» uVS - Universal Virus Sniffer

Прекращайте флейм. Каждый сам выбирает свой путь и смотрит, к чему он ведет, основываясь на собственном или чужом опыте.
И каждый сам решает - либо следовать автору программы, либо идти в варезник или андерграунд. Либо отказаться от использования, чему и выразить свое несогласие, а другого способа нет.

arvidos в этом вопросе я с вами солидарен, но для этой теме это , а тут его и так уже много. Пишите к lucky_Luk в ЛС.
20:40 23-05-2013
Цитата:

И заслан соглядатай.

lucky_Luk у santy регистрация
Цитата:

Зарегистр. 24-12-2007

так что регистрировался он тут явно не ради uVS, а его интерес к этому топику вполне понятен и логичен. Он вплотную работает с этой программой и хорошо её освоил. При отсутствие нормальной справки считаю его одним из немногих специалистов, которые хорошо разобрались в программе.
Цитата:

Что говорит о полнейшей некомпетентности автора насчет современной ситуации с майнингом. Майнить "на компе" сейчас невыгодно - он больше скушает на электричество, чем принесет биткоинов.

никогда не занимался этим, так что лично я ничего не могу сказать по этому поводу. Автор уже на АМ убеждает обратное. lucky_Luk может правда попытаетесь переубедить автора в этом ? с вашей энергией ... думаю многие были бы благодарны если вы смогли бы доказать это Куцнецову.

Cheery


Цитата:

а другого способа нет.

И все-таки медаль "барыга ру-борда" и абонемент в баню demkd заслужил. По-крайней мере в Варезнике и Андеграунде, вместе с santy, чтобы не пасли.

lucky_Luk

Цитата:

И все-таки медаль "барыга ру-борда" и абонемент в баню demkd заслужил.

мало, что ли, продуктов, которые начинали с бесплатных версий, а потом перешли на коммерческую основу? Если не нравится - не пользуйтесь или пишите свою программу. Автор сам будет решать, по падению спроса, правильно ли он поступает или нет. Все остальное - просто переливание воды и пустой флейм.

ps: бан на форуме получают за назойливую рекламу своего продукта или за попытку повлиять на работу варезника, как было в данной теме D Downloader

Цитата:

у santy регистрация
Цитата:
Зарегистр. 24-12-2007

Вот только зачирикал он сейчас. А так "имея интерес к форуму" почему-то не дорос даже до джуниора, за несколько лет. Будучи "одним из немногих специалистов, которые хорошо разобрались в программе", и имея желание помогать ее юзера, можно за неделю вырасти до джуниора, заслуженно.
А значительно молчащие в уголке специалисты для форума бесполезны.

Цитата:

И все-таки медаль "барыга ру-борда" и абонемент в баню demkd заслужил

это только ваше скромное мнение. и кроме вас никто с ним не согласился. оставьте мнение об авторе при себе.
и действительно, давайте уже программу обсуждать, а не автора и способы оплаты

lucky_Luk 21:13 23-05-2013
Цитата:

имея желание помогать ее юзера, можно за неделю вырасти до джуниора, заслуженно. А значительно молчащие в уголке специалисты для форума бесполезны.

lucky_Luk так здесь вопросы по программе почти никто не задаёт, уверен если будут вопросы он на них ответит .

Cheery


Цитата:

Автор сам будет решать, по падению спроса, правильно ли он поступает или нет.

Автора водят как бычка на веревочке по тропинке, протоптанной Олегом Зайцевым. Все что он сможет решить - это продать права на программу большому КГБшному барыге. Есть подозрение, что именно ради этого кто-то и надоумил автора поступать так, как он поступает.

Автор поступает так тупо, как только возможно, чтобы настроить аудиторию против себя. Это у них называется "тысячник".

lucky_Luk

Цитата:

Автора водят как бычка на веревочке по тропинке, протоптанной Олегом Зайцевым. Все что он сможет решить - это продать права на программу большому КГБшному барыге. Есть подозрение, что именно ради этого кто-то и надоумил автора поступать так, как он поступает.
 
Автор поступает так тупо, как только возможно, чтобы настроить аудиторию против себя. Это у них называется "тысячник".

я еще раз повторю - это его дело. не пытайтесь быть "наставником" и направить на "пусть истинный". хотите повлиять, показать, что это плохо - не пользуйтесь программой.

