(Администратор) Реп. 
Утилита, основная задача которой облегчить процесс обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов. В первую очередь программа предназначена для ИТ специалистов и разработчиков антивирусных продуктов, предлагая широкие возможности для восстановления и дефрагментации системного реестра, ведения работы с неактивными системами и удаленными ПК, автоматического определения подозрительных файлов, процессов, сервисов, скриптов, модулей, драйверов и многое другое.
- Три основных рабочих режима (работа с активными, неактивными, удаленными системами).
- Работа с реестром в трех режимах (удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом).
- Создание образов автозапуска (например для удаленного помощника).
- Симуляция работы в виртуальной системе на основе ее образа.
- Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
- Наличие уникального набора фильтров и встроенного анализатора для быстрого обнаружения неизвестных угроз.
- Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в том числе защищенных).
- Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
- Быстрое обнаружение и легкое устранение любых файловых руткитов.
- Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x).
- Обнаружение скрытых DLL в адресном пространстве процесса.
- Специальный иммунный модуль зачистки системы перед запуском программы.
- Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows.
- Возможность восстановления поврежденных/отсутствующих файлов из дистрибутива Windows.
- Резервное копирование реестра с его дефрагментацией и восстановлением.
- Выявление исполняемых файловых потоков.
- Виртуализация реестра.
- Взаимодействие с редактором реестра.
- Возможность проверки непроверенных файлов на VirusTotal.com.
- Поддержка "горячих" клавиш.
- Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE).
- Поддержка автобэкапа реестра прямо из утилиты.
Разработчик: Dmitriy Kuznetzoff
Интерфейс: русский
Состояние: бесплатно
Платформа: WinPE + Windows Server + Windows Vista и новее
Внимание: программа исполняет команды без ненужных запросов и использование её без понимания собственных действий, неизбежно приведет к печальным последствиям!
Список изменений:
o uVS стал полностью 64-х битным, версии 4.99.x поэтапно будут предоставлять ранний доступ к функционалу v5.0.
Общедоступный релиз v5.0 состоится после того как весь запланированный функционал будет реализован.
o uVS разделен на 4 версии: uVS x86, uVS x86v, uVS x64, uVS x64v.
v-версии для систем начиная с Vista и обычные версии для остальных, версия выбирается автоматически стартером (start.exe).
Добавлен start_x64.exe для запуска uVS x64(v) в WinPE x64 и 64-х битном режиме командной строки (доступен начиная с Win8),
старый start.exe запускает x64 версию в 64-х битных системах и x86 версию в 32-х битных.
"v" версии теперь работают быстрее на 15%, а обычная версия сравнялась по скорости с v4.15.7v.
Образы автозапуска совместимы с версиями любой разрядности начиная с uVS v4.15.4.
(!) Только "v" версии поддерживают работу с теневыми копиями.
o Это обновление добавляет поддержку многоядерных процессоров.
o В меню Настройки->Дополнительные настройки добавлена возможность указать количество рабочих потоков
для функций:
o Создание файла сверки (нельзя прервать)
o Создание образа автозапуска (нельзя прервать)
o Загрузка производителя [F3] (доступно прерывание функции по ESC)
o Проверка по базе проверенных файлов [F4] (доступно прерывание функции по ESC)
o Проверка ЭЦП [F6] (доступно прерывание функции по ESC)
o Проверка по базе критериев [Alt+F7] (доступно прерывание функции по ESC)
o Фильтрация по базе критериев [Ctrl+F7] (доступно прерывание функции по ESC)
o Проверка списка по выбранному критерию (доступно прерывание функции по ESC)
o Проверить весь список на вирусы (доступно прерывание функции по ESC)
o Добавить хэши всех проверенных файлов в базу проверенных (доступно прерывание функции по ESC)
o Добавить хэши исполняемых файлов каталога в базу проверенных (доступно прерывание функции по ESC)
Значение 0 задает количество потоков равным количеству ядер процессора (включая виртуальные), виртуальные ядра
могут ускорить процесс на лишние 30%.
Как сказывается использование E-ядер неизвестно, но скорее всего ощутимой разницы с P ядрами не будет,
поэтому на новых интелах + NVME SSD сокращение времени исполнения функций скорее всего будет огромным.
При подключении к удаленной системе для серверной части uVS количество потоков всегда равно количеству ядер (включая виртуальные).
Для клиентской части действует заданное в настройках значение.
