки. --------------------------------------------------------- 2.50 --------------------------------------------------------- o В список для проверки добавлено 79 ключей реестра. o В окне информации о файле даблклик по ссылке на ключ реестра запускает regedit и находит там соотв. ключ. (!) При проверке удаленного компьютера не поддерживается. o В окне информации о файле даблклик по имени файла открывает новое окно информации. o Добавлена новая функция "Установить программу/патч". Функция предназначена для установки патчей/программ на удаленные компьютеры. Запускаемый файл должен быть представлен одним exe-файлом. Можно указать параметры запуска. (!) Запуск ВСЕГДА производится под текущим пользователем. (!) Если активных пользователей нет то запуск не производится. o Теперь в список включены отдельные драйверы/сервисы используемые для запуска в Safe Mode. _Любой_неизвестный_файл_ из этого списка помещается в список подозрительных. o Добавлена категория "Safe mode". В списке отдельные драйверы/сервисы для безопасного режима. o Добавлена категория "Кодеки и фильтры". o Добавлена категория "HOSTS". Хосты из списка можно удалять. o Добавлена категория "Сервисные модули". В категорию попадают DLL загружаемые с помощью ключа ServiceDLL. o Добавлена поддержка задач планировщика. (задачи считываются без привлечения средств windows) o Добавлена категория "Задачи". В категорию попадают файлы на которые ссылаются задачи планировщика. o При проверке удаленного компьютера теперь доступна команда "Открыть каталог где находится файл". o Категория "Отсутствующие файлы" переименована в "Отсутствующие объекты". В категорию попадают(кроме файлов) отсутствующие CLSID/ProgID и т.д. o Добавлена разблокировка некоторых параметров в меню "Дополнительно". (работает применительно к проверяемой системе и ВСЕМ ее пользователям одновременно) o Улучшен алгоритм обработки параметров rundll32 и regsvr32. o Улучшен алгоритм обнаружения подозрительных файлов. o Улучшен алгоритм обработки CLSID. o Пополнены списки известных файлов. o Исправлены ошибки. --------------------------------------------------------- 2.21 --------------------------------------------------------- o Добавлена колонка "производитель", с возможностью сортировки. o Добавлена новая опция запуска - Автоматически считывать "производителя" и сигнатуры файлов. Опция управляет автозаполнением колонки "Производитель" при обновлении списка, дополнительно производится проверка файла. НЕ_рекомендуется использовать автосчитывание для всех файлов при подозрении на файловый вирус. (Включить автосчитывание для _всех_ файлов в uVS можно вручную [Ctrl+F3]) При автозаполнении колонки "производитель" время обновления списка значительно возрастает. Для файлов в Zoo и подозрительных производитель _всегда_ считывается автоматически. o Добавлена новая категория - "Файлы без производителя". В категорию попадают _найденные или активные_ файлы с отсутствующим производителем. o Добавлен флаг "Скрыть отсутств. и с произв." Если флаг установлен то из списка скрываются отсутствующие файлы и файлы с присутствующим производителем. (Горячая клавиша F2) o Добавлена новая категория - "Скрипты(vbs/bat/cmd) и прочее". В категорию попадают файлы не имеющие в заголовке файла Magic number соотв. исполняемому файлу. Т.е. *.bat/*.vbs/*cmd/*.class и т.п. файлы присутствующие в списке. (!) При выборе этой категории производится сканирование всего списка. (считывается информация о производителе и сигнатуры) o Добавлена возможность сортировки по статусу. o Оптимизирован алгоритм определения похожего имени. o Start.exe теперь сохраняет флаги запуска в файле settings.ini. o Добавлены новые горячие клавиши: Ctrl+S - Сохранить список. F2 - Скрывать файлы с указанным в информации о файле производителем. Отсутствующие файлы тоже скрываются. F3 - Считать "производителя" и сигнатуры для всех файлов в списке. (для которых они еще не считаны) Ctrl+F3 - Включить автосчитывание "производителя" и сигнатур для всех файлов в списке. o Удален статус в категории "Список известных" за бесполезностью. o Пополнены списки известных файлов. o Исправлены ошибки. --------------------------------------------------------- 2.13 --------------------------------------------------------- o Добавлена возможность импортировать базы вирусных сигнатур из файлов sgnz. (Меню Бэкап) o Добавлена возможность запускать uvs под LocalSystem в Vista и Win7. o При подключении по сети к Vista/Win7 теперь доступна категория "Процессы без видимых окон". o Оптимизирован процесс выгрузки процессов/модулей из памяти. --------------------------------------------------------- 2.12 --------------------------------------------------------- o Исправлена функция "Добавить вирус" В режиме проверки активной/неактивной системы выпадало окошко с ошибкой, хотя сигнатура добавлялась в базу. o Исправлен счетчик удаленных объектов автозапуска. При удалении ссылок вместе с файлами счетчик мог показывать неверное кол-во удаленных объектов. o При обработке autorun.inf не обрабатывалась команда ShellExecute. o Расширенная обработка ошибок работы с реестром. Номера ошибок заменены соотв. текстом. o При невозможности открыть/удалить/изменить ключ реестра (или файл) теперь в лог добавляется соотв. сообщение. --------------------------------------------------------- 2.11 --------------------------------------------------------- o Оптимизированы и значительно уменьшены списки известных файлов. o Изменен способ обработки модулей из WinSxS и Assembly. o Обновлен список каталогов автозапуска часто используемых троянами. --------------------------------------------------------- 2.10 --------------------------------------------------------- o В окно информации о файле добавлен список ссылок на файл (ключи в реестре, линки, поэтому окно информации теперь открывается несколько дольше) o Для подозрительных файлов с именем файла похожим на имя известного файла в окне информации теперь указывается имя известного файла с похожим именем. o Изменен режим запуска uvs при подключении по сети. Имя пользователя теперь используется только для подключения к удаленному компьютеру, запуск интерфейсной части uvs осуществляется под тек. пользователем, запуск на удаленном компьютере под LocalSystem. o Если в адресное пространство uvs внедрена некоторая DLL то теперь при ее выгрузке добавлена возможность выгрузки ее и из uvs. (даже если при старте не был отмечен соотв. флаг) Внимание! Принудительная выгрузка _необходимых_для_работы_uvs_DLL_ может привести к аварийному завершению. o Добавлено несколько новых ключей автозапуска. o Обновлены списки известных файлов. o Исправлены ошибки. --------------------------------------------------------- 2.02 --------------------------------------------------------- o Исправлен модуль usvc, отсутствие базы сигнатур sgnz препятствовало работе с удаленным компьютером. --------------------------------------------------------- 2.01 --------------------------------------------------------- o Исправлена ошибка отказа записи в реестр при удалении некоторых системных модулей из автозапуска. --------------------------------------------------------- 2.00 --------------------------------------------------------- o Новый режим запуска для проверки удаленного компьютера. Требуется полный доступ к имя_или_ip_компьютера\ADMIN$ Предварительная установка клиента НЕ требуется, uvs проникнет на удаленный компьютер самостоятельно. Список сигнатур и известных модулей синхронизируется. Помещение файла в Zoo производится на компьютер осуществляющий проверку. На удаленном компьютере активность uvs визуально не проявляется т.е. лечение осуществляется без помех со стороны пользователя и отрыва его... от пасьянса. По завершении работы файлы на удаленном компьютере удаляются, каталог и исполняемый файл удаляются после рестарта. В этом режиме поддерживаются почти все операции, как и при проверке активных/неактивных систем. (!)Наличие проактивной защиты на удаленном компьютере может стать препятствием для внедрения uvs в удаленную систему. o Изменено окно выбора каталога. В режиме проверки удаленного компьютера это окно отображает каталоги на удаленном компьютере. Гор. клавиши: Enter - войти в каталог Backspace - вернуться в род. каталог Ctrl+Enter - выбрать каталог. o Изменено окно информации о файле. Окно теперь автоматически разворачивается на весь экран. В случае 32-битного процесса/сервиса доп. отображается список загруженных DLL с делением на известные и неизвестные. o Сжаты файлы известных модулей (2.5x) o Добавлена поддержка извлечения сигнатур из 64-х разрядных исполняемых файлов. o Добавлена поддержка автозапуска x64 систем. o Работа с автозапуском неактивной x64 системы возможна из x86 системы и наоборот. o Поддерживается бэкап и восстановление реестра для x64 систем. o Добавлен список известных файлов для Vista x64 и Windows 7 x64. o Получение ссылок из LNK/PIF теперь происходит без помощи средств Windows. (позволяет получать _правильные_ ссылки на файлы для неактивных систем) o Добавлен механизм обнаружения исполняемых файлов замаскированных под LNK/PIF. o Файлы без пути удалены из списка подозрительных. o Ускорена работа со списками. o Уменьшено кол-во необходимых для запуска DLL. o Оптимизирован и значительно ускорен процесс удаления из списка известных файлов. (гор. клавиша