Утилита, основная задача которой облегчить процесс обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов. В первую очередь программа предназначена для ИТ специалистов и разработчиков антивирусных продуктов, предлагая широкие возможности для восстановления и дефрагментации системного реестра, ведения работы с неактивными системами и удаленными ПК, автоматического определения подозрительных файлов, процессов, сервисов, скриптов, модулей, драйверов и многое другое.
- Три основных рабочих режима (работа с активными, неактивными, удаленными системами).
- Работа с реестром в трех режимах (удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом).
- Создание образов автозапуска (например для удаленного помощника).
- Симуляция работы в виртуальной системе на основе ее образа.
- Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
- Наличие уникального набора фильтров и встроенного анализатора для быстрого обнаружения неизвестных угроз.
- Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в том числе защищенных).
- Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
- Быстрое обнаружение и легкое устранение любых файловых руткитов.
- Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x).
- Обнаружение скрытых DLL в адресном пространстве процесса.
- Специальный иммунный модуль зачистки системы перед запуском программы.
- Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows.
- Возможность восстановления поврежденных/отсутствующих файлов из дистрибутива Windows.
- Резервное копирование реестра с его дефрагментацией и восстановлением.
- Выявление исполняемых файловых потоков.
- Виртуализация реестра.
- Взаимодействие с редактором реестра.
- Возможность проверки непроверенных файлов на VirusTotal.com.
- Поддержка "горячих" клавиш.
- Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE).
- Поддержка автобэкапа реестра прямо из утилиты.
Разработчик: Dmitriy Kuznetzoff
Интерфейс: русский
Состояние: бесплатно
Платформа: WinPE + Windows Server + Windows Vista и новее
Внимание: программа исполняет команды без ненужных запросов и её использование без понимания собственных действий, неизбежно приведет к печальным последствиям!
Список изменений:
---------------------------------------------------------
4.99.10
---------------------------------------------------------
o При активации небезопасных параметров запуска добавлено предупреждение с перечислением этих параметров.
o Параметры запуска "Заморозить потоки внедренные в uVS" и "Выгружать DLL" объединены в один параметр
"Выгружать DLL и уничтожать потоки внедренные в uVS".
o Исправлена ошибка в функции выгрузки DLL из uVS.
o Исправлена ошибка разбора параметров для исполняемых файлов с именем содержащим 2 точки.
(например file.txt.exe)
o Исправлена ошибка в функции удалении задачи по имени отсутствующего XML-файла задачи.
o Исправлена ошибка в парсере json.
Теперь в лог выводится участок json вызвавший ошибку разбора.
---------------------------------------------------------
4.99.9
---------------------------------------------------------
o Исправлена ошибка в функции сохранения образа неактивной системы.
o Исправлена критическая ошибка в функции разбора расширений Chrome-based браузеров.
---------------------------------------------------------
4.99.8
---------------------------------------------------------
o Обновлена функция сброса пароля, теперь поддерживается новый формат учетных записей,
для которых ранее функция сброса пароля была недоступна.
(!) Перед сбросом пароля рекомендуется выполнить бэкап SAM.
o В меню "Запустить" добавлены пункты:
o Просмотр событий
o Панель управления
o Сетевые подключения
o Диспетчер устройств
o Настройки Брандмауэра
o Управление компьютером
o Исправлена ошибка в парсере json ответа сервиса VT.
---------------------------------------------------------
4.99.7
---------------------------------------------------------
o В окно истории процессов добавлен новый фильтр.
Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
в соответствии с их приоритетом.
(!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
(!) часто это является признаком зловредной активности.
o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
В лог выводится исходное значение параметров Debugger и MonitorProcess.
Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
или неявного запуска несистемных процессов.
o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.
o Изменено название статуса "Исключение" на "Defender_Исключение".
o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".
o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.
o Исправлена ошибка в парсере json.
o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
---------------------------------------------------------
4.99.6
---------------------------------------------------------
o Добавлен еще один ключ автозапуска, используемый троянами и майнерами.
o Добавлена новая опция запуска uVS: Искать в пользовательских каталогах скрытые исполняемые файлы.
В пользовательских каталогах не должно быть подобных файлов, если же они есть то стоит внимательно изучить их содержимое.
По умолчанию опция включена, отключить ее можно в окне запуска.
Если опция включена то просматривается весь каталог "Documents and Settings" (Users+ProgramData для новых систем)
со всеми подкаталогами. При обнаружении исполняемых файлов с атрибутами "скрытый" или "системный" такой файл добавляется
в список со статусом "подозрительный", статус может быть снят автоматически если файл есть в базе проверенных файлов.
Сканирование каталогов идет в отдельном потоке параллельно с построением списка автозапуска,
однако включение этой опции может увеличить время обновления списка для одноядерных процессоров и систем на HDD.
Тестировании проводилось только для системы на SSD, тестовый "Documents and Settings" содержал в себе 70979 подкаталогов с 452175 файлами,
время обновления списка (при запуске uVS сразу после перезагрузки системы) увеличилось на 5%.
o В лог добавлен статус Windows Defender-а.
o В лог добавлен статус отслеживания командной строки процессов.
o Добавлена возможность удаления исключений Windows Defender-а в активной системе без виртуализации реестра с помощью powershell.
Функция может удалять исключения: путь, процесс, расширение.
(!) Функция недоступна если powershell отсутствует или powershell не имеет правильной эцп.
---------------------------------------------------------
4.99.5
---------------------------------------------------------
o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
запуска uVS из штатной среды восстановления Windows (WinRE) для работы с неактивной системой.
Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
после появления меню выберите:
Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS
В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".
o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
(!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
(!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
(!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
(!) с отрисовкой окон и без удаленного доступа.
(!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
(!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.
o Добавлены новые модули:
o файл rein/rein.x64 отвечает за запуск uVS из меню.
o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.
o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
запуску uVS и файлового менеджера.
o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
(!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
(!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)
o Улучшена функция создания загрузочных дисков.
ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
(!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
(!) флешки теперь мультизагрузочные.
o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.
o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.
o Теперь окно лога передачи файла можно свернуть вместе с основным окном.
o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.
o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
всегда имеет фиксированное имя "uvsrdp".
Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.
o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
при этом исходный файл хотя бы частично попал в файловый кэш.
o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.
o uVS теперь совместим со штатной средой восстановления Windows 8.
o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).
o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.
o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
если был выбран режим захвата экрана GDI или DDA1.
o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
в удаленную систему.
o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.
o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.
o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.
o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").
o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.
(Администратор) Реп. 
Обновление от 31/03/2025 22:38:48
============
Причина редактирования: новая версия
1 ответить