Для системного диска на базе SSD время выполнение функции уменьшается многократно (для 4-х ядерных процессоров вплоть до 4x на SATA SDD),
для современных конфигов может иметь смысл задание большего числа потоков чем количество ядер у процессора (допустимый максимум - 128).
Для HDD все гораздо хуже, время проверки немного сокращается (10-20%), однако когда часть файлов находится
в кэше системы (т.е. в оперативной памяти) разница будет существенной и для HDD.
Конечно все это верно лишь для процессоров с более чем 1 ядром.
(!) Прерывание функции по клавише ESC недоступно для удаленных систем.
o Другие функции, которые можно прервать по ESC:
o Проверить все НЕПРОВЕРЕННЫЕ файлы на VirusTotal.com
o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на VirusTotal.com
o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com (c учетом фильтра)
o Проверить все НЕПРОВЕРЕННЫЕ файлы на virusscan.Jotti.org
o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на virusscan.Jotti.org
o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на virusscan.Jotti.org (с учетом фильтра)
o Проверить хэш файла по базе проверенных файлов
o Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты
o Обновлен функционал окна "История процессов и задач".
Добавлена информация о текущем состоянии задач зарегистрированных в системном планировщике заданий.
Добавлена новая кнопка "С момента запуска системы", которая переключает режим отображения истории.
Если кнопка нажата то история отображается только с момента запуска системы, все что было раньше не попадает в список.
Если кнопка отжата то отображается вся доступная история процессов и задач,
что может быть полезно для выявления зловредной активности непосредственно перед перезагрузкой системы.
история вплоть до старта системы.
Для каждой задачи по двойному щелчку левой кнопки мыши можно просмотреть XML описание задачи.
Теперь фильтрующий поиск работает на все колонки активного списка одновременно, поддерживается
фильтрация и списка процессов и списка задач, в зависимости от того какой список активен.
Фильтрующий поиск применяется на результат работы родительского фильтра.
Горячая клавиша Backspace больше не влияет на родительский фильтр, для отката уровня родительского
фильтра используйте клавиши ESC (если строковый фильтр пуст) или Alt+Up (откат со сбросом строкового фильтра).
(см. подробнее в файле DocИстория процессов и задач.txt)
(!) Только для Vista и старше.
(!) Только для активных и удаленных систем.
o Включение отслеживания процессов и задач теперь увеличивает системный журнал до 50mb,
отключение возвращает размер по умолчанию.
o Новая скриптовая команда: deltskname полноеимязадачи
Удалить задачу с указанным именем.
Имя задачи должно начинаться с символа "", например: Task
Допустимо указывать каталоги например: MicrosoftЗадача
(!) Только для Vista и старше.
o Возвращено отображение цифровых процентов в заголовке окна, поскольку в некоторых системах графическое отображение
прогресса выглядит не очень наглядно.
o В окно выбора каталога/файла добавлен фильтрующий поиск (по обоим спискам одновременно если это выбор файла).
В окне изменились горячие клавиши:
o - перейти к выбору диска
o DEL - удалить каталог/файл (с подтверждением)
o ESC - очистить фильтр, если фильтр пуст то закрыть окно.
o Backspace - удалить последний символ фильтра
o Alt+Вверх - перейти в родительский каталог
o Функция создания образа автозапуска теперь не использует базы проверенных файлов и все проверенные файлы ДО создания
образа теряют статус "проверенный". Т.е. в образе статус проверенный имеют лишь файлы прошедшие проверку ЭЦП.
o Поскольку AutoHotkey используется зловредами то теперь все его актуальные версии выявляются под любым именем по F3 или
при создании образа автозапуска и получают статус подозрительного файла.
Соответствующие имени файла скрипты автозапуска добавляются в список автоматически и тоже получают статус подозрительных файлов.
Содержимое скрипта доступно в окне информации ahk файла.
o Введены новы лимиты на количество элементов в списке автозапуска для x64 версий в списке может быть до 1 млн. файлов,
для x86 до 150 тысяч файлов. (Обычно в образе менее 10 тысяч файлов)
o Оптимизированы функции сортировки, фильтрации и вывода списка.
o В категории HOSTS добавлен фильтрующий поиск по 2 первым колонкам одновременно.
Сортировки в этой категории нет, записи представлены в порядке следования в оригинальных файлах.
Первыми идут записи из HOSTS, что лежит по прописанному в реестре пути, если путь отличается от пути по умолчанию
то дальше идут записи HOSTS из WindowsSystem32driversetc, далее записи из HOSTS.ICS.
