программа для обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.
Universal Virus Sniffer (uVS) - программа для обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов. предназначен для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов, как непосредственно в зараженном Windows, так и для лечения неактивных и удаленных систем. Возможностей у uVS хватает вполне: вы сможете восстанавливать и дефрагментировать реестр; вести работу с неактивными системами; также имеется возможность работать с удаленными машинами, причем устанавливать на них программу не нужно; присутствует автоматическое определение файловых вирусов; если присутствует скрытый автозапуск какого-либо приложения, вы будете уведомлены об этом, это лишь часть основных возможностей. ВНИМАНИЕ!!! программа не для начинающих. После сканирования она выдаёт список "вирусов и подозрительных файлов", поэтому если удалить не глядя какой-либо "вирус" или "подозрительный" файл в системе, то это может привести к негативным последствиям, поэтому каждый файл необходимо тщательно перепроверять. (3.34 MB , бесплатно, Русский язык: есть) информация о релизе:Дата выхода: 2018 Разработчик: Dmitriy Kuznetzoff Интерфейс: Русский Состояние: Бесплатно Платформа: Windows XP/Vista/7/8/8.1/10/WinPE
1. Антивирусы vs вирусы 1. Антивирус- совершенно необходимое ПО, позволяющее сколько-нибудь нормально функционировать ОС Windows в условиях постоянного подключения компьютера к Сети. Однако даже все существующие антивирусы вместе не способны обеспечить 100%-ю защиту системы, более того ни один из антивирусов не способен корректно устранить активное заражение. Дело даже не в том, что вирус может сильно испортить реестр или запретить запуск антивируса, дело в автозапуске, антивирусы редко удаляют ссылки на вирусные модули в реестре, что иногда приводит к неспособности "вылеченной" системы к нормальному запуску. А в случае лечения системы с LiveCD на реестр просто не обращают внимания, что приводит к совсем уже печальным последствиям. 2. Антивирусы - реакция на новые вирусы К сожалению сегодня подавляющее большинство антивирусных компаний не способно анализировать и своевременно пополнять антивирусные базы из-за огромного потока "вирусов" присылаемых на анализ. Иногда с момента рождения вируса проходит несколько недель и даже месяцев прежде чем он будет проанализирован и внесен в базу. Соотв. миллионы зараженных компьютеров с установленным антивирусом текущая реальность. 3. Проактивная защита Казалось бы это панацея... однако безжалостное потребление ресурсов, требования к уровню подготовки пользователя, бесконечные глюки и просто раздражение от игры в вопросы-ответы полностью перекрывает все достоинства проактивной защиты. 4. Что же делать если система поражена неизвестным вирусом? Контроль автозапуска. Как известно большинство вирусов используют автозапуск для возобновления своей работы в системе. Соотв. контроль автозапуска - это ключ к успешной борьбе с основной частью вирусов и руткитов, что и делает проактивная защита в частности, однако проактив практически бесполезен если система была заражена неизвестным вирусом способным противодействовать антивирусам. 5. UVS - обнаружение и уничтожение неизвестных вирусов/руткитов Если вам не помог антивирус то поможет UVS. 1. Сбор информации о системе. UVS сканирует реестр, каталоги и файлы автозапуска, линки и строит довольно полный список объектов автозапуска, позволяя пользователю быстро обнаружить и затем уничтожить тело вируса. 2. Анализ автозапуска. UVS не только собирает информацию, но и проводит простой анализ объектов автозапуска: анализируются пути запуска, имена файлов, атрибуты, время создания и изменения, особое внимание уделяется ключам реестра часто используемых вирусами и т.д. В результате пользователь получает небольшой список подозрительных файлов, часть из которых может оказаться вирусами. 3. Фильтрация автозапуска. Автозапуск разбивается на категории в т.ч. особо интересные в плане поисков неизвестного вируса. Например "Сетевая активность", "Неизв. модули в известных процессах", "Процессы без видимых окон". Кроме того можно скрыть из списка известные файлы, что сразу в разы сокращает поле для поисков (гор. клавиша F1). Дополнительно можно скрыть все файлы имеющие дату создания/изменения меньше даты предположительного заражения, что сократит кол-во элементов уже в десятки раз. 4. Найден файл похожий на вирус, что дальше? Читаем файл "_Как быстро найти неизвестный вирус.txt" 5.Сигнатура вируса. UVS имеет уникальную способность самостоятельно извлекать сигнатуры из исполняемых модулей и затем находить все их копии и моды. Пользователь может внести сигнатуру в базу и последовательно, а главное быстро залечить набор компьютеров пораженных одинаковым набором вирусов. Единственное, что задает пользователь - это длина сигнатуры и ее имя. Длина фактически есть чувствительность поискового движка чем больше длина тем меньше вероятность случайного совпадения сигнатур и соотв. меньше вероятность ошибки. Максимальная длина сигнатуры 64 байта, что дает практически нулевую ошибку. Типичная длина - 8 байт, что подходит для надежного выявления большинства вирусов. В информации о "зараженном" файле можно найти глубину совпадения сигнатуры (для отсева ложных срабатываний и задания правильной длины) 6.Файловые вирусы В силу пункта 5.5 UVS способен автоматически обнаруживать и главное идентифицировать по сигнатуре файловые вирусы. Для файловых вирусов длина сигнатуры не должна быть слишком большой. 7.