Форум по информационной безопасности Anti-Malware.ru Перейти к содержанию

Вся активность

This stream auto-updates     

  1. Earlier
  2. Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
  3. И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.
  4. RP55, особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
  5. При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w
  6. При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"
  7. Год от года фактически постоянно можно наблюдать ... такого рода записи C:\ProgramData\Google\Chrome\updater.exe PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE APPDATA\LOCAL\360EXTREMEBROWSER\CHROME C:\ProgramData\Google\Chrome\helper.exe Предлагаю все записи где фигурирует Chrome - добавить к Категории: Chromium-based Да... это другое... Это, как правило имитация ( но имеющая отношение ) так какой смысл в отдельных записях, если всё это можно собрать в одной категории.
  8. Добавить в меню команду: Удалить записи\сетевые адреса соответствующие поисковому запросу. * В списке может быть 10-20 записей\ссылок на левые сайты. Создавать критерии, не всегда нужно\выгодно... А отдавать команды по каждой ссылке большой расход времени и нервов.
  9. Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается. --------------------------------------------------------- 5.0.RC2 --------------------------------------------------------- o При обнаружении внедренного потока в процессе в лог печатается точное время создания потока и ТОП 10 наиболее вероятных виновников. (!) Только для потоков не имеющих привязки к DLL. (!) Функция требует активного отслеживания процессов. (Твик #39) o Изменен способ адресации мониторов при работе с удаленным рабочим столом. Теперь выбирается не логический номер монитора, а его порядковый номер, что позволяет избежать проблем при обновлении драйверов на видеокарту без закрытия окна удаленного рабочего стола. o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает на удаленном компьютере окно с кнопками быстрого доступа к часто используемым настройкам системы и системным утилитам. Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.
  10. С большой вероятностью эта версия и станет v5.0 Все что было запланировано реализовано. --------------------------------------------------------- 5.0.RC1 --------------------------------------------------------- o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]" Доступно начиная с Win10. o В окно запуска добавлен выбор основного шрифта. o Пополнено окно дополнительных настроек. o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows. o \Windows\Downloaded Program Files o \ProgramData\Microsoft\Windows\WER\ReportArchive o \ProgramData\Microsoft\Windows\WER\ReportQueue o \ProgramData\Microsoft\Windows\WER\Temp Функция больше не выводит в лог пути до отсутствующих каталогов. o Исправлена критическая ошибка инициализации режима DDA, она могла проявляться на чипсетах AMD при подключении физического монитора к компьютеру, который был отключен или физически не подключен на этапе загрузки системы, при этом меняются логические номера дисплеев и 1-го дисплея обычно не существует, поэтому если вы подключились и 1-й дисплей показывает черный квадрат то стоит попробовать переключиться на 2-й и т.п. (!) В этом случае не работает программный способ вывода дисплея из сна, (!) поэтому в текущей версии движения мыши в любом случае передаются на (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей (!) при переключении на него. o Исправлена ошибка создания загрузочного диска под Windows 11 24H2, по неизвестной причине в этой редакции Windows dism из пакета ADK не способен без ошибок сформировать загрузочный образ диска, поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога. o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе ключей безопасного режима.
  11. Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
  12. Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
  13. Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
  14. Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов O27 - Account: (Hidden) User 'John' is invisible on logon screen O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
  15. Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с dialersvc.
  16. Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 --------------------------------------------------------- 4.99.14 --------------------------------------------------------- o Исправлена ошибка при подключении к удаленному компьютеру с Win11: в удаленную систему не передавалась база известных файлов. o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан в settings.ini или он был равен 0.
  17. Домашние антивирусы для Windows были обновлены до версии 18.1.13.
  18. RP55, если самозапрет не делал на публикации в соф.сетях, то возможно есть проблемы у некоторых провайдеров при получении доступа к сайте АМ.
  19. --------------------------------------------------------- 4.99.13 --------------------------------------------------------- Краткое содержание, подробнее читайте whatsnew. o Добавлен новый режим захвата экрана DDAL с поддержкой сжатия с потерей качества. o Добавлена защита начального уровня от внедрения потоков в адресное пространство uVS. o В меню Руткиты добавлен пункт "Найти и удалить сплайсинг из всех загруженных в uVS известных DLL". o Модуль антисплайсинга улучшен до версии 2.0. Теперь контролируются все экспортируемые функции всех известных DLL, загруженных в uVS.
  20. Видимо форум не даёт мне публиковать текст больше чем Х символов. Или где "много" строк.
  21. Освобождение места на системном диске... Добавить в меню команду: Обнаружить и переместить все файлы - [v] медиафайлы - [v] файлы архивов ( системный диск) > Файл Больше [v]50mb < > [v]100mb < > [v]150 < > [v]300 * Выбор Директории...
  22. Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
  23. Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?
  24. "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть. Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
  1. Load more activity
×