Лидеры форума

--------------------------------------------------------- 5.0.3 --------------------------------------------------------- o Добавлен новый статус процесса: Критический. В старых версиях uVS выгрузка такого процесса приводила к BSOD с кодом: CRITICAL PROCESS DIED. Начиная с v5.0.3 такие процессы выгружаются без последствий (если этот процесс не является системным). При обнаружении неизвестного процесса с критическим статусом в лог выводится предупреждение и файл получается статус "подозрительный". o Добавлен новый режим захвата экрана DDAw, который является упрощенным режимом DDAL. Отличие от DDAL в том, что передается и отображается лишь содержимое активного окна и участки окон высшего уровня перекрывающие это окно (если они есть). Данный режим позволяет снизить нагрузку на процессор и канал передачи данных. Визуально это выглядит как интеграция окна удаленного приложения в клиентскую систему. Для переключения между окнами доступны все горячие клавиши. При нажатии Alt+Tab на время удержания клавиши Alt передается весь экран для возможности визуального выбора другого окна. (!) В этом режиме монитор и рабочий стол выбираются автоматически по расположению активного окна. (!) В этом режиме недоступна эмуляция нажатия Ctrl+Alt+Del. (!) В этом режиме недоступно отображение запроса UAC. (!) Если нет активного окна то картинка не передается. (!) Режим доступен начиная с Windows 8. o В окно настройки однократного доступа к удаленному рабочему столу добавлен новый флаг "Только для выбранного приложения". Если флаг установлен то удаленному пользователю передается лишь содержимое активного окна разрешенного приложения, все остальное он не видит и не может просматривать/управлять окнами других приложений. Разрешенным может являться лишь одно приложение. Для выбора приложения необходимо активировать любое его окно и нажать горячую клавишу (по умолчанию Alt+Shift+W) указанную в логе uVS. Выбор доступен лишь тому кто предоставляет доступ к своему рабочему столу. Если удаленному пользователю разрешено управление и он любым способом сменит фокус ввода на другое приложение (например нажмет Alt+Tab или закроет приложение) то он немедленно потеряет возможность управлять удаленным компьютером до возврата фокуса ввода в окно разрешенного приложения или замены разрешенного приложения. o Функция запоминания размеров окон для разных мониторов удалена. Теперь действуют единые парметры масштабирования. Масштабирование стало автоматическим. o При подключении к удаленному рабочему столу автоматически определяется активный дисплей по окну на переднем плане. o В системное меню окна удаленного рабочего стола добавлены пункты: o Скрыть/показать элементы управления. o Эмулировать нажатие кнопок Ctrl+Alt+Del (кнопка CAD удалена из окна).

--------------------------------------------------------- 5.0.2 --------------------------------------------------------- o Обновлен формат образа автозапуска до v5. o Утилита cmpimg обновлена до версии 1.05 для поддержки нового формата образов автозапуска. o Утилита uvs_snd обновлена до версии 1.06 для поддержки нового формата образов автозапуска. o В окне монитора активности процессов теперь отображается: o Точная информация о занятой процессом памяти и загрузке GPU для актуальных версий Win10/11. (старые версии uVS и стандартный диспетчер задач Windows в некоторых случаях отображают очень далекие от реальности цифры). o Занятая процессом видеопамять (VRAM). (!) Для получения данных uVS не использует счетчик производительности, поэтому значение может немного отличаться от того что показывает Диспетчер задач. (!) Доступно только для дискретных видеокарт. o Суммарная загрузка процессами RAM/VRAM(сумма НЕ равна всей занятой физической памяти, учитывается только то что занято процессами)/cpu/gpu при выбранной сортировке по соответствующему столбцу с данными. o Исправлена критическая ошибка в работе серверной части uVS при установленном флаге bReUseRemote. При отключении клиента могло произойти аварийное завершение серверной части uVS из-за сбоя синхронизации потоков, что в свою очередь могло привести к подвисанию процесса клиентской части uVS на несколько минут. o Предупреждение о внедренном потоке в процесс с измененным кодом перенесено из информации базового файла в информацию о фейковом процессе с соответствующим pid. o В функцию очистки диска от временных файлов добавлен каталог C:\Windows\SystemTemp

RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление. --------------------------------------------------------- 5.0 --------------------------------------------------------- o Новый параметр в settings.ini [Settings] ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс. TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).

Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически. Добавил функцию для образов. --------------------------------------------------------- 5.0.RC4 --------------------------------------------------------- o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows. Теперь при включении отслеживания в лог печатается статус этой опции. o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом, если образ сделан при активном отслеживании процессов. o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается. --------------------------------------------------------- 5.0.RC2 --------------------------------------------------------- o При обнаружении внедренного потока в процессе в лог печатается точное время создания потока и ТОП 10 наиболее вероятных виновников. (!) Только для потоков не имеющих привязки к DLL. (!) Функция требует активного отслеживания процессов. (Твик #39) o Изменен способ адресации мониторов при работе с удаленным рабочим столом. Теперь выбирается не логический номер монитора, а его порядковый номер, что позволяет избежать проблем при обновлении драйверов на видеокарту без закрытия окна удаленного рабочего стола. o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает на удаленном компьютере окно с кнопками быстрого доступа к часто используемым настройкам системы и системным утилитам. Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

С большой вероятностью эта версия и станет v5.0 Все что было запланировано реализовано. --------------------------------------------------------- 5.0.RC1 --------------------------------------------------------- o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]" Доступно начиная с Win10. o В окно запуска добавлен выбор основного шрифта. o Пополнено окно дополнительных настроек. o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows. o \Windows\Downloaded Program Files o \ProgramData\Microsoft\Windows\WER\ReportArchive o \ProgramData\Microsoft\Windows\WER\ReportQueue o \ProgramData\Microsoft\Windows\WER\Temp Функция больше не выводит в лог пути до отсутствующих каталогов. o Исправлена критическая ошибка инициализации режима DDA, она могла проявляться на чипсетах AMD при подключении физического монитора к компьютеру, который был отключен или физически не подключен на этапе загрузки системы, при этом меняются логические номера дисплеев и 1-го дисплея обычно не существует, поэтому если вы подключились и 1-й дисплей показывает черный квадрат то стоит попробовать переключиться на 2-й и т.п. (!) В этом случае не работает программный способ вывода дисплея из сна, (!) поэтому в текущей версии движения мыши в любом случае передаются на (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей (!) при переключении на него. o Исправлена ошибка создания загрузочного диска под Windows 11 24H2, по неизвестной причине в этой редакции Windows dism из пакета ADK не способен без ошибок сформировать загрузочный образ диска, поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога. o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе ключей безопасного режима.

--------------------------------------------------------- 4.99.13 --------------------------------------------------------- Краткое содержание, подробнее читайте whatsnew. o Добавлен новый режим захвата экрана DDAL с поддержкой сжатия с потерей качества. o Добавлена защита начального уровня от внедрения потоков в адресное пространство uVS. o В меню Руткиты добавлен пункт "Найти и удалить сплайсинг из всех загруженных в uVS известных DLL". o Модуль антисплайсинга улучшен до версии 2.0. Теперь контролируются все экспортируемые функции всех известных DLL, загруженных в uVS.

С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик. --------------------------------------------------------- 4.99.12 --------------------------------------------------------- o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без посредников. (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус (!) то удаление исключений возможно лишь при использовании виртуализации реестра (!) ИЛИ при приостановке защиты этого антивируса. (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен (!) и лишь существенно замедляет и усложняет процесс лечения. o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии. (Доступно для Windows Vista+) o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива к мерам противодействия поиску. o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll, которой в этой системе нет. o Антисплайсинг: расширен список контролируемых функций.

--------------------------------------------------------- 4.99.11 --------------------------------------------------------- o Добавлена защита начального уровня от загрузки неизвестных DLL в адресное пространство uVS. Защита эффективна против большинства способов внедрения DLL, в т.ч. и с использованием глобальных хуков и ключей реестра. (кроме способов внедрения включающих в себя использование специального драйвера) Защита включается автоматически при активации опции "Выгружать DLL и уничтожать потоки внедренные в uVS". В лог выводится список таких DLL и количество попыток внедрения. Защита существенно повышает стабильность uVS и совместимость с различным софтом внедряющим свои DLL во все доступные процессы. (например: продукты Comodo, punto switcher (при отключенном UAC) и т.д.). (!) Функция доступна начиная с Windows Vista. o Обновлены базы известных файлов для корректной работы функции защиты от загрузки неизвестных DLL. o Улучшена функция антисплайсинга, теперь эта функция активируется на раннем этапе загрузки uVS. Расширен список контролируемых функций. (!) ЕСЛИ активна опция "Выгружать DLL и уничтожать потоки внедренные в uVS" то антисплайсинг (!) активируется автоматически. o Добавлено предупреждение в лог если параметр MinimumStackCommitInBytes в ветке реестра IFEO превышает 16Mb. Твик #35 теперь удаляет такие значения. o Добавлено предупреждение в лог если параметр CfgOptions в ветке реестра IFEO превышает допустимое значение. Твик #35 теперь удаляет такие значения. o Добавлено предупреждение в лог если значение параметра MitigationOptions в ветке реестра IFEO МОЖЕТ вызвать блокировку запуска приложения. (ошибка при запуске STATUS_DLL_INIT_FAILED [0xC0000142]) Твик #35 НЕ удаляет такие значения, поскольку это значение используется некоторыми программами для запуска специализированных процессов. o Добавлена обработка параметров UseFilter и FilterFullPath в IFEO. o Добавлена функция проверки ключа реестра планировщика задач, которая выполняется в отдельном потоке при обновлении списка, в результате в лог выводится путь в реестре до скрытых и поврежденных задач с их именами. Поврежденной задачей считается задача препятствующая нормальной работе интерфейса планировщика задач. (ошибки при открытии планировщика: "Внутренняя ошибка" и "Выбранная задача "имя_задачи" больше не существует") o Добавлен твик #35 Удаление поврежденных задач. Твик не удаляет скрытые задачи, если они не являются "поврежденными". o В случае аварийного завершения uVS лог автоматически сохраняется в текстовый файл с именем "crash.log". report_crush теперь отправляет этот файл вместе с дампом.