В этой категории теперь работает горячая клавиша DEL.
o Найдена ошибка в Windows API из-за которой для некоторых файлов не отображался производитель и другая информация о версии файла.
Сам Windows для таких файлов не отображает случайные параметры на вкладке "Подробно" в свойствах файла.
Ошибку удалось обойти и теперь в окне информации о файле отображаются все значимые параметры для всех исполняемых файлов.
o Улучшен альтернативный режим сканирования процессов. (ctrl+p)
o В контекстное меню окна информации о файле добавлен поиск по имени подписавшего файл.
o Удалена скриптовая команда EXEC32 за бесполезностью.
o Из настроек основного списка удален обычный поиск за бесполезностью.
o Добавлен вывод предупреждения в лог при обнаружении вируса в списке при загрузке производителя и сигнатур про F3.
o Исправлена и улучшена функция вывода результата исполнения консольных приложений.
Теперь вывод осуществляется в реальном времени с поддержкой отображения динамического текста в последней строке.
Проблема с кодировкой для старых систем решена.
Добавлено время выполнения приложения.
o Результат выполнения команды gpudpate теперь отображается в логе.
o Сообщение об отсутствии пользовательского реестра в каталоге "All users"/ProgramData больше не выводится.
o Немного дополнена документация.
o Исправлена ошибка из-за которой вместо обычной x64 версии для старых систем запускалась x64v версия.
o Исправлено ошибочное сообщение в логе при исполнении 44 твика.
o Исправлена ошибка при сохранении истории задач в образ и при передаче данных из удаленной системы.
o Исправлена и оптимизирована функция проверки списка по выбранному критерию.
o Исправлена ошибка с растущим временем отката операции по Ctrl+Z при работе с образом.
o Исправлена ошибка при определении параметров *OperatingSystemVersion для 64-х битного исполняемого файла.
o Исправлена ошибка с неправильным откатом операции по HOSTS при работе с образом.
o Исправлена ошибка подписи образа автозапуска удаленной системы (появилась в v4.15.4)
o Исправлена функция Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты
o Добавлена поддержка восстановления реестра из теневых копий.
В окно выбора каталога выбора доступных копий реестра была добавлена кнопка "Извлечь полные копии реестра из Тени".
Функция доступна для активных, неактивных и удаленных систем начиная с Vista.
При успешном выполнении функции в каталоге WindowsABR будут созданы полные (включая пользовательский реестр),
автономные (есть утилиты restore и defrag) копии реестра.
Наименования каталогов с копиями: "yyy-mm-dd_hh-mm_shadowcopy".
Даблклик по каталогу сохранения откроет его в эксплорере.
Перед использованием выбранной копии реестра рекомендуется запустить defrag из каталога сохранения и убедиться, что копия реестра исправна.
(!) Только утилита defrag исправляет копию реестра, даже если реестр грузится или был успешно восстановлен системой при загрузке еще не означает,
(!) что копия не содержит ошибок.
o Добавлен режим восстановления реестра для неактивных систем.
Если uVS не смог загрузить реестр неактивной системы то автоматически открывается окно восстановления реестра из каталога,
в котором можно выбрать копию реестра по дате или найти подходящую копию в Тени. (если имеются доступные теневые копии системного тома).
o Добавлен вывод ошибок в лог при невозможности загрузить пользовательский реестр.
o Запуск uVS с командной строки без загрузки с диска для работы с неактивной системой.
1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
3. Выберите админскую учетную запись и введите для нее пароль.
4. Запустите start.exe/start_x64.exe из каталога uVS.
(!) Обычно система расположена на диске C или D.
Например: uVS лежит в каталоге С:uvs (в командной строке это будет D:uvs)
Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
1. d:
2. cd d:uvs
3. start_x64.exe
5. Выберите каталог Windows (обычно D:Windows и он автоматически выбран).
Если у вас Windows 7 и младше, то в меню вы можете попасть только зажав F8 при перезагрузке системы.
(!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
o Восстановлена поддержка запуска uVS с командной строки под Windows 8/8.1.
o Обновлена функция создания загрузочного диска.
Теперь вы можете создавать образы на базе WinPE x64, в том числе с помощью ADK последней версии для Windows 11.
(!) Создание x86 ISO возможно лишь при наличии ADK+PE 2004 и младше, в более новых версиях ADK+PE поддержки x86 нет.
Доступно редактирования автозапуска, по умолчанию выбран запуск uVS и FAR выбранной разрядности.
Действуют следующие ограничения:
Одна строка = одно приложение.
Допустимая длина строки: 250 символов.