а вот флейм в теме не нужно разводить. вас уже предупреждали
uVS - Universal Virus Sniffer
uVS - Universal Virus Sniffer
не вынуждайте ставить запрет на пост.

regist123


Цитата:

так здесь вопросы по программе почти никто не задаёт, уверен если будут вопросы он на них ответит

А, публика виновата, какой удобный ход .

ОК, начнем-с. Над найденными нехорошими файлами в списке можно провести действия "добавить в базу известных" и "добавить хеш файла в базу проверенных" - в чем разница?

И еще вопрос - как дела с неким сервером, на который в будущем (или уже?) будет отправляться информация о системных файлах на юзерском компе?
Это пахнет трояном. Как проверить что именно отсылается, куда будет отсылаться и как это отключить. И будет ли у каждого юзера персональный идентификатор в стиле Касперского и его KSN? Вещь хорошая, но тянет гнилью, внедрять это нужно очень осторожно и с максимально полным освещением возможностей, давая доступ юзеру ко всей отсылаемой информации. Что об этом думает автор, или только позаимствовал идею у Каспера и радуется?
Или UVS уже по-маленьку постукивает в тестовом режиме "кому нада" (догадываюсь, кто даст автору сервер)?

Добавлено:
Cheery


Цитата:

я еще раз повторю - это его дело. не пытайтесь быть "наставником" и направить на "пусть истинный". хотите повлиять, показать, что это плохо - не пользуйтесь программой.

Я не пытаюсь быть настравником, я тут за телепата .
ОК, извиняюсь, буду чисто в рамках темы, а "будущее" само придет .

Добавлено:
Проблема в том, что по крупицам, с разных сторон, складывается очень нехорошая картина. И автору стоило бы развеять эти подозрения.

Добавлено:
Ладно, я свою ТЗ высказал, а выводы пусть делают другие. Из-за этой фигни мне не нужен запрет на пост по форуму, так что понаблюдаю за ситуацией с сабжем со стороны.

santy (13:22 23-05-2013)
Цитата:

если человек разрабатывает систему(систему оплаты в btc), и при этом берет за ее использование копейки, то тут возможны два варианта: или интерес к созданию нового и оригинального софта, или работа на перспективу, когда эта система оплаты будет стоить миллион долларов (условно говоря) для тех, кто решится ввести ее в качестве сервиса оплаты. И это могут быть не обязательно производители софта. Третье (зарабатывание копеек на обновлениях) исключено.

Уважаемый, что ты буровишь? Какая система будет стоить миллионы долларов? Та, которую положил на лопатки первый желающий, а потом слил купленную версию в паблик? Не смешите меня!
И что за бред - брать копейки за систему оплаты? Платить за то, чтобы оплатить? Вы что, решили создать модель новой налоговой инспекции?

santy (13:22 23-05-2013)
Цитата:

Новый же базовый и бесплатный релиз 3.78 не за горами.

Ну вот будет день - будет и пища.

За сим больше не вижу ни повода, ни смысла спорить. Что случилось - то случилось. А кто из нас прав - рассудит время.

Кстати, что автор говорит о том, что при попытке удалить dll от свежей модификации трояна маячка командой delall система падает в BSOD. Использовать виртуализацию реестра для таких примитивных и обыденных зловредов считаю извращением, тем более AVZ с этими dll справляется на ура. Поэтапное убийство пока только ссылки, а тело в следующий раз уберём тоже не есть гуд .

regist123,

Цитата:

Кстати, что автор говорит о том, что при попытке удалить dll от свежей модификации трояна маячка командой delall система падает в BSOD. Использовать виртуализацию реестра для таких примитивных и обыденных зловредов считаю извращением, тем более AVZ с этими dll справляется на ура. Поэтапное убийство пока только ссылки, а тело в следующий раз уберём тоже не есть гуд

это может означать только одно. что AVZ при удалении файла не выгружает его из памяти, а удаляет только тело с диска, и ограничивает запись на диск посредством своего драйвера.

uVS же вместе с зачисткой файла с диска, вычищает его и из памяти. (при delall)



Добавлено:
gif,

Цитата:

И что за бред - брать копейки за систему оплаты? Платить за то, чтобы оплатить? Вы что, решили создать модель новой налоговой инспекции?