Del) o ESC больше не закрывает uvs. o Исправлены ошибки. --------------------------------------------------------- 1.71 --------------------------------------------------------- o Обновлен список путей используемых троянами для автозапуска. o Исправлена ошибка разбора файла сверки. --------------------------------------------------------- 1.70 --------------------------------------------------------- o Функции сверки объектов автозапуска теперь дополнительно сверяют сигнатуры и размеры файлов. (позволяет выявлять руткиты замещающие/заражающие известные файлы автозапуска и скрывающие факт подмены файла от пользователя) o Изменена функция трансляция имен дисков, теперь соотв. устанавливается правильно даже если порядок имен дисков не соотв. порядку дисков в исходной системе. (В т.ч. и под WinPE при наличии нескольких жестких дисков). o Исправлены ошибки. --------------------------------------------------------- 1.65 --------------------------------------------------------- o На 25% увеличена скорость сбора информации об автозапуске. o Исправлен алгоритм обработки неявного автозапуска. o Добавлены категории содержащие плагины FireFox и Opera. o Добавлена ограниченная поддержка x64 систем. (только как неактивных систем и без списков известных файлов) o Исправлены другие ошибки. --------------------------------------------------------- 1.60 --------------------------------------------------------- o Теперь uVS полностью совместим с NT6.1 (Win7) (если включен UAC, то запускать нужно в административном режиме) o Добавлен новый раздел "Сетевая активность". В этот раздел попадают процессы взаимодействующие с сетью по TCP/UDP протоколам. Поддерживается IPv4 для всех систем и IPv6 начиная с WindowsXP SP2. o Появилась возможность добавлять все исполняемые файлы из заданного каталога в "известные". o Пополнены списки известных модулей. o Исправлены интерфейсные ошибки. --------------------------------------------------------- 1.50 --------------------------------------------------------- o В подозрительные добавляются неизвестные исполняемые файлы с двойным расширением. o Добавлена функция выявления неявного запуска. o Исправлена ошибка при обработке некоторых LNK-файлов. o Добавлен детектор поврежденных и фальшивых LNK/PIF файлов. o Добавлен опциональный детектор исполняемых файлов с необычными для них расширениями. (Только при проверке каталогов) o Добавлена новая категория "Линки с ссылками на отсутствующие файлы". Категория заполняется при сканировании автозапуска и пополняется при ручной проверке. o Добавлена новая категория "Откл. сервисы". В категории находятся исполняемые файлы для которых отключен запуск. (Start=4) В общем списке сервисов этих файлов нет. o Добавлена новая категория "Откл. драйверы". В категории находятся драйверы для которых отключен запуск. (Start=4) В общем списке драйверов этих файлов нет. Если файл _откл._ драйвера отсутствует на диске, то он НЕ попадает в категорию отсутствующих файлов. (сделано это дабы не захламлять категорию бесполезной информацией). o Реализована проверка автозапуска профилей всех пользователей. (даже если профиль не загружен) o Поддерживается работа в WinPE 2.1 o Новый способ запуска с выбором каталога Windows неактивной системы. (при загрузке с CD/DVD/Flash [WinPE], из под второй системы или при подключении винта) Все буквы дисков должны идти в том же порядке, что и в оригинальной системе, иначе процесс трансляции имен дисков в uVS будет работать некорректно. Например: если диски были С, D, E то K, L, M - допустимый порядок, а D, I, J недопустимый. (!) В WinPE с несколькими винтами на борту порядок дисков будет отличаться от правильного. (!) uVS тестировался в WinPE 2.1, совместимость с младшими версиями WinPE неизвестна. Трансляция букв дисков в произвольном порядке будет реализована в будущих версиях uVS. o Бэкап реестра неактивных систем. o Восстановление и дефрагментация реестра неактивных систем. (Сперва бэкап, затем восстановление). o Добавлена возможность поиска скрытых объектов автозапуска. Предварительно необходимо загрузиться в проверяемую систему и сделать в uVS файл сверки (Меню "Руткиты"). Затем нужно загрузиться в чистую от вирусов систему и выбрать каталог проверяемой системы, запустить uVS и в меню "Руткиты" выбрать соотв. пункт. (!)Порядок дисков важен как и в пред. пункте. o Увеличено число сканируемых ключей автозапуска и расширен список ключей для которых возможно восстановление изначальных значений. o Пополнены списки известных модулей. o Добавлен пункт меню "Запустить". Запуск программ производится от имени пользователя под которым стартовал сам uVS. o Исправлены ошибки.