--------------------------------------------------------- 4.99.10 --------------------------------------------------------- o При активации небезопасных параметров запуска добавлено предупреждение с перечислением этих параметров. o Параметры запуска "Заморозить потоки внедренные в uVS" и "Выгружать DLL" объединены в один параметр "Выгружать DLL и уничтожать потоки внедренные в uVS". o Исправлена ошибка в функции выгрузки DLL из uVS. o Исправлена ошибка разбора параметров для исполняемых файлов с именем содержащим 2 точки. (например file.txt.exe) o Исправлена ошибка в функции удалении задачи по имени отсутствующего XML-файла задачи. o Исправлена ошибка в парсере json. Теперь в лог выводится участок json вызвавший ошибку разбора.

В последний месяц некогда было заниматься uVS, поэтому лишь небольшое исправление. --------------------------------------------------------- 4.99.9 --------------------------------------------------------- o Исправлена ошибка в функции сохранения образа неактивной системы. o Исправлена критическая ошибка в функции разбора расширений Chrome-based браузеров.

Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows https://www.comss.ru/page.php?id=17831

ESET NOD32 Antivirus 18.2.18 (Windows 10, 32-разрядная) ESET NOD32 Antivirus 18.2.18 (Windows 10/11, 64-разрядная) ESET Internet Security 18.2.18 (Windows 10, 32-разрядная) ESET Internet Security 18.2.18 (Windows 10/11, 64-разрядная) ESET Smart Security Premium 18.2.18 (Windows 10, 32-разрядная) ESET Smart Security Premium 18.2.18 (Windows 10/11, 64-разрядная) ESET Security Ultimate 18.2.18 (Windows 10, 32-разрядная) ESET Security Ultimate 18.2.18 (Windows 10/11, 64-разрядная) ● ● ● ● Руководство пользователя ESET NOD32 Antivirus 18 (PDF-файл) Руководство пользователя ESET Internet Security 18 (PDF-файл) Руководство пользователя ESET Smart Security Premium 18 (PDF-файл) Руководство пользователя ESET Security Ultimate 18 (PDF-файл) Полезные ссылки: Технологии ESET ESET Online Scanner Удаление антивирусов других компаний Как удалить антивирус 18-й версии полностью?

Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы. ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа. Пожалуй это надо вынести в заголовок стартового окна большими буквами.

--------------------------------------------------------- 5.0.1 --------------------------------------------------------- o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле. o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит. (для текущей версии Win11 24H2 проблема актуальна) В случае обнаружении исполняемого файла он будет добавлен в подозрительные. Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован. FRST пока эту дыру в безопасности не видит. o В список теперь может быть добавлено подозрительное значение ключа реестра. Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект". (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять. o Обновлен модуль rest до v1.21.

Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 --------------------------------------------------------- 4.99.14 --------------------------------------------------------- o Исправлена ошибка при подключении к удаленному компьютеру с Win11: в удаленную систему не передавалась база известных файлов. o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан в settings.ini или он был равен 0.

Можно. Пользователи платят деньги ав-компаниям за защиту, отдавая им на откуп право определять - что пользователю надо, а что ему вредно. Не нравится как вендор эти решения принимает ? Свободен проголосовать рублем за другого. Не хочешь менять вендора ? Тогда сам определяй для себя что надо и что не надо - играйся с настройками, раз уж в состоянии принимать такие решения - в настройках разберешься.