у меня сложилось впечатление, что довести простую мысль до твоего сознания, все равно, что Сизифу вкатить камень на гору. . поэтому прекращаю говорить на эту тему. Лучше и яснее Кузнецова никто не расскажет... релиз 3.78 запланирован на июнь. Точную дату можно узнать у разработчика.

santy 11:26 24-05-2013
Цитата:

это может означать только одно. что AVZ при удалении файла не выгружает его из памяти, а удаляет только тело с диска, и ограничивает запись на диск посредством своего драйвера.   uVS же вместе с зачисткой файла с диска, вычищает его и из памяти. (при delall)

в uVS как знаю есть возможность удаления файлов после перезагрузки, почему бы ему для таких dll (которые используется системными процессами не использовать) такое удаление ? И разработчику об этом баге (на мой взгляд это именно баг) кто-нибудь говорил ?

regist123,

Цитата:

И разработчику об этом баге (на мой взгляд это именно баг) кто-нибудь говорил ?

баг - это если ты планируешь одно действие, а выходит другое, или совсем ничего не выходит.

а здесь все честно. если ты вместе с водой выплескиваешь и ребенка, т.е. системные процессы, в которые внедрен троян, то чего еще можно ожидать кроме BSOD?

значит, по другому надо выполнить очистку:
- удаление ссылки из автозапуска,
- безопасная виртуализация
- выполнение скрипта из безопасного режима
- очистка из под Live.CD

1) Для этого должна быть нормальная документация, в которой эти нюансы будут нормально освещены.
2) Использование Live CD, виртуализации и т.д. для удаление обычной dll маячка, которая встречается в каждой третьей теме если не чаще это извращение или как минимум совсем неудобно. Если бы это был бы какой-то руткит или ещё что-то, то я бы понял и согласился, а так считаю это недоработка/непродуманность автора которую надо исправлять.

Допустим нашлась такая dll и мы удалили ссылки на нее. При следующем сканировании UVS найдет эту dll или придется самому искать ее для ручного удаления?

lucky_Luk 14:33 24-05-2013
Цитата:

При следующем сканировании UVS найдет эту dll или придется самому искать ее для ручного удаления?

придётся самому добавлять в блокноте команду для удаления. А если это делается на форуме и тему подхватил другой человек, то dll может так и остаться там пока её антивирус не найдёт .

не обязательно в блокноте что-то добавлять.

во первых есть уже скрипт готовый, можно просто исправить delref на delall,

во вторых, можно запросить новый образ скриптом


Цитата:

adddir Путь на троян && он есть в предыдущем образе
crimg

и тогда dll попадет в новый образ

(а если из активной системы выполняется лечение, то выполнить функцию - добавить в список все исполняемые файлы в каталоге....)

в третьих, можно написать скрипт по предыдущему образу, с удалением файлика, поскольку ты уже знаешь, что его нет в памяти и BSOD не случится.

в четвертых, можно сканером проехать быстро, например малваребайт (он часто его детектирует)

в пятых, если вы добавили сигнатуру, и работаете с активной системой, а не с образом... можно выполнить действие - проверить каталог,

тогда все файлы, которые подпадут под данную сигнатуру должны попасть в список.

разумеется все эти действия выполнения, которых можно было бы избежать (и в более ранних версиях uVS вёл себя более адекватно - это поломали в ходе апдейтов) характеризуют программу как

Цитата:

Как и сам uVS. нестандартный, удобный

. Разумеется очень удобно писать скрипт сразу по двум образам автозапуска. И ещё к сожалению не могу найти точную цитату, но автор писал, что теперь можно забыть про ручную правку скриптов .

santy
Проще записать имя dll-ки, найти поиском все экземпляры и снести ручками. Если их десяток - это быстрее, а если их сотни, то в такой системе и других вирусов навалом и такую проще переустановить, чем лечить. Но это все неудобно и вынужденные шаги, чтобы через хитрую задницу сторонними средствами парировать недоработку основной лечилки.

На оффсайте обновились базы.

Что такое антисплайсинг и почему его рекомендуется включать в настройках сабжа?

lucky_Luk

Цитата:

Проще записать имя dll-ки, найти поиском все экземпляры и снести ручками.

если есть доступ к рабочему столу, и юзер не дергает постоянно за рукав, что ему надо срочно зайти в контакт или в 1с (а вирусня подождет), (и в очередь никто не выстроился) то как угодно можно лечить: и поисками, и ручками, и сканерами на несколько часов.

если со слов юзера на форуме - то проще будет получить образ автозапуска, чтобы самостоятельно составить представление о проблеме и способе решения.

