Новые функции в Universal Virus Sniffer (uVS)

[alamor 69]

вы знаете сколько ненужного мусора в реестре? каждую запись чистить запаритесь.

Вручную конечно запарюсь, но есть же безопасное удаление ссылок для чистки этого мусора .

и та запись от msconfig именно к мусору и относится. они ничем не вредна, но и пользы нет.

Только появляется вследствие заражения вирусом .

ведь uVS это не CCleaner чтоб чистить весь (!!!) мусор в системе

Весь мусор и не надо, хватит только того, что вирусы создают .

[PR55.RP55 83]

alamor

PR55.RP55 можете указать, что конкретно ценного добавится ? Большинство файлов, чем-то упакованы и всё что вы увидите это каким пакером они сжаты.

Пусть даже так.

Увидим упакован файл или нет.

Соответственно, если все версии имеют упаковку - это можно добавить в критерий.

И неважно чем упакован. "Упакован: Да/Нет"

Насчёт Hosts - да есть замечания.

Как при первичном формировании - так и при изменении критерия.

При первичном добавить в меню: "копировать в буфер обмена"

По: msconfig

alamor

Вручную конечно запарюсь, но есть же безопасное удаление ссылок для чистки этого мусора

Всё подряд что ли зачистить этой командой ?

Мол отключено - давайте удалим автоматом так ?

[alamor 69]

Всё подряд что ли зачистить этой командой ?

Мол отключено - давайте удалим автоматом так ?

Нет, не так.

1) При удаление вирусного файла автоматом чистятся эти записи.

2) Отключенный автозапуск также отображается в общем образе, а оператор принимает решение вирусный файл или нет.

[alamor 69]

P.S. Разумеется безопасное удаление ссылок, тоже чистит эти ключи если файла уже нет.

[santy 153]

santy я про это

как видно по скрину критерий на эту строчку уже есть, но из этого окна добавить ещё одно условие к нему нельзя.

дак откуда uVS будет знать, с каким именем был создан первый host критерий, чтобы считать его текущим? (и в него добавлять новые условия.)

если объект инфо можно пересчитать заново и переопределить контекстное меню, с учетом действия "сделать А1 критерий текущим",

то с логом, который формируется в подвале этот номер не пройдет. контекстное меню формируется на момент попадания записи в лог.

[demkd 636]

alamor

про hosts подумаю

[PR55.RP55 83]

Simplix Реализовано v. AntiSMS.4.0

Что может быть полезного из реализованного и для uVS:

1) Значительно переработан механизм проверки подписанных файлов, который позволяет выявлять даже подписанные вредоносные файлы.

2) Для ключей Shell и Userinit в лог добавляются предыдущие записи, по которым можно отследить сложные сценарии запуска вирусов.

3) Значительно увеличена скорость работы программы благодаря замене алгоритмов проверки и оптимизации под многоядерные процессоры.

[santy 153]

судя по списку обновлений в в 4.0, скорее AntiSMS добавляет что-то полезное из uVS. .

[PR55.RP55 83]

Santy пишет: судя по списку обновлений в в 4.0, скорее AntiSMS добавляет что-то полезное из uVS.

Технологии могут отличаться - подходы - методы решения = эффективность.

Сравнить - посмотреть - скорректировать/оптимизировать работу.

[alamor 69]

Просьба добавить возможность установки статуса - Проверен через Shift+Space в окно подобной информации о файле. Открыл его, посмотрел подробней, что за файл и почем uVS его считает подозрительным и тут же горячей клавишей пометил проверенным.

[demkd 636]

alamor

добавлю

[akoK 75]

А можно добавить на панель запуска ссылки на выполнение скрипта? Не думаю, что удобно каждый раз проходить анализ системы.

[santy 153]

А можно добавить на панель запуска ссылки на выполнение скрипта? Не думаю, что удобно каждый раз проходить анализ системы.

akok, а если в скрипт добавлена например команда delref COPY, или проверка по сигнатурам chklst&delvir то какие действия будет выполнять uVS, если предварительно не проанализирован образ автозапуска и не посчитаны суммы объектов? или как будет выполнена зачистка ссылок в реестре после удаления файла из автозапуска?

[demkd 636]

akoK

_Режимы запуска.txt

/t

а вот чтоб без анализа не получится, многие команды требуют чтоб список файлов был предварительно сформирован,

но можно запускать и без анализа в settings.ini, конечно не в случае выполнения скрипта.

bFastLoad

bNetFastLoad

[akoK 75]

если предварительно не проанализирован образ автозапуска и не посчитаны суммы объектов?

Ну это не проблема, запуск скрипта из главного окна запускает анализ системы, возможно можно будет добавить несколько скриптовых команд, дабы запускать сокращенный/ расширенный анализ.

akoK _Режимы запуска.txt/t

Помню, проблема объяснить пользователю как добавить ключ, это не стоит того.

[santy 153]

akok,

файл специальный для этого создан. чтобы ручками не вбивать. называется script.cmd

его содержимое.

start.exe /t

1. копируется скрипт в буфер обмена.

2. запускается script.cmd

[akoK 75]

santy, спасибо.

[santy 153]

demkd,

может добавить новый метод удаления объектов со статусом ?ВИРУС? - (4) вариативный с вычисляемым действием

к существующему сейчас списку 0-3?

o Новый параметр в settings.ini

[settings]

; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции

; автоскрипта.

ImgAutoDelMethod1 (по умолчанию 1)

0 - игнорировать

1 - применить delall

2 - применить delref

3 - применить delref+del

скажем, если объектом являются ссылки на стартовые страницы (объекты браузеров), то в скрипт формируется команда delref;

если файл не имеет статуса АКТИВНЫЙ, то можно удалить через delall;

если файл АКТИВЕН, но не содержит ссылок, то выгрузить из памяти (если он активен) и удалить через del;

если файлик dll внедрен в системные процессы, тогда удаляем через delref+del (во избежание BSOD);

[Angel-iz-Ada 0]

можно ли сделать окно сохранения скрипта масштабируемым и чтоб он размер запоминал? а то иногда приходится не только вниз листать, но и в бок, чтоб посмотреть имя\длину сигнатуры

[akoK 75]

1. копируется скрипт в буфер обмена.

2. запускается script.cmd

А почему не вывести это пунктом меню?

[Аркалык 19]

Angel-iz-Ada , Я сперва сохраняю на блокноте, потом там редактирую, так удобнее.

[Angel-iz-Ada 0]

1. это не удобно

2. это двойная работа

[demkd 636]

Angel-iz-Ada

можно конечно, но пока лень

[santy 153]

demkd,

хотелось бы автоматизировать восстановление rpcss.dll следующим образом:

1. выполнить скриптовую функцию restore(file) при наличии доступа в инет

2. файл при этом скачивается в подкаталог files при наличие его на серверах.

3. далее, выполнить проверку (на уровне команды), если данный файл существует,

то выполнить последовательность скриптовых действий.

[santy 153]

что -то типа такого скрипта чтобы можно было написать.

restore(C:\WINDOWS\SYSTEM32\RPCSS.DLL)

IF exist file(files\rpcss.dll)

zoo %Sys32%\RPCSS.DLL

EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"

EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"

EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"

EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll"

ENDIF

.........

другие команды

--------

хотя, скорее всего пришлось бы в разных скриптах писать команды.

вначале восстановление,

а затем уже вторым скриптом - замена.