Лидеры форума - Форумы Anti-Malware.ru Перейти к содержанию

Лидеры форума


Popular Content

Showing content with the highest reputation since 01/12/25 in all areas

  1. 4 points
    --------------------------------------------------------- 4.99.6 --------------------------------------------------------- o Добавлен еще один ключ автозапуска, используемый троянами и майнерами. o Добавлена новая опция запуска uVS: Искать в пользовательских каталогах скрытые исполняемые файлы. В пользовательских каталогах не должно быть подобных файлов, если же они есть то стоит внимательно изучить их содержимое. По умолчанию опция включена, отключить ее можно в окне запуска. Если опция включена то просматривается весь каталог "Documents and Settings" (Users+ProgramData для новых систем) со всеми подкаталогами. При обнаружении исполняемых файлов с атрибутами "скрытый" или "системный" такой файл добавляется в список со статусом "подозрительный", статус может быть снят автоматически если файл есть в базе проверенных файлов. Сканирование каталогов идет в отдельном потоке параллельно с построением списка автозапуска, однако включение этой опции может увеличить время обновления списка для одноядерных процессоров и систем на HDD. Тестировании проводилось только для системы на SSD, тестовый "Documents and Settings" содержал в себе 70979 подкаталогов с 452175 файлами, время обновления списка (при запуске uVS сразу после перезагрузки системы) увеличилось на 5%. o В лог добавлен статус Windows Defender-а. o В лог добавлен статус отслеживания командной строки процессов. o Добавлена возможность удаления исключений Windows Defender-а в активной системе без виртуализации реестра с помощью powershell. Функция может удалять исключения: путь, процесс, расширение. (!) Функция недоступна если powershell отсутствует или powershell не имеет правильной эцп.
  2. 1 point
    @RP55. Это ты который раз прощаешься? На моей памяти второй. Так что ждем твоего возвращения, с новыми силами и идеями.
  3. 1 point
    --------------------------------------------------------- 4.99.7 --------------------------------------------------------- o В окно истории процессов добавлен новый фильтр. Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса". В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM. Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке в соответствии с их приоритетом. (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe (!) часто это является признаком зловредной активности. o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения. В лог выводится исходное значение параметров Debugger и MonitorProcess. Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов или неявного запуска несистемных процессов. o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit". Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра. o Изменено название статуса "Исключение" на "Defender_Исключение". o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:". o Исключения дефендера теперь могут быть удалены лишь в ручном режиме. o Исправлена ошибка в парсере json. o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
  4. 1 point
    Так как записи с указанием исключений для Defender имеют определенный статус, то имеет смысл исключить их автоматическое попадание по признаку "файл не найден" при формировании автоскрипта. В этом случае приходится вручную править тело скрипта, чтобы убрать некоторые записи. 1. ранее это можно было не делать, так как все равно они без виртуализации не удалялись. 2. теперь, с учетом удаления через powershell будут удалены и "полезные" исключения, которые могли быть сделаны самим пользователем, например активаторы. На мой взгляд, будет лучше добавить в скрипт удаление исключений дефендера вручную, из секции исключений для WD.
This leaderboard is set to Москва/GMT+03:00
×