Руткиты - как найти невидимое, ничего не зная о рутките UVS имеет два механизма обнаружения скрытого автозапуска, 1-й непосредственно в зараженной системе для скрытых сервисов и драйверов (вероятность обнаружения не очень высока) 2-й при загрузке в WinPE или из под чистой системы (вероятность обнаружения близка к 100% для руткитов скрывающих автозапуск) Во втором случае в зараженной системе создается файл сверки и затем используется для проверки автозапуска уже неактивной системы. 8.Уничтожение вирусов, как UVS убивает вирус? Список найденных вирусов сравнивается со списком активных процессов, сервисов и т.п. все обнаруженные активные модули останавливаются и затем последовательно выгружаются. Затем уничтожаются все ссылки на эти файлы в реестре, линки/файлы автозапуска и т.п. Тела вирусов удаляются либо отдается указание уничтожить фалы при след. перезагрузке. 9.Проверка неактивной системы Если система не стартует, поражена стелсами или руткитами, либо испорчен реестр в этом случае используется режим проверки неактивной системы. Проверка по сети: UVS способен проникать на удаленный компьютер и запускать там свою сервисную часть с правами LocalSystem, а проверяющий компьютер поддерживает только интерфейсную часть. Для доступа к удаленному компьютеру необходим лишь пользователь/пароль администратора именно на удаленном компьютере и доступ в шару ADMIN$. (если тек. пользователь уже имеет доступ в ADMIN$, то запуск возможен и без ввода пользователя/пароля)
Для удаления неизвестного антивирусам руткита необходимо иметь под рукой: - Загрузочный WinPE (рекомендуется 2.x или 3.0 на базе NT 6.1 для машин с >=512mb RAM) - Для машин с объемом памяти меньше 512 придется использовать PE 1.x или в любом случае можно снять винт и подключить к машине с чистым Windows. - UVS на флешке/диске. - (!) Для сверки используйте одинаковые версии UVS на обоих этапах! - Чистый дистрибутив Windows соотв. версии с интегрированным SP идентичной версии.
1. Бутовые руткиты (буткиты) особо рассматривать не будем, они легко убиваются из под WinPE с помощью стандартной утилиты bootsec.exe, которую можно взять в дистрибутиве Windows. Пример использования: bootsec.exe /NT52 C: /force /mbr (для XP) bootsec.exe /NT60 C: /force /mbr (для Vista/Seven) где C: есть имя диска с ntldr/bootmgr (!) Если вы используете пиратскую версию Windows Vista и старше то п.н. перезапись загрузчика (!) приведет к потере активации. (!) MBR может быть повторно инфицирован если в автозагрузке останется зловред заразивший его. Кроме того можно просто записать сохраненный MBR в нулевой сектор. (не имеет побочных эффектов) (uVS предлагает сохранить оба MBR при проведении сверки в виде файлов) (!) Для зараженных загрузочных секторов все аналогично. (для bootsec.exe не требуется ключ /mbr).
2. Файловые руткиты. UVS не предназначен для уничтожения руткитов в активной системе, ибо сама по себе идея борьбы с руткитом порочна. Зачем пытаться прошибить защиту и подвергать систему опасности деструктивного ответа неизвестного руткита, если удалить его можно очень быстро без малейшего риска?
Далее краткое описание процесса: 1. Загружаемся в зараженную систему, запускаем uVS, удаляем автораны, трояны, адварей и прочий мелкий хлам. 2. После зачистки делаем файл сверки (меню "Руткиты") (!) После получения файла сверки рекомендуется немедленно перезагрузить (!) компьютер и приступить к сверке. 3. Загружаемся в WinPE. Если uVS на отдельной флешке _и_ WinPE младших версий, то флешку нужно вставить перед загрузкой, (для WinPE 3.0 это не важно) 4. Запускаем uVS выбрав каталог зараженной системы. (uVS лучше запускать из отдельного каталога на винте, соотв. сделайте копию, не стоит запускать uVS прямо с флешки) 5. Загружаем каталог цифровых подписей неактивной системы (меню "Цифровые подписи") (процесс займет пару минут, загрузка каталога в WinPE 1.x невозможна, только в v2.x и старше) 6. С помощью меню "Руткиты" проводим сверку автозапуска Если в процессе был обнаружен скрытый автозапуск или мод. файлы, то вносим сигнатуры соотв. файлов в базу. Затем проводим проверку всего списка, все найденные копии руткита(ов) получают статус вируса и их можно удалить кнопкой "Убить все вирусы". Зачистка завершена (стоит следить за длиной сигнатуры, не стоит делать ее слишком короткой, это снижает надежность определения зловреда, при сомнении на счет конкретного файла проверяйте его цифровую подпись) (!) Не удаляйте руткит без занесения его сигнатуры в базу, в системе может быть несколько (!) копий тела руткита под разными именами. 7. Переходим к проверке системных файлов на модификацию. Сперва нажимаем F4 для отсева проверенных файлов (база sha1 должна быть в каталоге uVS) затем F6 для отсева подписанных файлов. После окончания процесса в списке подозрительных появятся все мод. EXE/SYS их рекомендуется отправить на virustotal.com для идентификации, для гарантии все эти файлы можно просто заменить на чистые копии из дистрибутива Windows. 8. Скрываем известные и проверенные (F1) и листаем категории на предмет чего-то подозрительного (не_обязательно, но_полезно) 9. Открываем категорию "Отсутствующие объекты" и проверяем нет ли там известных отсутствующих файлов. Например: руткиты любят заражать ATAPI.SYS, BEEP.SYS, SERVICES.EXE и т.п. все убитые зараженные системные файлы нужно вернуть на место восстановив чистую копию файла из дистрибутива. Дополнительно в этой категории рекомендуется удалить оставшиеся хвосты от вирусов и неправильно удаленного софта соотв. командой в контекстном меню. 10. Проверка всего системного диска, возможно по сигнатурам будут найдены копии руткитов или вирусов не найденные в автозапуске. (кнопка "Проверить каталог") 11. Можно загружать систему, но рекомендуется отключить автоперезагрузку по BSOD-у (меню "Дополнительно") возможны вы забыли восстановить один из системных файлов. (!) После/до загрузки рекомендуется выполнить полную проверку всех дисков на ошибки.