Допустимый размер текста: 4096 символов.
Программы в автозапуске запускаются последовательно.
После завершения последнего приложения в списке WinPE автоматически уйдет в перезагрузку.
Чтобы указать параметры командной строки приложения, добавьте запятую (,) после имени приложения:
Например: %SYSTEMDRIVE%FAR64far.exe, C: D:
(!) Под WinPE x64 доступен запуск лишь 64-х битных приложений, 32-х битные приложения запускаться не будут.
Пакеты HTA и Scripting теперь интегрируются в образ автоматически, поскольку это необходимо для запуска uVS.
Добавлена возможность интегрировать пакет FMAPI.
Про пакеты и их назначение вы можете почитать здесь:
WinPE: добавление пакетов (ссылка на необязательные компоненты)
Про доступные версии ADK здесь:
Скачивание и установка Windows ADK
o Добавлен твик #44, который включает периодический системный бэкап реестра в каталог WindowsSystem32configRegBack
Начиная с Windows 10 1803 периодический бэкап отключен по умолчанию.
o Во время выполнения команд интерфейс больше не подвисает: окно можно сворачивать, менять размер и т.д.
o Системные процессы без расширения добавлены в список процессов.
o Обновлен эмулятор редиректора реестра, теперь учитывается версия системы и выбирается тип ключа реестра соответствующий версии системы (shared, redirected...).
Трансляция путей к 32-битным файлам для shared ключей не производится, кроме одного ключа, где это имеет смысл.
Т.е. при работе с активной x64 системой uVS теперь работает с ее реестром точно так же как и с неактивной системой, в реестре которой физически нет отображения
"shared" ключей в ветку WOW6432Node.
Для "redirected" ключей изменений нет, отображаются ссылки и на x64 и на x86 файлы.
o Новые горячие клавиши:
Ctrl+Shift+* - Инвертировать фильтр (действует только на кнопки скрытия из списка)
Сбрасывается при смене категории.
Alt+Shift+I - Пометить процесс окна на переднем плане как подозрительный (если текущий рабочий стол "Default")
Дополнительно переключает рабочий стоил c "Default" на рабочий стол uVS (если uVS запущен на чистом рабочем столе - start.exe /d) и обратно.
o Запуск на чистом рабочем столе теперь совместим с UAC. (start.exe /d)
Запуск под LocalSystem на чистом рабочем столе теперь доступен только для систем младше Vista.
o Удалена горячая клавиша Alt+Shift+A при запуске с чистым рабочим столом.
o Изменен способ одновременного закрытия клиентской и серверной копии uVS из окна управления удаленным рабочим столом.
Клик правой кнопкой мыши по дополнительной кнопке закрытия окна (кнопка с крестиком внутри окна) ВСЕГДА закрывает обе копии.
ЕСЛИ установлен флаг bReUseRemote в settings.ini то обычный клик левой кнопкой закрывает только клиентскую копию uVS.
ЕСЛИ НЕ установлен флаг bReUseRemote (значение по умолчанию) то закрываются обе копии.
o Список горячих клавиш вынесен в отдельный файл "Горячие клавиши.txt"
o Добавлено несколько новых ключей автозапуска.
o Добавлена текстовая расшифровка кодов завершения задачи.
o Файлы начинающиеся на "." или имеющие пробелы перед расширением теперь автоматически помечаются как подозрительные.
o Подозрительные файлы с формулировкой "Имя файла типичное для вирусов или содержит Non-ASCII символы" не теряют статус подозрительного при успешной
автоматической_ проверке по базе проверенных файлов (включая массовую проверку по F4).
Убрать статус можно лишь ручной проверкой файла.
o Функция повторного сканирования файла на VT по хэшу теперь автоматически открывает отчет о сканировании в браузере.
o Обновлен эмулятор системного редиректора.
o Обновлена функция сверки: теперь защищенные файлы считаются подозрительными.
o Обновлена функция получения списка расширений под новые версии Firefox.
o Добавлена поддержка переменной окружения PROCESSOR_ARCHITECTURE.
o Добавлена функция эмуляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA, PROCESSOR_ARCHITECTURE, PROGRAMW6432, COMMONPROGRAM6432.
при работе с неактивными системами.
