» uVS - Universal Virus Sniffer

не понял как использовать База проверенных файлов, файл MAIN распаковал а для чего не понятно)

kukulza
В папку SHA надо его распаковывать.

Встроенный мастер создания загрузочного диска на PE 2.0 в версии 3.73 сырой. В PE запуск сабжа прописан так, что он - единственная запущенная программа. Поэтому после выбора ОС для сканирования и т.д., при запуске, когда одно окно сабжа закрывается, а должно запускаться окно построения списка, PE перезагружается.
Проблема ИМХО именно в том как прописан запуск сабжа в PE. Я тут давал ссылку на инструкцию, созданный по ней загрузочный диск с сабжем работает нормально, потому что там кроме сабжа висит запущенное окно startnet.cmd. Пока оно открыто, PE не перезагружается, а сабж можно запускать хоть несколько раз.

парни, обновите ссылки пожалуйста. заранее спасибо.
отбой. скачал с оф. сайта.

В 3.74 Мастер создания загрузочного диска на PE 2.0 такой же сырой, ничего не изменилось. Инструкция по-прежнему актуальна http://forum.esetnod32.ru/forum9/topic1881/

Пожалуйста, если кто может, залейте uvs_v374pack_ru.zip куда-нибудь, а то не могу скачать с депозита. Заранее спасибо!

CHEVRYACHOK
Держи,uvs_v374pack_ru.zip

sasherb

Цитата:

Держи

Ну и напихал ты туда мусору...уфф. Вместо 1.5 - 20м

Цитата:

Ну и напихал ты туда мусору...уфф.

Протираем глазки-у вас uvs_v374.zip,а у меня uvs_v374pack_ru.zip

sasherb
Огромное спасибо!

Так, начинаю осваивать сабж. Буткит прибивается на ура командой заменить загрузочный сектор из меню "Руткиты".

А вот тут выложили интересный вирус
http://forum.ru-board.com/topic.cgi?forum=55&topic=1363&start=500#14

Порнобаннер, но еще блокирует клаву и мышь. Прибить сам баннер легко (из WinPE, выбрав для лечения винду на диске С. А вот блокировка клавы и мыши остается, какой командой сабжа это фиксить?

lucky_Luk
Правкой реестра.
Отключаем:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mouclass]
"Start"=DWORD:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdclass]
"Start"=DWORD:00000004

включаем:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mouclass]
"Start"=DWORD:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdclass]
"Start"=DWORD:00000002


Добавлено:

Цитата:

А вот тут выложили интересный вирус

ничего примечательного, так детский сад.

Добавлено:
shrmn

Цитата:

Ну и напихал ты туда мусору

Это официальный пакет от автора UVS.
Киньте в шапку постоянную ссылку на готовые авторские пакеты (ru-eng) http://depositfiles.com/folders/A5PK4YRKA

DonDD


Цитата:

Правкой реестра.

Т.е. ручками. ОК, спасибо.

gjf 16:44 02-12-2011
Цитата:

Ну как есть В принципе источник баз известен - если найдётся умелец, кому не лень это будет оформить с рюшечками - я согласен подвинуться

умелец нашёлся, рюшечками дополнили . скачать: Updater UVS | зеркало.
Авторская ссылка и тема с обсуждением здесь.


Цитата:

Параметр URL# - где # цифра и URLCount - счётчик url-адресов, на случай если можно будет скачивать с нескольких серверов. Добавленные URL-адреса появятся в списке. К примеру нужно добавить две-три альтернативные ссылки, пишем:

Код: URLCount=3
URL1=адрес
URL2=адрес
URL3=адрес

Текущая структура в ini-файле. Позразумевается что обновлялка лежит в папке UVS. В этом случае можно прямо скачивать, минуя шаг выбора директории для сохранения. Скачивание баз происходит в каталог SHA, при установленой галке удалить zip-архив после распаковки после распаковки произойдёт удаление архива. Если же пути к базам нужно сменить, ставим галку изменить пути загрузки и распаковки. В этом случае процедуру выбора директорий сохранения и распаковки придётся выбрать.


Код: [URLDownload]
URLCount=1
URL1=http://dsrt.dyndns.org/files/MAIN.zip
[PathDownloadUnpack]
PathDownload=.\SHA
PathUnpack=.\SHA
[Settings]
DeleteArchive=1
SelectDirectory=0

У меня не работает в сабже: Проверить все ... на VT, то в логе выводится

Код: --------------------------------------------------------
Проверка файлов по хэшу...
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\TIMEDATE.CPL
Не удалось получить ответ от сервера.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\DRIVERS\USBOHCI.SYS
Не удалось получить ответ от сервера.
--------------------------------------------------------
и т.д.

Цитата:

руткиты>заменить загрузчик mbr/vbr+ipl...

меня интересует что такое:

Цитата:

/vbr+ipl

плюс:
откуда он берет копию mbr?
так понял, функционально забекапить программой mbr нельзя. правильно?!
блин, а я мечтал
бекапнуть mbr, пустить харю мбровскую, посмотреть mbr rutkit detector или mbrcheck, и опять дать заднюю.
чтобы не перезагружаясь без фиксбот-фиксмбр.

в профильной рубордовской теме по mbr, голый вассер. поэтому пришел сюда.
насчет этой функции, где бы про нее поширше узнать.

