» uVS - Universal Virus Sniffer

arvidos


Цитата:

Народ, ликуйте (в частности lucky_Luk )

Ну а что, хороший повод, и исправления нужные. Вот как только появится на сайте, так и возликуем .

а вот и обновление:
http://dsrt.dyndns.org/files/uvs_v3801.zip

Universal Virus Sniffer v3.80.1


Цитата:

3.80
---------------------------------------------------------
o Обновлен сетевой движок, минимизировано количество файловых операций.
Восстановлена нормальная работа с Windows 7.
Windows 7 после одного из автообновлений потерял способность обеспечивать
нормальную работу удаленного пользователя с файлами расположенными
в расшаренных папках и до сих пор проблема произвольного отказа в доступе
не устранена, поэтому движок был полностью переделан для обхода этой
проблемы, в результате чего движок теперь работает значительно
быстрее c новыми системами. (в т.ч. работа с удаленным рабочим столом)
(!) ОДНАКО при низкоскоростном или неустойчивом соединении теперь возможна
(!) перманентная потеря соединения.
Поддерживать же 2 разных протокола для разных систем я не буду, поскольку
новый движок при всех его потенциальных проблемах теперь обеспечивает работу
практически в реальном времени c Windows 7 при незначительном лаге и
относительно надежен в переделах одной подсети.
Если у вас возникнут проблемы с какой-то конкретной комбинацией систем
то пожалуйста отправьте мне на email письмо с описанием проблемы и версиями
локальной и удаленной системы в т.ч. и номером SP.

o Новая скриптовая команда "dirzoo".
Команда копирует содержимое указанного каталога в Zoo по маске.
Пример: dirzoo c:\temp\*.exe

o Новый параметр в settings.ini
[Settings]
; Флаг управляет разверткой команды delnfr в последовательность delref
; при работе с образом.
ImgDelnfrUnwind (0 по умолчанию)

Как через сабж запустить удаленный рабочий стол, какой командой?

lucky_Luk, start.exe --> выбрать удаленный компьютер --> запустить --> explorer, может так? я правда очень давно проверял, уже не помню, как точно
(добавлено)
Вспомнил Alt+V

Karasb13

Цитата:

start.exe --> выбрать удаленный компьютер -->

Не могу заставить работать эту функцию, не заходит на удаленную машину. Файрволы отключал.


Цитата:

Вспомнил Alt+V

Из какого окна давать команду эту? У меня сабж на нее никак не реагирует.

Цитата:

Из какого окна давать команду эту? У меня сабж на нее никак не реагирует

Когда подключишься к удаленному компу.


Цитата:

Не могу заставить работать эту функцию, не заходит на удаленную машину. Файрволы отключал

хз у меня все работало, вводишь IP --> логин пароль удаленного компа и вуаля. Попробуй IP вводить через два слэша (например \\192.168.10.19)

Karasb13
А у меня не работает. Целевая винда не пускает.
Ввожу в UVS айпишник компа. Нажимаю запустить с выбором пользователя, ввожу имя компа\имя учетки, пароль. Вылазит обычное виндовое окно с запросом пароля. Ввожу туда правильный пароль от учетки, а не пускает, пишет "Отказано в доступе". А если нажать отмену, то уже сабж выдает "Не удалось подключиться к ADMIN$".

lucky_Luk
net use * /delete

ну и на удаленном компе должна быть доступна шара admin$ из под юзера имя/пасс которого вводятся. проверить можно так:
net use \\ip\Admin$ /user:UserName Pass

DrakonHaSh


Цитата:

net use \\ip\Admin$ /user:UserName Pass

Пишет "сервер не настроен для удаленного администрирования". Я ничего и не настраивал. ОС - Windows 7. Как правильно настроить шару?

А меня целевая винда не пускает, говорит пароль к пользовател нужен.
А пароль на целевом пользователе я принципиально не хочу ставить.
То есть есть Seven SP1 Rus с полным пользователем без пароля.
Есть ли возможность зайти в целевую машину, не устанавливая пароль на пользователя этой машины ?
Заранее спасибо за подсказку

lucky_Luk
я помнится делал так, теперь у меня работает.
то, что оставил себе как напоминалку:
AdminShareOn.reg
-----------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"LocalAccountTokenFilterPolicy"=dword:00000001
-----------------------
[more=доступ с xp]
-----------------------
http://social.technet.microsoft.com/Forums/ru-RU/windows7ru/thread/f319bea7-f9c2-4fe1-bda9-6395b037bad4/
http://social.technet.microsoft.com/Forums/ru-RU/windows7ru/thread/ef76e5bb-40ee-461f-8714-dfdc45c2d4b5

