» uVS - Universal Virus Sniffer

mithridat1
проглядел, спасибо

biffick 03:16 12-11-2012
Цитата:

Извините за глупый вопрос...но куда кидать архив MAIN.zip? Или его нужно распаковать куда то?

либо использовать автоматическую обновлялку http://forum.ru-board.com/topic.cgi?forum=5&topic=31081&start=120#16

Добавлено:
gjf 17:38 14-10-2012
Цитата:

добавьте в шапку, чтобы снять вопросы.

в шапке он добавлен, я только подкорректировал (убрал описание от совсем другой апдейтера, который явился прототипом этого).

Вышла 3.77
http://dsrt.dyndns.org/files/uvs_v377.zip

WatsonRus 20:43 30-12-2012
Цитата:

Вышла 3.77

уже v3.77.1

Вышла версия Universal Virus Sniffer (uVS) v3.77.3

v3.76.4

Цитата:

постобработку скриптов вернул как было в .2изменил способ реиндексации catroot теперь должно работать с неактивным win8, однако если catroot сколько-нибудь большой то места под него просто не хватит, тестовый образ с увеличенным системным диском до 128mb и .4 версией uVS выложу позже, pagefile добавлять не буду, так что тестируйте с приличным объемом оперативной памяти.

источник

Universal Virus Sniffer (uVS) 3.77.5

[more="изменения"]Отличие от .4 в зачистке диска C от файла C:\page_uVS.sys, если uVS был использован для проверки неактивной системы и такой файл на диске есть. Файл удаляется самой системой при ее следующем нормальном запуске.
Сделано это для автоматического удаления pagefile-а оставшегося после загрузки в WinPE.
Определять имя файла мне лень поэтому пользуйтесь предложенным именем файла при настройке своих образов WinPE.[/more]

скачать:

uVS v3.77.5 | База проверенных файлов [ZIP 14Mb HTTP] 702621 хэшей в базе [19.01.2013]

Цитата:

Нет, проблема именно в способе запуска UVS в WinPE, который выбрал автор. По-идее, работать это не будет ни у кого - созданный встроенным мастером диск. Проверьте.
Самопал по инструкциям из интернета делается немножко по-другому, сабж там по-другому запускается, и работает.

lucky_Luk

если речь идет о загрузочном WinPE, создаваемом средствами uVS, то в конструкторе надо выбрать правильный путь на каталог с uVS, чтобы (при создании диска) он был размещен в корне. соответственно far должен быть добавлен в подкаталог uVS

В этом случае все правильно запускается. Вначале far, потом uVS. winpe перезагружается если закрыть far. НЕсколько версий Winpe&uVS собирал из под конструктора uVS. Все нормально запускается.
http://chklst.ru/forum/discussion/61/winpeuvs

Есть утилита, CmpImg v1.0, ( на сайте автора), для сравнения образов автозапуска uVS.
Для неё, дан пример использования, такой:
cmpimg.exe uvs_old.txt uvs_new.txt > out.txt
где:
uvs_old.txt - старый образ автозапуска
uvs_new.txt - новый образ автозапуска
out.txt - результат сравнения образов в виде обычного текстового файла.

Кто может объяснить, как всё это понять?
Если запустить cmpimg.exe, то что- то мигает и всё...

запускать cmpimg надо с параметрами как в примере написано. только имена файлов свои подставляете

arvidos, вот я чего- то и не догоняю тут!
Ну, сделал я образ авто запуска- это архив, с названием OEM_2013-02-19_19-32-25.7z.
А вот как дальше запустить...не понимаю..?.Ну можно извлечь из архива..будет файл
OEM_2013-02-19_19-32-25.TXT.......

как в примере написано - так и запускать. из архива конечно же вытащить
вот мой пример на скрине:


Цитата:

cmpimg.exe HOME_20022013_023_OLD.TXT HOME_20022013_023_NEW.TXT > result.txt

в папке появился новый txt файл - result.txt с нужными данными

arvidos, если я правильно понял, то ( т.к. у меня ХР), надо :пуск-выполнить-cmd-ок .