DonDD

Цитата:

Это официальный пакет от автора UVS.
Киньте в шапку постоянную ссылку на готовые авторские пакеты (ru-eng) http://depositfiles.com/folders/A5PK4YRKA

Спасибо, понял и в шапку закинул

folta

Цитата:

откуда он берет копию mbr?

Не знаю. Но работает.

Я проверял на виртуальной машине. Запустил бутовый винлок. Перезагрузка, винлок заработал.
Сделал с помощью сабжа восстановление MBR, перезагрузил. Нормально, винлока нету, винда грузится.


Цитата:

бекапнуть mbr

Программы, делающие образ диска, могут это делать. Например Акронис. И вообще, виртуалки в помощь, если хочется вирусы тестить.

folta
Вот ещё утиль есть http://public.avast.com/~gmerek/aswMBR.htm

---

Цитата:

в профильной рубордовской теме по mbr

Это какая?

lucky_Luk
спасибо. но виртуалки не люблю и не держу.
а вот программу хотелось бы минималистичную, заточенную под эту функцию и сохраняющую mbr в файл, а не пряча в своё тело....а, вот уже несут

Engaged Clown
спасибо за программу, посмотрю

что касается профильной ветки, то прогуглил "чем забекапить mbr?" и меня опять прибило на руборд.
Восстановление MBR, BOOT:
http://forum.ru-board.com/topic.cgi?forum=62&topic=10454
там ничего того, чего именно хотел. нутвы понимаете

Цитата:

перламутровые пуговицы

folta
BOOTICE
Up.
Форум на английском

DonDD
вот голова дырявая. онож у меня есть, когда с флешками возился, в этой радости заметил ту самую нужную вкладку и отложил её.
как глянул по вашей ссылке, сразу вспомнил.
тогда еще тщательно изучил ее и только за mbr-ую фишку, припрятал.
ну что сказать, плюшкин.

спасибо.
думаю пора заводить ежедневник, считай на пустом месте, начал сам себе создавать проблему)

folta

Цитата:

а вот программу хотелось бы минималистичную, заточенную под эту функцию и сохраняющую mbr в файл, а не пряча в своё тело....а, вот уже несут

Вот такая софтинка

В шапке:

Цитата:

Последняя версия v3.71 eng (база устаревшая). Текущая база проверенных(по состоянию на 15 октября).
Куча зеркал.
Тоже самое но язык русский.

Потрите. Не актуально. Только в заблуждение людей вводит.

Up.
sasherb
Не, размер для такой тульзы велик больно (364 544 байт).
У бутайса -167 936 байт, плюс фич толпа.

DonDD
Так просили чтоб простая была,а размер 300кб это ж пыль...

Добавлено:
На VT есть даже детект
DrWeb    Trojan.KillMBR.158
NOD32    Win32/RiskWare.MBR_Kill.A

sasherb
Ну, эт сильно простая, хоть бы диск выбрать давала.
Я понимаю, что столько только голимая форма по дефолту весит, но по мне это много.

sasherb
да, я ее еще вчера стянул. но меня еще интересовали сектора, так что она архиминималистична


сделал бекап на 255 секторов бутайсом (128кб), открыл акелпадом.
все мбрлокеры которые я запускал оставили свои текстовые ультиматумы

Цитата:

Внимание! Ваш ПК заблокирован...

и далее...и далее(они все в шапке, а текстовый в центре)

но самое странное, что туда попал мой личный текстовый файл(данные с него), которые храню в ворде и один раз перекопипастил в текстовый, чтобы забрать на флеш.
мне это не нравится. пойду читать-искать, о мбр и как это выкурить оттуда.
хотя наверное информация остаточная и перезатирается со временем.
ну или хватанул секторов))
пойду уточню. не буду засорять тему одной из нужных и толковых программ.

DonDD
Диск выбирать не надо,просто с какого веника ее запускаешь-тот мбр и получаешь.

DonDD 21:36 18-04-2012
Цитата:

Потрите. Не актуально. Только в заблуждение людей вводит.

перечеркнул слово последняя.

uVS v3.75
19-05-2012


Цитата:

o Изменено имя архива Zoo (добавлен префикс ZOO_)
o Флаг "Скрыть ненайденные и с заполненным производителем" разделен на две части: "Скрыть отсутствующие" и "Скрыть с производителем".
o Добавлена возможность сохранять сектор с MBR в файл целиком. (в т.ч. и для образов созданных uVS v3.75)
o Реализован поиск по имени критерия.
o При создании загрузочного диска теперь можно выбрать обои.
o Новый параметр в settings.ini
[Settings]
; Запрет команд добавления/удаления хэшей из базы проверенных в контекстном
; меню файла при работе с образом.
ImgDisableAV (0 по умолчанию)
o Для 64-х битных систем теперь используется 64-битный dism, поскольку 32-х битный обычно неработоспособен.
o Добавлена работа с сервисом Whois для ip адресов DNS. И для IP адресов в логе.
o Исправлена функция поиска по критерию среди записей DNS.
o Исправлена ошибка в функции удаления ссылок. (при удаленнии ссылок на файл добавленный вручную могло произойти аварийное завершение uVS)

Ссылки в шапке.