=============================================================================================================
В групповых политиках идем
Local Computer Policy, Computer COnfiguration, Windows Settings, Security Settings, Local Policies, Security Options.
и выставлям параметр Network security: LAN Manager authentication level в значение Send NTLM response only

затем в реестре идем по пути HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
и создаем параметр LocalAccountTokenFilterPolicy (DWORD) со значением 1
=============================================================================================================

Для этого на клиентской машине под управлением Windows 7 нужно выполнить следующее:
Локальные политики безопасности - локальные политики - параметры безопасности - сетевая безопасность: уровень аутентификации LAN менеджера. В выпадающем списке выбираем “Отправлять только NTLM”)
[/more]

kot1313
(смотрю на xp, но в 7-ке ~ тож самое)
gpedit.msc
конфигурация компа - конфигурация виндовс - параметы безопасности - локальные политики - параметы безопасности -> Учетные записи: ограничить использование пустых
паролей только для консольного входа = Выкл

Цитата:

конфигурация компа - конфигурация виндовс - параметы безопасности - локальные политики - параметы безопасности -> Учетные записи: ограничить использование пустых
паролей только для консольного входа = Выкл

DrakonHaSh
Ого Вот как оно спрятано
Иду экспериментировать
За подсказку
Спасибо

Обновление.

Цитата:

---------------------------------------------------------
3.80.2
---------------------------------------------------------
o Исправлена ошибка сохранения списка известных файлов при работе
с удаленной x64 системой.

o Изменено имя файла подкачки при создании загрузочного диска на
C:\page_uVS.sys, для его автоматического удаления при загрузке проверенной
системы.

o Добавлена поддержка длинного пути до файла в кавычках содержащего "/" вместо "\".

o Добавлена поддержка критериев для строк в файле HOSTS.
Критерий можно создать в контекстном меню.
Удаление строк попавших под критерий возможна из контекстного меню лога.

o Новая горячая клавиша Ctrl+H
Удалить все записи HOSTS попавшие под поисковые критерии.
Функция работает по логу, соотв. если вы изменяли критерии,
то перед новым нажатием Alt+F7 очистите лог uVS.
Автоматическим использованием данной функции управляет флаг ImgAutoDelHost
в секции "Settings" файла settings.ini (только при работе с образами)

o В окне создания загрузочного диска теперь сохраняется размер pagefile-а.

arvidos

Цитата:

Обновление.

За обновление нужно платить? На офсайте 3.80.1.

угу. обнова доступна только через апдейтер.

Народ, кто подскажет, куда дели "fixmbr/vbr" из контекстного меню при работе с образом или надо скрипт руками править? Помниться в предыдущих версиях можно было править из контекстного меню.

Karasb13
там же где и было

arvidos
Спасибо! Че то я затупил, все же на глазах

Обновление

Цитата:

3.80.3
---------------------------------------------------------
o Новая горячая клавиша Ctrl+T
Автоматически применить твики #1,2,3,9 при необходимости.
Функция работает по логу.
Автоматическим использованием данной функции управляет флаг ImgAutoTweak
в секции "Settings" файла settings.ini (только при работе с образами)

Обновление

Цитата:

3.80.4
---------------------------------------------------------
o Новая горячая клавиша Ctrl+Z или Alt+Backspace.
Отменить предыдущую команду, буфер расчитан на 8 команд.
(Только при работе с образом)

o Устранено дублирование regt по Ctrl+T.

o Улучшена функция определения файлов запускавшихся неявно и вручную.

o Исправлена ошибка в функции поиска файлов.

o Новое значение для флага в settings.ini
; Флаг управляет автоматическим добавлением команд в скрипт для удаления
; строк файла HOSTS попавших под поисковые критерии. (только при работе с образами)
ImgAutoDelHost (0 по умолчанию)
1 - удалять из HOSTS все строки попавшие под критерий
2 - однократно применить 14-й твик.

Обновление до версии 3.80.7
Сразу весь чейнджлог с версии 3.80.5


Цитата:

---------------------------------------------------------
3.80.7
---------------------------------------------------------
o Исправлена ошибка в функции создания скрипта.

o Скриптовая команда "areg" теперь добавляется автоматически.

o Добавлена установка GoogleDNS для IPv6.

o Новая скриптовая команда "del".
Команда удаляет файл без учета прав доступа к нему в т.ч. и
после перезагрузки если файл не удалось удалить сразу.

o Новый пункт меню Скрипт->Автоскрипт (гор. клавиша Alt+A)
Функция доступна при работе с образом, для правильной работы функции
необходимо провести подготовительные работы, а именно:

1. Внести сигнатуры обнаруженных зловредов в базу.
2. Скрыть файлы с ложным детектом или отрегулировать длину сигнатуры
3. Проверить список по базе поисковых критериев, если это необходимо
4. Устранить ложное срабатывание по критериям или перевести эти файлы
в категорию проверенных.