Пользовательские переменные указывают на каталоги профиля последнего пользователя неактивной системы.
o Функция "Поиск объектов отсутствующих в списке PEB_LDR_DATA активных процессов" удалена.
o Из контекстного меню удален runscanner.net
o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google.
o Улучшена функция построения списка загруженных DLL.
o Обновлены функции вывода содержимого консоли приложения в лог.
o Исправлена ошибка из-за которой для некоторых файлов не отображались ссылки на них.
o Исправлена функция разбора кэша задач.
o Исправлена функция антисплайсинга.
o Теперь при переходе в категорию "Файлы без проверенной подписи" автоматическая проверка эцп не производится.
o Исправлена дата при вводе новой вирусной сигнатуры.
o Исправлена блокировка некоторых клавиш при свернутом окне удаленного рабочего стола.
o Исправлена критическая ошибка в функции извлечения сигнатуры из файла при прямом доступе к диску.
o В окне информации исправлена ошибка отображения параметров файлового потока.
o Исправлена ошибка проверки ЭЦП для файлов из последних обновлений Windows 7 x64,
где для внешней подписи разных системных файлов может быть использован как SHA1, так и SHA256.
o Обновлены базы известных файлов.
o Исправлены мелкие ошибки.
Общедоступный релиз v5.0 состоится после того как весь запланированный функционал будет реализован.
o uVS разделен на 4 версии: uVS x86, uVS x86v, uVS x64, uVS x64v.
v-версии для систем начиная с Vista и обычные версии для остальных, версия выбирается автоматически стартером (start.exe).
Добавлен start_x64.exe для запуска uVS x64(v) в WinPE x64 и 64-х битном режиме командной строки (доступен начиная с Win8),
старый start.exe запускает x64 версию в 64-х битных системах и x86 версию в 32-х битных.
"v" версии теперь работают быстрее на 15%, а обычная версия сравнялась по скорости с v4.15.7v.
Образы автозапуска совместимы с версиями любой разрядности начиная с uVS v4.15.4.
(!) Только "v" версии поддерживают работу с теневыми копиями.
o Это обновление добавляет поддержку многоядерных процессоров.
o В меню Настройки->Дополнительные настройки добавлена возможность указать количество рабочих потоков
для функций:
o Создание файла сверки (нельзя прервать)
o Создание образа автозапуска (нельзя прервать)
o Загрузка производителя [F3] (доступно прерывание функции по ESC)
o Проверка по базе проверенных файлов [F4] (доступно прерывание функции по ESC)
o Проверка ЭЦП [F6] (доступно прерывание функции по ESC)
o Проверка по базе критериев [Alt+F7] (доступно прерывание функции по ESC)
o Фильтрация по базе критериев [Ctrl+F7] (доступно прерывание функции по ESC)
o Проверка списка по выбранному критерию (доступно прерывание функции по ESC)
o Проверить весь список на вирусы (доступно прерывание функции по ESC)
o Добавить хэши всех проверенных файлов в базу проверенных (доступно прерывание функции по ESC)
o Добавить хэши исполняемых файлов каталога в базу проверенных (доступно прерывание функции по ESC)
Значение 0 задает количество потоков равным количеству ядер процессора (включая виртуальные), виртуальные ядра
могут ускорить процесс на лишние 30%.
Как сказывается использование E-ядер неизвестно, но скорее всего ощутимой разницы с P ядрами не будет,
поэтому на новых интелах + NVME SSD сокращение времени исполнения функций скорее всего будет огромным.
При подключении к удаленной системе для серверной части uVS количество потоков всегда равно количеству ядер (включая виртуальные).
Для клиентской части действует заданное в настройках значение.
Для системного диска на базе SSD время выполнение функции уменьшается многократно (для 4-х ядерных процессоров вплоть до 4x на SATA SDD),
для современных конфигов может иметь смысл задание большего числа потоков чем количество ядер у процессора (допустимый максимум - 128).
Для HDD все гораздо хуже, время проверки немного сокращается (10-20%), однако когда часть файлов находится
в кэше системы (т.е. в оперативной памяти) разница будет существенной и для HDD.
Конечно все это верно лишь для процессоров с более чем 1 ядром.
(!) Прерывание функции по клавише ESC недоступно для удаленных систем.
o Другие функции, которые можно прервать по ESC:
o Проверить все НЕПРОВЕРЕННЫЕ файлы на VirusTotal.com
o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на VirusTotal.com
o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com (c учетом фильтра)
o Проверить все НЕПРОВЕРЕННЫЕ файлы на virusscan.Jotti.org
o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на virusscan.Jotti.org
o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на virusscan.Jotti.org (с учетом фильтра)
o Проверить хэш файла по базе проверенных файлов
o Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты
o Обновлен функционал окна "История процессов и задач".
