Перейти к содержанию

Вся активность

This stream auto-updates     

  1. Earlier
  2. Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
  3. Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
  4. .xml файлы taskschd.msc Могут быть подписаны цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .
  5. --------------------------------------------------------- 4.15.2 --------------------------------------------------------- o Исправлена ошибка при работе с образом автозапуска. Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения". o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола. (при работе с удаленной системой) ----------------------------------------------------------- Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR". На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.
  6. Предлагаю автоматически ( при формировании скрипта ) удалять идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.
  7. Сделать чтобы start.exe мог запускаться как firefox.exe; opera.exe и т.д. т.е. чтобы отслеживал в этом режиме перехват; внедрение и т.д. Пример: Есть проблема с отображением рекламы; накрукта роликов на youtube и т.д. в браузерах. И нам нужно видеть именно то, что реагирует на запуск браузеров. * При работе в данном режиме предварительно выгружать все браузеры.
  8. По расширениям. Пример: Человек обращается за помощью - говорит, что в браузерах реклама, он все расширения отключал\удалял но это не помогло. Да... но пользователь в браузере видит только часть расширений. Хотелось бы в Инфо. иметь информацию о статусе расширения - видит его пользователь или оно от него скрыто.
  9. Дата создания копии видна в названии каталога, а последствия это проблема оператора, он должен сам понимать что он делает и зачем.
  10. так и есть, но можно сразу удалять все через виртуализацию а как это может быть учтено? копия сделана раньше, восстановление копии откатит все логические изменения, например те же буквы, а изменения в оборудовании потребует установки новых драйверов, если они требуются. Это нормально, у дефендера нет разделения на папки и файлы. переделаю и будут попадать, а пока надо как и раньше нажимать применить. да, ошибка в пути, как запускают так и отображается.
  11. uVS не видит расширений Edge хотя браузер на Chromium ---------- А ведь могло - бы пригодиться Edge Extension: (WinSafe - быстрый доступ к сайтам!) - C:\Users\aleks\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak [2023-08-26] Kaspersky: AdWare.Script.ChromeExt.gen
  12. Полное имя C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\INTCOED.INF_AMD64_0F43CDA6A2474B5C\AS\IAS\INTELAUDIOSERVICE.EXE Имя файла INTELAUDIOSERVICE.EXE Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ Процесс 64-х битный File_Id 61DC1BC082000 Linker 48.0 Размер 531008 байт Создан 27.02.2023 в 23:42:22 Изменен 26.01.2022 в 12:22:20 TimeStamp 10.01.2022 в 11:42:56 EntryPoint - OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Действительна, подписано Intel Corporation Оригинальное имя IntelAudioService.exe Версия файла 1.0.2080.0 Описание IntelAudioService Производитель Intel --------------- Полное имя C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\INTCOED.INF_AMD64_0F43CDA6A2474B5C\\AS\\IAS\INTELAUDIOSERVICE.EXE Имя файла INTELAUDIOSERVICE.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Инф. о файле Синтаксическая ошибка в имени файла, имени папки или метке тома. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов
  13. С этим все понятно теперь. Еще один момент: При удалении ссылок исключений формируем sreg удаление ссылок areg При этом команды удаления ссылок не попадают в скрипт пока мы не нажимаем apply, и в этом случае apply тоже попадает в скрипт. По описанию, применение изменений из очереди автоматически выполняется при запуске команды areg. Возможно ли это сделать при отдаче команды areg (в интерфейсе), чтобы список команд из актуальной очереди появился в скрипте, а завершился строкой areg?
  14. Если в исключениях защитника - папка, выдаётся ошибка чтения файла по этому пути.
  15. + По поводу документации к uVS ( Doc ) У меня есть Уроки по работе с программой. Всё это можно конвертировать в подходящий формат и добавить к документации. ( если уроки будут сочтены достойными ) https://forum.esetnod32.ru/forum8/topic15785/ А то получается - программа отдельно уроки отдельно. Так сказать всё для народа - всё для победы
  16. demkd, По поводу копий реестра, загрузки и активации системы. После создания копии реестра может быть изменение\сброс конфигурации оборудования - изменение буквы диска или пути. Учитывает ли это uVS.
  17. demkd, По тем файлам, которые попадут в исключения дефендера: если файлы живые, то при удалении delall, или delvir ссылки в реестре на исключения файлов из проверки дефендером не будут удалены, и их придется удалять вторым скриптом (через виртуализацию)..
  18. demkd На форумах ( на всех ) прежде всего используется программа FRST ( часто... в связке с uVS) Можно ли сделать программу для анализа лога? Или некое дополнение к текстовому редактору В помощь оператору. Например в HiJackThis Fork есть - ( список игнорирования ) Команда: Добавить в список игнорирования; Добавить всё в список игнорирования. А можно добавить команду: Найти ранее удаляемые объекты и пометь их закладкой. ; Разбить строки для удобства чтения и т.д. Заранее спасибо