Это упрощенная процедура, которая подходит для основной массы вирусов/троянов/авторанов/ботов. 01. Запускаем uvs, проводим тест на активные файловые вирусы, если они есть убиваем соотв. кнопкой (предварительно подбираем длину сигнатуры... если например заражен и start.exe и startf.exe, то подобрать длину довольно легко, добавляем сигнатуру start.exe и затем в контекстном меню сигнатуры добавляем startf.exe) (!) Против серьезных полиморфных вирусов поисковой движок uVS бессилен. (!) В этом случае рекомендуется сразу же убить все процессы в памяти с помощью функции (!) Дополнительно->Выгрузить все процессы кроме системных, после чего запустить средствами (!) uvs лечащую утилиту (Dr.Web CureIt или KVRT) 02. Скрываем все проверенные файлы, сперва F4 (база sha1 должна быть в каталоге uVS) Скрываем подписанные файлы по F6. Далее просматриваем список подозрительных, если ничего действительно подозрительно там нет то... 03. Если вирус проявляет себя в браузерах, то просматриваем соотв. разделы и чистим их от хлама, если нет то... 04. Открываем раздел "Процессы без видимых окон" Трояны/автораны/вирусы п.н. будут здесь. Помогаем себе кнопкой F1 (управляет скрытием известных файлов) Обращаем внимание на те файлы, что не содержат информацию о версии/производителе и т.п. 05. Так же стоит взглянуть на раздел сетевой активности. (спамботы, прокси, даунлоадеры будут здесь) 06. Складываем копии найденных подозр. файлов в Zoo и отправляем их на VirusTotal.com или аналог, либо ищем там по SHA1 (если нет времени на загрузку и ожидание). 07. Со всех найденных вирусов снимаем сигнатуры, проверяем список автозапуска соотв. кнопкой Осматриваем список найденных вирусов, если есть ложные срабатывания то удлиняем сигнатуру в списке сигнатур и повторяем проверку (для DLL рекомендуется указывать длину = 64) 08. Нажимаем "удалить все вирусы" все копии активных вирусов в памяти будут нейтрализованы и затем массово уничтожены, автозапуск очищен, критические ключи реестра будут восстановлены. (!) НЕ следует выгружать вирусы и удалять их вручную по одному, некоторые вирусы "плохо" относятся к потери одного из своих процессов. 09. Устраняем вред нанесенный вирусом системе с помощью любой из предназначенных для этого утилит (uvs производит восстановление лишь важных(для запуска Windows) ключей и только тех что испорчены удаленным с помощью uvs вирусом) 10. Опционально стоит провести проверку дисков с использованием снятых сигнатур. Предварительно удаляем мусор из временных каталогов в меню Дополнительно и после сканирования дисков стоит выполнить "Безопасное удаление ссылок на ВСЕ отсутствующие объекты"
назначение утилиты, для продвинутых пользователей и администраторов (новички с ее помощью как минимум могут грохнуть систему), в пакете похоже что отсутствует важный файл MAIN (располагается по пути UVS/SHA/MAIN), скачивается отдельно от самой утилиты, без него она теряет как минимум половину функционала, желательно бы перепаковать данную утилиту с укомплектованным данным файлом.
00
Привет
Чат
Вы должны авторизоваться. Пожалуйста, авторизуйтесь через блок входа, или отсюда.
Georgelt777 2 мес. назад Он действительно пролечен?
gado 2 мес. назад С Новым годов всех! Здоровья и успехов!
Alexxx16 5 мес. назад Доброго времени ! Насчёт Open VPN уточнить…Когда я нажимаю: «скачать на 32 bit» - то появляется этот файл: «OpenVPN-2.6.6-I001-x86.msi»… Скажите пожалуйста - а как его правильно запустить на Windows 10?? Спасибо