Вся активность - Форумы Anti-Malware.ru Перейти к содержанию

Вся активность

This stream auto-updates     

  1. Последняя неделя
  2. Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
  3. Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
  4. Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов O27 - Account: (Hidden) User 'John' is invisible on logon screen O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
  5. Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с dialersvc.
  6. Earlier
  7. Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 --------------------------------------------------------- 4.99.14 --------------------------------------------------------- o Исправлена ошибка при подключении к удаленному компьютеру с Win11: в удаленную систему не передавалась база известных файлов. o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан в settings.ini или он был равен 0.
  8. Домашние антивирусы для Windows были обновлены до версии 18.1.13.
  9. RP55, если самозапрет не делал на публикации в соф.сетях, то возможно есть проблемы у некоторых провайдеров при получении доступа к сайте АМ.
  10. --------------------------------------------------------- 4.99.13 --------------------------------------------------------- Краткое содержание, подробнее читайте whatsnew. o Добавлен новый режим захвата экрана DDAL с поддержкой сжатия с потерей качества. o Добавлена защита начального уровня от внедрения потоков в адресное пространство uVS. o В меню Руткиты добавлен пункт "Найти и удалить сплайсинг из всех загруженных в uVS известных DLL". o Модуль антисплайсинга улучшен до версии 2.0. Теперь контролируются все экспортируемые функции всех известных DLL, загруженных в uVS.
  11. Видимо форум не даёт мне публиковать текст больше чем Х символов. Или где "много" строк.
  12. Освобождение места на системном диске... Добавить в меню команду: Обнаружить и переместить все файлы - [v] медиафайлы - [v] файлы архивов ( системный диск) > Файл Больше [v]50mb < > [v]100mb < > [v]150 < > [v]300 * Выбор Директории...
  13. Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
  14. Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?
  15. "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть. Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
  16. " Вот еще в помощь рекомендации от Зайцева Олега: Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию: 1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot 2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно) 3. Импортировать модифицированный файл Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
  17. 1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.
  18. С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик. --------------------------------------------------------- 4.99.12 --------------------------------------------------------- o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без посредников. (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус (!) то удаление исключений возможно лишь при использовании виртуализации реестра (!) ИЛИ при приостановке защиты этого антивируса. (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен (!) и лишь существенно замедляет и усложняет процесс лечения. o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии. (Доступно для Windows Vista+) o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива к мерам противодействия поиску. o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll, которой в этой системе нет. o Антисплайсинг: расширен список контролируемых функций.
  19. Посмотрел тему: https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/ Возможно имеет смысл - выполнение Твика #35 с виртуализацией реестра ? т.е. именно отдельный твик с виртуализацией? ( для обхода защит\ы ) ------- А как средствами uVS удалить запись типа: Запись из Лога: Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn Собственно это единственная запись\информация. Другой информации в uVS нет. т.е. если нет записей = иной информации, то и применить к ней команды из интерфейса невозможно. т.е. нужно или отдельно задействовать cmd и\или открывать taskschd как-то это...
  20. Все получилось. Неудаляемые из нормального режима записи с блокировкой запуска антивируса получилось удалить твиком 35 после интеграции uVS в меню дополнительных параметров загрузки. (Обошлось без загрузочного диска.)
  21. --------------------------------------------------------- 4.99.11 --------------------------------------------------------- o Добавлена защита начального уровня от загрузки неизвестных DLL в адресное пространство uVS. Защита эффективна против большинства способов внедрения DLL, в т.ч. и с использованием глобальных хуков и ключей реестра. (кроме способов внедрения включающих в себя использование специального драйвера) Защита включается автоматически при активации опции "Выгружать DLL и уничтожать потоки внедренные в uVS". В лог выводится список таких DLL и количество попыток внедрения. Защита существенно повышает стабильность uVS и совместимость с различным софтом внедряющим свои DLL во все доступные процессы. (например: продукты Comodo, punto switcher (при отключенном UAC) и т.д.). (!) Функция доступна начиная с Windows Vista. o Обновлены базы известных файлов для корректной работы функции защиты от загрузки неизвестных DLL. o Улучшена функция антисплайсинга, теперь эта функция активируется на раннем этапе загрузки uVS. Расширен список контролируемых функций. (!) ЕСЛИ активна опция "Выгружать DLL и уничтожать потоки внедренные в uVS" то антисплайсинг (!) активируется автоматически. o Добавлено предупреждение в лог если параметр MinimumStackCommitInBytes в ветке реестра IFEO превышает 16Mb. Твик #35 теперь удаляет такие значения. o Добавлено предупреждение в лог если параметр CfgOptions в ветке реестра IFEO превышает допустимое значение. Твик #35 теперь удаляет такие значения. o Добавлено предупреждение в лог если значение параметра MitigationOptions в ветке реестра IFEO МОЖЕТ вызвать блокировку запуска приложения. (ошибка при запуске STATUS_DLL_INIT_FAILED [0xC0000142]) Твик #35 НЕ удаляет такие значения, поскольку это значение используется некоторыми программами для запуска специализированных процессов. o Добавлена обработка параметров UseFilter и FilterFullPath в IFEO. o Добавлена функция проверки ключа реестра планировщика задач, которая выполняется в отдельном потоке при обновлении списка, в результате в лог выводится путь в реестре до скрытых и поврежденных задач с их именами. Поврежденной задачей считается задача препятствующая нормальной работе интерфейса планировщика задач. (ошибки при открытии планировщика: "Внутренняя ошибка" и "Выбранная задача "имя_задачи" больше не существует") o Добавлен твик #35 Удаление поврежденных задач. Твик не удаляет скрытые задачи, если они не являются "поврежденными". o В случае аварийного завершения uVS лог автоматически сохраняется в текстовый файл с именем "crash.log". report_crush теперь отправляет этот файл вместе с дампом.
  22. Пожалуй можно добавить команду: > Сбросить все атрибуты файлов каталогов - ориентируясь на указанную дату. 2025-01-14 17:17 - 2025-01-14 17:17 - 000000000 2025-01-14 17:16 - 2025-01-14 07:50 - 000000000 2025-01-14 17:15 - 2025-01-14 07:50 - 000000000 2025-01-14 17:13 - 2025-01-14 11:00 - 000000000 Или даже удаление для: 000 - по дате
  23. Dragokas По работе с программой: https://forum.esetnod32.ru/forum8/topic15785/ В программе есть возможность поиска. Вместо категории: Подозрительные и вирусы выберите категорию. Выберите поиск по имени, или пути файла. Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель ) Так:
  24. Приветствую! Можно реализовать поиск (или фильтр) среди найденных объектов (вот как Ctrl + F в текстовых редакторах), или такое уже есть? Например, выбираешь категорию "Все файлы", и тебя интересует увидеть все строки, в средине которых есть определённое слово.
  1. Load more activity
×