  19. Было бы неплохо выделять ( зелёным цветом ) даты, если с момента первой проверки прошёл год + VTOK [2024-01-12]2022
  20. --------------------------------------------------------- 4.15.1 --------------------------------------------------------- o При запуске с диска uVS v4.15+ требуется наличие поддержки HTA. Рекомендуется интрегрировать и WMI. Рекомендуемый размер шрифта 8. o Добавлен новый раздел "Defender: Исключения". В раздел вошли ислючений Windows Defender-а. (пути, файлы, расширения, процессы). (!) Удаление исключений возможно лишь при виртуализации реестра. o Сохранение реестра в каталог: теперь сохраняется BCD. Повреждения BCD (в том числе и логические) могут привести к отказу загрузки системы или к полному зависанию системы при запуске некоторых приложений, подвисаниям при смене разрешения экрана или использовании панели nVidia, использовании 3D режима видеокарты и т.п. Причины повреждений BCD: проблемы с диском, оперативной памятью или использование утилиты msconfig, последнее может привести к симптомам сходным с отказом железа, я НЕ рекомендую запускать эту "полезную" утилиту. o Восстановление реестра из каталога теперь восстанавливает BCD. После восстановление реестра система будет автоматически перезагружена (только для активной системы). o Обновлен start.exe: o используются настройки шрифта из setting.ini o добавлена кнопка для перезагрузки в меню дополнительных параметров загрузки. o при загрузке с диска автоматически выбирается для работы первая доступная система. o Добавлен твик #43 [Win7] Устранить последствия использования msconfig. Для Windows 7 и старше. Твик удаляет ключи в BCD, добавленные в него msconfig-ом для активации безопасного режима. Твик не влияет на опции выборочной/диагностической загрузки в msconfig-е, удалению подлежат лишь 10 ключей связанных с безопасным режимом или ограничивающих работу системы. Именно эти опции приводят к проблемам с системой после использования msconfig-а. (!) Для загрузки в безопасный режим или командную строку всегда используйте меню дополнительных параметров загрузки системы, в отличии от (!) того что делает msconfig это безопасный способ и в случае неработоспособного безопасного режима система всегда сможет загрузиться. o Теперь в каталог с сохраненным реестром помещаются утилиты restore и defrag из пакета ABR v1.20. o Теперь перед актуализацией реестра автоматически запускается функция "Принять изменения". (включая скриптовую команду areg) o Улучшена функция удаления защищенных ключей, вероятность удаления защищенных ключей повышена. o В результатах сервиса VT дата "First Seen In The Wild" теперь игнорируется из-за низкой ее достоверности. o Исправлена ошибка отображения развернутого лога. o Исправлена ошибка пересчета размера элементов в основном окне. o Исправлена ошибка пересчета размера элементов в окне информации. o Исправлены мелкие ошибки интерфейса.
  21. Обычно in the wild дата меньше first submission, поэтому она у меня стоит в приоритете, придется сравнивать даты и прописывать минимальную. Или ее уберу in the wild, надо будет посмотреть насколько эта дата сейчас актуально.
  22. Гляну. А пока ABR обновлен до v1.20, добавлен бэкап и восстановление BCD и я крайне не рекомендую использовать msconfig, при некоторых параметрах он ломает BCD, что приводит к серьезным и неустранимым стандартными средствами проблемам. Аналогичные изменения будут и в uVS v4.15.1 и скорее всего добавлена функция лечения BCD после... использования msconfig-а.
  23. Всё хочу написать, да всё стесняюсь :) Отображение результат анализа на V.T. в ряде случаев трудно назвать корректным. ( это их косяк - однако...) Пример: Полное имя C:\PROGRAM FILES (X86)\LG SOFTWARE\LG SMART SHARE\DMC\INTEROP.UPNPLIB.DLL Имя файла INTEROP.UPNPLIB.DLL Тек. статус АКТИВНЫЙ DLL www.virustotal.com 2016-02-25 13:20 [2019-11-20] - Файл был чист на момент проверки. Сохраненная информация на момент создания образа Статус АКТИВНЫЙ DLL File_Id 4BCF3838A000 Linker 8.0 Размер 12288 байт Создан 23.08.2021 в 20:35:01 Изменен 22.04.2010 в 19:31:12 TimeStamp 21.04.2010 в 17:39:04 EntryPoint + OS Version 4.0 Subsystem Windows character-mode user interface (CUI) subsystem IMAGE_FILE_DLL + IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Interop.UPNPLib.dll Версия файла 1.0.0.0 Описание Производитель Комментарий Доп. информация на момент обновления списка SHA1 CD3153D8B7EC5192560151DC7FC363ADDBA8EB70 MD5 3399CCA98DEDF7A0BD0948F76870917F Процессы на момент обновления списка Процесс C:\PROGRAM FILES (X86)\LG SOFTWARE\LG SMART SHARE\DMC\AGGREGATION.EXE [8848] ---------- Как мы видим - дата проверки это ахинея. ( 2016-02-25 13:20 [2019-11-20] ) так как файл проверялся в 2011 https://www.virustotal.com/gui/file/e149b5d22d5509a048c447956c811bc05135cd88c89b02ee8e1ff2244b3294a2/details Creation Time 2010-04-21 17:39:04 UTC First Seen In The Wild 2019-11-20 00:37:45 UTC First Submission 2011-07-16 16:11:55 UTC Last Submission 2011-07-16 16:11:55 UTC Last Analysis 2016-02-25 13:20:27 UTC
  24. В FRST добавлена функция: " Startup folders redirection added under Registry "
  1. Load more activity
×