обновление


Цитата:

Актуальная версия uVS 3.77.17

o Теперь можно создавать простые критерии по имени установленного ПО.
Создание критериев доступно в контекстном меню окна "Установленные программы" (Alt+U)
При срабатывании критерия в лог заносится соотв. запись.
Запустить деинсталятор можно с помощью контекстного меню прямо из лога uVS.
Функция доступна во всех режимах работы uVS.

o В окно информации о файле добавлена новая функция "Скачать".
Функция доступна для системных файлов и во всех режимах работы uVS, включая
работу с образом. Если оригинальный файл удалось найти и скачать то он
помещается в подкаталог files.

o Добавлена новая функция Запустить -> Сброс кэша DNS
Служба dsncache перезапускается, затем выполняется ipconfig /flushdns.
Скриптовая команда: dnsreset
Функция доступна во всех режимах работы uVS.

o Новая скриптовая команда "unload".
Команда выгружает процесс соотв. указанному файлу.

o При работе с образом в окно информации о файле добавлены данные о детекте
по базе сигнатур. (если была проверка после открытия образа)

Так что такое Антисплайсинг?

lucky_Luk
для теории сначала это - http://ru.wikipedia.org/wiki/Перехват_(программирование)

Цитата:

Сплайсинг — метод перехвата API функций путем изменения кода целевой функции. Обычно изменяются первые 5 байт функции. Вместо них вставляется переход на функцию, которую определяет программист. Чтобы обеспечить корректность выполнения операции, приложение, которое перехватывает функцию, обязано дать возможность выполниться коду, который был изменен в результате сплайсинга. Для этого приложение сохраняет заменяемый участок памяти у себя, а после отработки функции перехвата восстанавливает измененный участок функции и дает полностью выполниться настоящей функции.[5]

то есть антисплайсинг позволяет нейтрализовать сплайсинг вирусов, который может использоваться ими для собственного сокрытия. без включенного антисплайсинга программа может не увидеть вирус который находится в определенной папке (его вообще никто не увидит)

поправил шапку, текущая версия уже 18, хотя имхо ничего особо полезного не добавили. Побыстрее бы релиз, чтобы и у юзеров была версия с нормальным разбором ключей.

вполне не плохое обновление.
Актуальная версия uVS 3.77.18

Цитата:

o Новая горячая клавиша Ctrl+U
Деинсталировать весь софт попавший под поисковые критерии.
Функция работает по логу, соотв. если вы изменяли критерии,
то перед новым нажатием Alt+F7 очистите лог uVS.
Принудительным добавлением ключа /quiet управляет флаг ImgUninstQuiet
в секции "Settings" файла settings.ini (только при работе с образами)
Автоматическим использованием данной функции управляет флаг ImgAutoUninstall
в секции "Settings" файла settings.ini (только при работе с образами)

o Известные файлы со статусом ?ВИРУС? больше не попадают под действие фильтра
"Cкрыть известные".

o Добавлена новая функция в контекстное меню
Статус->Все файлы в текущей категории проверены

o В лог добавлена контекстная команда Деинсталировать ... c ключом /quiet
(!) Деинсталятор должен поддерживать данный ключ (например msiexec).

o Теперь установленные программы проверяются исключительно по критериям
с атрибутом uninstall.

o При добавлении в скрипт команды на деинтсаляцию ПО в скрипт записывается
наименование ПО в виде комментария.
Повторное добавление команды заблокировано.

o Улучшена функция определения файлов запускавшихся неявно и вручную.

o В скрипт больше не добавляется команда zoo для отсутствующих файлов.

Народ, ликуйте (в частности lucky_Luk )

Цитата:

Сегодня v3.80 релиз, по обновлению уже доступен, в общем доступе на сайте будет вечером, когда соберу таки все пакеты и напишу английскую часть...
таки да 3.80, я вспомнил про проблемы с удаленной Win7, убил 2 дня искал у себя баг, а нашел в системе, плюнул и переписал сетевой движок с нуля, что приятно теперь на гигабитной сети удаленный рабочий стол Win7 пашет заметно быстрей тимвьюера, а работа с системой выглядит как работа на лок. компьютрере без лага заметного глазом, со старыми системами вроде все осталось как было, смена сетевого протокола это уже значительный апдейт потому 3.80 и там добавил еще чуть-чуть из пожеланий.