Добавлена информация о текущем состоянии задач зарегистрированных в системном планировщике заданий.
Добавлена новая кнопка "С момента запуска системы", которая переключает режим отображения истории.
Если кнопка нажата то история отображается только с момента запуска системы, все что было раньше не попадает в список.
Если кнопка отжата то отображается вся доступная история процессов и задач,
что может быть полезно для выявления зловредной активности непосредственно перед перезагрузкой системы.
история вплоть до старта системы.
Для каждой задачи по двойному щелчку левой кнопки мыши можно просмотреть XML описание задачи.
Теперь фильтрующий поиск работает на все колонки активного списка одновременно, поддерживается
фильтрация и списка процессов и списка задач, в зависимости от того какой список активен.
Фильтрующий поиск применяется на результат работы родительского фильтра.
Горячая клавиша Backspace больше не влияет на родительский фильтр, для отката уровня родительского
фильтра используйте клавиши ESC (если строковый фильтр пуст) или Alt+Up (откат со сбросом строкового фильтра).
(см. подробнее в файле DocИстория процессов и задач.txt)
(!) Только для Vista и старше.
(!) Только для активных и удаленных систем.
o Включение отслеживания процессов и задач теперь увеличивает системный журнал до 50mb,
отключение возвращает размер по умолчанию.
o Новая скриптовая команда: deltskname полноеимязадачи
Удалить задачу с указанным именем.
Имя задачи должно начинаться с символа "", например: Task
Допустимо указывать каталоги например: MicrosoftЗадача
(!) Только для Vista и старше.
o Возвращено отображение цифровых процентов в заголовке окна, поскольку в некоторых системах графическое отображение
прогресса выглядит не очень наглядно.
o В окно выбора каталога/файла добавлен фильтрующий поиск (по обоим спискам одновременно если это выбор файла).
В окне изменились горячие клавиши:
o - перейти к выбору диска
o DEL - удалить каталог/файл (с подтверждением)
o ESC - очистить фильтр, если фильтр пуст то закрыть окно.
o Backspace - удалить последний символ фильтра
o Alt+Вверх - перейти в родительский каталог
o Функция создания образа автозапуска теперь не использует базы проверенных файлов и все проверенные файлы ДО создания
образа теряют статус "проверенный". Т.е. в образе статус проверенный имеют лишь файлы прошедшие проверку ЭЦП.
o Поскольку AutoHotkey используется зловредами то теперь все его актуальные версии выявляются под любым именем по F3 или
при создании образа автозапуска и получают статус подозрительного файла.
Соответствующие имени файла скрипты автозапуска добавляются в список автоматически и тоже получают статус подозрительных файлов.
Содержимое скрипта доступно в окне информации ahk файла.
o Введены новы лимиты на количество элементов в списке автозапуска для x64 версий в списке может быть до 1 млн. файлов,
для x86 до 150 тысяч файлов. (Обычно в образе менее 10 тысяч файлов)
o Оптимизированы функции сортировки, фильтрации и вывода списка.
o В категории HOSTS добавлен фильтрующий поиск по 2 первым колонкам одновременно.
Сортировки в этой категории нет, записи представлены в порядке следования в оригинальных файлах.
Первыми идут записи из HOSTS, что лежит по прописанному в реестре пути, если путь отличается от пути по умолчанию
то дальше идут записи HOSTS из WindowsSystem32driversetc, далее записи из HOSTS.ICS.
В этой категории теперь работает горячая клавиша DEL.
o Найдена ошибка в Windows API из-за которой для некоторых файлов не отображался производитель и другая информация о версии файла.
Сам Windows для таких файлов не отображает случайные параметры на вкладке "Подробно" в свойствах файла.
Ошибку удалось обойти и теперь в окне информации о файле отображаются все значимые параметры для всех исполняемых файлов.
o Улучшен альтернативный режим сканирования процессов. (ctrl+p)
o В контекстное меню окна информации о файле добавлен поиск по имени подписавшего файл.
o Удалена скриптовая команда EXEC32 за бесполезностью.
o Из настроек основного списка удален обычный поиск за бесполезностью.
o Добавлен вывод предупреждения в лог при обнаружении вируса в списке при загрузке производителя и сигнатур про F3.
o Исправлена и улучшена функция вывода результата исполнения консольных приложений.
Теперь вывод осуществляется в реальном времени с поддержкой отображения динамического текста в последней строке.
Проблема с кодировкой для старых систем решена.
Добавлено время выполнения приложения.
o Результат выполнения команды gpudpate теперь отображается в логе.
o Сообщение об отсутствии пользовательского реестра в каталоге "All users"/ProgramData больше не выводится.
o Немного дополнена документация.
o Исправлена ошибка из-за которой вместо обычной x64 версии для старых систем запускалась x64v версия.
o Исправлено ошибочное сообщение в логе при исполнении 44 твика.
o Исправлена ошибка при сохранении истории задач в образ и при передаче данных из удаленной системы.
o Исправлена и оптимизирована функция проверки списка по выбранному критерию.
o Исправлена ошибка с растущим временем отката операции по Ctrl+Z при работе с образом.
o Исправлена ошибка при определении параметров *OperatingSystemVersion для 64-х битного исполняемого файла.
o Исправлена ошибка с неправильным откатом операции по HOSTS при работе с образом.
o Исправлена ошибка подписи образа автозапуска удаленной системы (появилась в v4.15.4)
o Исправлена функция Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты
o Добавлена поддержка восстановления реестра из теневых копий.
В окно выбора каталога выбора доступных копий реестра была добавлена кнопка "Извлечь полные копии реестра из Тени".
Функция доступна для активных, неактивных и удаленных систем начиная с Vista.
При успешном выполнении функции в каталоге WindowsABR будут созданы полные (включая пользовательский реестр),
автономные (есть утилиты restore и defrag) копии реестра.
Наименования каталогов с копиями: "yyy-mm-dd_hh-mm_shadowcopy".
Даблклик по каталогу сохранения откроет его в эксплорере.
Перед использованием выбранной копии реестра рекомендуется запустить defrag из каталога сохранения и убедиться, что копия реестра исправна.
(!) Только утилита defrag исправляет копию реестра, даже если реестр грузится или был успешно восстановлен системой при загрузке еще не означает,
(!) что копия не содержит ошибок.
o Добавлен режим восстановления реестра для неактивных систем.
Если uVS не смог загрузить реестр неактивной системы то автоматически открывается окно восстановления реестра из каталога,
в котором можно выбрать копию реестра по дате или найти подходящую копию в Тени. (если имеются доступные теневые копии системного тома).
o Добавлен вывод ошибок в лог при невозможности загрузить пользовательский реестр.
o Запуск uVS с командной строки без загрузки с диска для работы с неактивной системой.
1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
3. Выберите админскую учетную запись и введите для нее пароль.
4. Запустите start.exe/start_x64.exe из каталога uVS.
(!) Обычно система расположена на диске C или D.
Например: uVS лежит в каталоге С:uvs (в командной строке это будет D:uvs)
Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
1. d:
2. cd d:uvs
3. start_x64.exe
5. Выберите каталог Windows (обычно D:Windows и он автоматически выбран).
Если у вас Windows 7 и младше, то в меню вы можете попасть только зажав F8 при перезагрузке системы.
(!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
o Восстановлена поддержка запуска uVS с командной строки под Windows 8/8.1.
o Обновлена функция создания загрузочного диска.
Теперь вы можете создавать образы на базе WinPE x64, в том числе с помощью ADK последней версии для Windows 11.
(!) Создание x86 ISO возможно лишь при наличии ADK+PE 2004 и младше, в более новых версиях ADK+PE поддержки x86 нет.
Доступно редактирования автозапуска, по умолчанию выбран запуск uVS и FAR выбранной разрядности.
Действуют следующие ограничения:
Одна строка = одно приложение.
Допустимая длина строки: 250 символов.
Допустимый размер текста: 4096 символов.
Программы в автозапуске запускаются последовательно.
После завершения последнего приложения в списке WinPE автоматически уйдет в перезагрузку.
Чтобы указать параметры командной строки приложения, добавьте запятую (,) после имени приложения:
Например: %SYSTEMDRIVE%FAR64far.exe, C: D:
(!) Под WinPE x64 доступен запуск лишь 64-х битных приложений, 32-х битные приложения запускаться не будут.
Пакеты HTA и Scripting теперь интегрируются в образ автоматически, поскольку это необходимо для запуска uVS.
Добавлена возможность интегрировать пакет FMAPI.
Про пакеты и их назначение вы можете почитать здесь:
WinPE: добавление пакетов (ссылка на необязательные компоненты)
Про доступные версии ADK здесь:
Скачивание и установка Windows ADK
o Добавлен твик #44, который включает периодический системный бэкап реестра в каталог WindowsSystem32configRegBack
Начиная с Windows 10 1803 периодический бэкап отключен по умолчанию.
o Во время выполнения команд интерфейс больше не подвисает: окно можно сворачивать, менять размер и т.д.
o Системные процессы без расширения добавлены в список процессов.
o Обновлен эмулятор редиректора реестра, теперь учитывается версия системы и выбирается тип ключа реестра соответствующий версии системы (shared, redirected...).
Трансляция путей к 32-битным файлам для shared ключей не производится, кроме одного ключа, где это имеет смысл.
Т.е. при работе с активной x64 системой uVS теперь работает с ее реестром точно так же как и с неактивной системой, в реестре которой физически нет отображения
"shared" ключей в ветку WOW6432Node.
Для "redirected" ключей изменений нет, отображаются ссылки и на x64 и на x86 файлы.
o Новые горячие клавиши:
Ctrl+Shift+* - Инвертировать фильтр (действует только на кнопки скрытия из списка)
Сбрасывается при смене категории.
Alt+Shift+I - Пометить процесс окна на переднем плане как подозрительный (если текущий рабочий стол "Default")
Дополнительно переключает рабочий стоил c "Default" на рабочий стол uVS (если uVS запущен на чистом рабочем столе - start.exe /d) и обратно.
o Запуск на чистом рабочем столе теперь совместим с UAC. (start.exe /d)
Запуск под LocalSystem на чистом рабочем столе теперь доступен только для систем младше Vista.
o Удалена горячая клавиша Alt+Shift+A при запуске с чистым рабочим столом.
o Изменен способ одновременного закрытия клиентской и серверной копии uVS из окна управления удаленным рабочим столом.
Клик правой кнопкой мыши по дополнительной кнопке закрытия окна (кнопка с крестиком внутри окна) ВСЕГДА закрывает обе копии.
ЕСЛИ установлен флаг bReUseRemote в settings.ini то обычный клик левой кнопкой закрывает только клиентскую копию uVS.
ЕСЛИ НЕ установлен флаг bReUseRemote (значение по умолчанию) то закрываются обе копии.
o Список горячих клавиш вынесен в отдельный файл "Горячие клавиши.txt"
o Добавлено несколько новых ключей автозапуска.
o Добавлена текстовая расшифровка кодов завершения задачи.
o Файлы начинающиеся на "." или имеющие пробелы перед расширением теперь автоматически помечаются как подозрительные.
o Подозрительные файлы с формулировкой "Имя файла типичное для вирусов или содержит Non-ASCII символы" не теряют статус подозрительного при успешной
автоматической_ проверке по базе проверенных файлов (включая массовую проверку по F4).
Убрать статус можно лишь ручной проверкой файла.
o Функция повторного сканирования файла на VT по хэшу теперь автоматически открывает отчет о сканировании в браузере.
o Обновлен эмулятор системного редиректора.
o Обновлена функция сверки: теперь защищенные файлы считаются подозрительными.
o Обновлена функция получения списка расширений под новые версии Firefox.
o Добавлена поддержка переменной окружения PROCESSOR_ARCHITECTURE.
o Добавлена функция эмуляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA, PROCESSOR_ARCHITECTURE, PROGRAMW6432, COMMONPROGRAM6432.
при работе с неактивными системами.
Пользовательские переменные указывают на каталоги профиля последнего пользователя неактивной системы.
o Функция "Поиск объектов отсутствующих в списке PEB_LDR_DATA активных процессов" удалена.
o Из контекстного меню удален runscanner.net
o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google.
o Улучшена функция построения списка загруженных DLL.
o Обновлены функции вывода содержимого консоли приложения в лог.
o Исправлена ошибка из-за которой для некоторых файлов не отображались ссылки на них.
o Исправлена функция разбора кэша задач.
o Исправлена функция антисплайсинга.
o Теперь при переходе в категорию "Файлы без проверенной подписи" автоматическая проверка эцп не производится.
o Исправлена дата при вводе новой вирусной сигнатуры.
o Исправлена блокировка некоторых клавиш при свернутом окне удаленного рабочего стола.
o Исправлена критическая ошибка в функции извлечения сигнатуры из файла при прямом доступе к диску.
o В окне информации исправлена ошибка отображения параметров файлового потока.
o Исправлена ошибка проверки ЭЦП для файлов из последних обновлений Windows 7 x64,
где для внешней подписи разных системных файлов может быть использован как SHA1, так и SHA256.
o Обновлены базы известных файлов.
o Исправлены мелкие ошибки.
Обновление от 29/10/2024 20:17:40
============
Причина редактирования: новая версия
0 ответить