После данных этапов можно активировать функцию автоскрипта.

В результате будет сгенерирован скрипт содержащий:
1. Команды сигнатурного поиска и удаления всего попавшего под детект
за исключением предварительно скрытых файлов.
2. Удаление всех оставшихся объектов имеющих статус "?ВИРУС?".
3. DNS попавший под поисковый критерий замещается на GoogleDNS.
3. Автоматическое применение необходимых твиков.
4. Удаление попаших под детект строк в HOSTS или его очистка
(см. флаг ImgAutoDelHost)
5. Деинсталяция попавшего под критерии софта.

(!) На п.2 влияет новый флаг ImgAutoDelMethod1 и флаги bAutoZooOnDelAll, bAutoBL.

o Новый пункт меню Скрипт->Автоскрипт с виртуализацией (гор. клавиша Alt+Shift+A)
Отличается лишь использованием виртуализации реестра и флагом ImgAutoDelMethod2

o Новый параметр в settings.ini
[Settings]
; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
; автоскрипта.
ImgAutoDelMethod1 (по умолчанию 1)
0 - игнорировать
1 - применить delall
2 - применить delref
3 - применить delref+del

o Новый параметр в settings.ini
[Settings]
; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
; автоскрипта с виртуализацией реестра.
ImgAutoDelMethod2 (по умолчанию 3)
0 - игнорировать
1 - применить delall
2 - применить delref
3 - применить delref+del

---------------------------------------------------------
3.80.6
---------------------------------------------------------
o Новый пункт меню Файл->Создать полный образ автозапуска и перейти в режим работы с образом
(при работе с активной системой)

o Новый пункт меню Файл->Перейти в режим работы с активной системой, поместить скрипт в буфер обмена
(при работе с образом)

o Новый параметр в settings.ini
[Settings]
; Значение определяет расширения файлов которые в обязательном
; порядке добавляются в категорию запускавшихся неявно или вручную.
PrefetchExt (по умолчанию .EXE.SCR.DLL.SYS.BAT.CMD.VBS)

o Новая горячая клавиша Alt+A
Соответствует последовательному нажатию кнопки
"Убить все вирусы" и сочетаний клавиш: Ctl+T, Ctrl+H, Ctrl+U.

o Исправлена ошибка в функции фильтрующего поиска. (нажатия Ctrl+...)

---------------------------------------------------------
3.80.5
---------------------------------------------------------
o Исправлена ошибка в функции отмены предыдущей команды.

Обновление:

Цитата:

---------------------------------------------------------
3.80.8
---------------------------------------------------------
o Новый параметр в settings.ini
[Settings]
; Имя скрипта (без пути) добавляемого автоматически в конец автоскрипта.
; Скрипт должен быть в виде текстового файла в UNICODE кодировке.
; Расположение: в подкаталоге "script".
ImgAutoScriptAdd (по умолчанию пустая строка)

o Новая скриптовая команда "dirzooex".
Команда копирует все исполняемые файлы указанного каталога в Zoo.
Пример: dirzoo c:\temp
(!) Команда не копирует файлы из подкаталогов.

o Новая скриптовая команда "rstreg".
Восстанавливает реестр сохраненный командой breg или bdreg.

o Исправлена ошибка в функции постобработки скрипта.

Народ, подскажите, есть ли горячая клавиша для пункта контекстного меню "добавить хэш файла в базу проверенных"?
ПС: в мануалах не нашел.

Karasb13, нету. Все горячие клавиши перечислены внизу файла Общий FAQ.txt

regist123, понял, спасибо.

Обновление

Цитата:

---------------------------------------------------------
3.80.10
---------------------------------------------------------
o Новый пункт меню Файл->Создать образ автозапуска без проверки ЭЦП и перейти в режим работы с образом
(при работе с активной системой)

o Пункт меню Файл->Открыть образ автозапуска теперь доступен при работе
с активной системой.

o В контекстном меню доступна новая команда:
Поместить копии всех исполняемых файлов каталога в Zoo
Скриптовая команда dirzooex.
Функция доступна в любом режиме.

0бновление:

Цитата:

3.80.11
---------------------------------------------------------
o Исправлена ошибка в функции получения информации о компьютере.

o Shift+Del - удалить все ссылки на файл

o Shift+Space - файл проверен

o Ctrl+Del - удалить только сам файл

o Ctrl+Shift+Del - удалить файл со всеми ссылками на него

Обновление:

Цитата:

3.80.12
---------------------------------------------------------
o Исправлена ошибка в функции изменения статуса объекта.

Для WinXP как называется папка STORE? Она должна находится в корне программы?