И туда вставить :cmpimg.exe OEM_2013-02-19_19-32-25_OLD.TXT OEM_2013-03-19_43-21-56_NEW.TXT>result.txt

Где OEM_2013-02-19_19-32-25_OLD.TXT это извлечённый образ, с деланный сегодня, но дописали в него сами _OLD , а OEM_2013-03-19_43-21-56_NEW.TXT ,тоже самое, что сделаю 19 марта . с дополненной записью NEW ?

на имя файла вообще по барабану. это я их так назвал для наглядности. вы сами должны знать какие у вас файла старые, а какой новый.
можно конечно с командной строки писать параметры для программы, но лучше через тот же Total Commader - удобнее.

arvidos
А слова OLD и NEW ? Их приписывать не надо?! Просто название одного- старого образа, т.е. какой получился, и название, другого - нового образа....Видимо так?! Спасибо!

да, так
имя файла может вообще быть 1 и 2. главное чтоб разные и чтоб новый файл шел вторым по порядку

arvidos, с этим всё стало ясно! А вот дальше....
О применении нашёл, что утилитка и 2 образа должны быть в одной папке, которая должна находиться в системном каталоге.
В моём случае в Documents and Settings. Но что то не получилось, что не так?

у вас начальный путь видите какой?
c:\documents and settings\user\
там ведь нету программы и двух файлов
можно создать каталог в корне какого нибудь диска и потом переходить в него командой cd, например cd c:\123 - в этой папке должна быть программа и файлы. можете вводить команду.

arvidos,
большое спасибо! Получилось с вашей помощью!
Есть ещё утилита xMD5 для внесения хэшей из bl.log в реестр. Как её применить, нигде не нашёл. Ну запускать, наверно также, через cmd.?
Там можно ещё, вроде влиять на удалённый ПК, если с ним налажен удалённый доступ.
Видимо, для примера, такой командой: xmd5.exe 25.34.237.965 . Т.е. дописываем его IP.?
Вот теперь и самый тупой вопрос: чей хеш при этом, вносим и зачем это нужно?
bl.log не знаю, что это значит?

Цитата:

Есть ещё утилита xMD5 для внесения хэшей из bl.log в реестр. Как её применить, нигде не нашёл

а зачем вам в реестр добавлять их? это уже лишнее.

arvidos, просто хотел понять, как, в принципе, пользоваться этой утилитой.

если бы у меня была цель добавить штук 200 блокировок по хэшу, то я бы просто создал скрипт с текстом
bl 9D784A0C003D34AF9CE2F0001D28725F 2259560
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
bl 5D8997A212C23FCF2E6BB8031A631C43 1666288
и так далее
и выполнил его. не нужны никакие утилиты

arvidos, ясно! Тогда не буду с ней и заморачиваться. Спасибо!


Добавлено:
Да! забыл спросить. В скрипте, который выполняем с помощью uVs, есть строчка о блокировке, например bl D8E8D79F858A52F759F5059D1D2DF3E8 43328. Вот она навсегда остаётся в винде, или действует только на время выполнения скрипта?

навсегда

arvidos,
А, если- "твики"-"Сброс ключей Winlogon в начальное состояние".
Это блокировку, введённую скриптом, не снимает?

одно с другим никак не связано. сброс ключей - это просто сброс ключей в ветке реестра - HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon - применяется в основном если в системе были баннеры-блокировщики, которые там себя прописывают

arvidos,
Большое спасибо!

Обновлялку прикрутили:
http://dsrt.dyndns.org/files/uvs_update_enu.zip

http://dsrt.dyndns.org/files/uvs_update.zip

Engaged Clown
Ога, только с какой-то системой регистрации непонятно чего непонятно зачем. На мой мэйл письмо с кодом так и не пришло.

Добавлено:
Пришлось регаться на фиктивный ящик Рега прошла.

Решил подробно изучить сабж, долгое время пользовался AVZ. Судя по описанию функционал серьезный