Загрузочный Winpe&uVS, предназначен для лечения систем от winlock, бутктитов, руткитов и других трудноудаляемых вирусов.

Год: 2011
Версия: 3.67
Разработчик: uVS / Кузнецов Дмитрий
Разрядность: 32bit
Язык интерфейса: Английский + Русский
Таблетка: Не требуется
Системные требования: XP, Vista, Windows 7, 32
Размер: 156 Мб


загрузочный Winpe&uVS, собран на базе WAIK for Windows 7... предназначен для лечения систем от winlock, бутктитов, руткитов и других трудноудаляемых вирусов. в сборку добавлены также far 2 портабельный, bootice, а так же библиотека STORE с копиями файлов userinit.exe, taskmgr.exe для XP SP3, Vista SP2, Win 7 SP1 (библиотека необходима для восстановления системных файлов, перезаписанных Winlock-ром.)

основная нагрузка (для чего собственно и создан загрузочный winPE - это утилита uVS (universal Virus Sniffer)
краткое описание утилиты вы найдете в здесь, а так же в сообщениях других пользователей на rutracker и других сайтах.

"uVS разрабатывается с 2009г, c оригинальной и неповторимой методикой, предназначена для ИТ специалистов, и возможно, будет более сложна для пользователей без достаточных знаний о Windows. Функции поддержки пользовательских списков безопасных файлов и пользовательской базы сигнатур позволяют исследователю создать свой мини-вирлаб, интегрировать личные списки и базы в общие в интересах ИТ-сообщества."

Universal Virus Sniffer (uVS) - утилита для облегчения процесса обнаружения и уничтожения еще неизвестных обычным антивирусам вирусов, троянов и руткитов (т.н. 0-day malware).
Допускает работу с активными, неактивными и удаленными системами.

Обратите внимание: uVS не является заменой антивирусному ПО и предназначен прежде всего для специалистов по лечению систем от вирусов.

в отличие от AVZ (антивируса Зайцева), uVS - менее известная программа, разрабатывается с 2009г, c оригинальной и неповторимой методикой, предназначена для ИТ специалистов, и возможно, будет более сложна для пользователей без достаточных знаний о Windows. Функции поддержки пользовательских списков безопасных файлов, сигнатур, критериев поиска вредоносных программ позволяют исследователю создать свой мини - вирлаб, интегрировать личные списки и базы в общие в интересах ИТ-сообщества. Механизм авто_скрипта, развиваемый в uVS, сокращает время, затрачиваемое на анализ зараженной системы и написание рабочего скрипта до разумного минимума.
Активно используется на форуме Eset Russia для лечения активного заражения.

Universal Virus Sniffer (uVS), Антивирусная утилита для уничтожения неизвестной заразы

AVZ, uVS, прежде всего – две замечательные антивирусные утилиты российских программистов Зайцева Олега , Кузнецова Дмитрия обладают уникальным функционалом, который позволяет в большинстве случаев оперативно излечивать зараженные системы.

AVZ развивается достаточно давно (собственно, на наших глазах), с 2004 г. За это время эволюционировал от быстро сканирующей утилиты, к комплексной программе с менеджерами процессов, служб и драйверов, автозапуска и др., с подсистемой ограничения активности приложений avzguard, драйвером расширенного мониторинга процессов avzpm, антируткитом, ревизором, подсистемами исследования, восстановления, мастером поиска и устранения проблем. Широко применяется специалистами по ИТ-безопасности, и просто опытными пользователями.

uVS - менее известная программа, разрабатывается с 2009г, c оригинальной и неповторимой методикой, предназначена для ИТ специалистов, и возможно, будет более сложна для пользователей без достаточных знаний о Windows. Функции поддержки пользовательских списков безопасных файлов и пользовательской базы сигнатур позволяют исследователю создать свой мини-вирлаб, интегрировать личные списки и базы в общие в интересах ИТ-сообщества.

Уникальные возможности:

01. Три основных режима: работа с активными, неактивными, удаленными системами.
02. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
02. Создание образов автозапуска. (например для удаленного помощника).
03. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
04. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
05. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
06. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
07. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
08. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписейпод чистой системой]
09. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
10. Обнаружение скрытых DLL в адресном пространстве процесса.
11. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
12. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
13. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
14. Бэкап реестра с его дефрагментацией и восстановлением.
15. Выявление исполняемых файловых потоков.
16. Виртуализация реестра.
17. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.

список изменений в версии 3.67 впечатляющий:
v3.67
Я учел некоторые пожелания, исправил по мелочам и добавил возможность включить поддержку AHCI - это не_лечебная фича, но довольно часто требуется, надоело уже руками включать.
База проверенных обновлена.

Финальный список исправлений:

o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).
Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.
(!) Для FAT16/exFAT сохраняется код из бутсектора.
(!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)
(!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.
Функция доступна в любом режиме.

o Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS)
Функция доступна в любом режиме.

o Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS).
(меню "Руткиты")

o Добавлена скриптовая команда fixvbr.
Пример: fixvbr c: 6
где с - имя загрузочного диска,
6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)
Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.
Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.
Команда fixvbr принимает в качестве второго параметра любое _число.
(!) Команда не_доступна при работе с удаленной системой.

o MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

o Новый пункт в меню "Реестр" -> "[INTEL] Включить поддержку AHCI..."
Функция доступна для активной и неактивной системы.
(Для XP/2k3 перед использованием см. AHCI.txt).
(!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений.

o Новые параметры в settings.ini
[Settings]
; Фильтр по производителю антивируса через запятую.
vFilter (сторка)
Фильтр применяется в функциях массовой проверки файлов.
Результаты проверки антивирусом не попавшим в список учитываться не будут.
Пример: Kaspersky, DrWeb, AntiVir
(!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно
(!) указывать оба варианта.

; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранне полученных данных с VT или JT.
vGetName (строка)
В строке можно указать через запятую производителей в порядке приоритета.
Пример: Kaspersky, DrWeb, AntiVir

o Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу.
Функция доступна в контекстном меню файла.
Скриптовая команда "rbl".

o Новая горячая клавиша Alt+M
Переключает режим поиска: по имени или по производителю.

o Разрешено добавление сигнатур из файлов находящихся в локальном Zoo.
(для всех режимов)

o В uVS добавлена базовая поддержка GPT.
Соотв. загрузчики присутствуют в списке под именем MBRGPT#...

o (!) Изменен формат базы вирусов.
Добавлена функция обнаружения повреждений базы.
Добавлено примечание (127 символов) и длина имени увеличена до 39 символов.
База конвертируется автоматически при первом ее изменении.
Импорт поддерживается из обоих форматов.

o (!) Изменен формат файла сверки.
Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

Скриншоты: