Перейти к содержанию

Recommended Posts

Гризлик

demkd

Здравствуйте!

При проверке файла по хешу через virustotal в программе выскакивает ошибка 12030. Что такое и как её можно исправить? Уже месяц с ней мучаюсь. Подозреваю что виноват KIS2015, т.к. если его отключить то ошибка не появляется и все работает. На форуме Касперского молчок также как и в его ТП. Я уже где только в настройках его не лазил, ничего не помогает.

Может вы как разработчик UVS сможете что подсказать?

Вот видео проблемы если что http://rghost.ru/private/7j9XHhQ6l/29ff36e72b5f11c111b7366b1877f8b0

Спасибо!

Отредактировал Гризлик

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@Гризлик,

12030 это "The connection with the server has been terminated" т.е. соединение было насильно разорвано, можно попробовать отключить не весь антивирус а только сетевой экран если ошибка пропадет то это проблема кривого фаервола, в свое вермя почти все фаеры страдали чем то подобным. Либо просто отключен вывод запроса на разрешения соединения новых программ с сетью и доступ молча блокируется, я точно не помню но вроде там была такая настройка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

SnimokPNG_6834910_18080047.png

VT[1/6]

Первая цифра это кол-во детектов, а вторая цифра что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Вторая количество антивирусных движков с учетом фильтра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

вопрос по STORE:

файлики для Win10 попадут при обновлении баз в секцию NT64, NT64x64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy,

попадут, скорее всего сегодня добавлю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а ADK для Win 10 уже работает? можно ли будет на базе uVS3.86 &ADK Win10 пересобрать новый загрузочный Winpe и uVS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, а че выпустили aik для 10-ки, я не видел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

здесь ссылка есть на ADK для Windows 10

https://msdn.microsoft.com/ru-ru/windows/hardware/dn913721.aspx

 

(что там по ссылке не смотрел еще, пока только образы скачал Win 10 enterprise.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, посмторю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, почему порой в карантин в имени файла с описания не указан хеш файла, то есть файл имеет имя вида: GMSD_RU_005010060.EXE.---.txt

При этом сам GMSD_RU_005010060.EXE в карантин попал, так что у uVS доступ к нему был.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

В связи с тем, что компания М. окончательно охренела: http://forum.esetnod32.ru/forum17/topic12304/

 

А значит в скором времени будет невозможно работать с данной операционной системой ( для нормальных людей будет невозможно )

то...

предлагаю выпустить новую версию uVS с возможность просматривать образы автозапуска в Linux системе.

 

т.е. Оператор установил Linux   и он работает с образами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, настольный линукс это процентов 5 от всего набора ос, если не считать макось за его разновидность поэтому это не актуально совершенно, а весь шпионский арсенал win10 отключается бысто и легко, да и тот же гугль собирает о пользователях значительно больше инфы, но его пользователей это совершенно не волнует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Здесь собрано: 702 левые ЭЦП

http://www.anti-malware.ru/forum/index.php?showtopic=23751&page=10#entry186038

на сегодняшний момент это не менее 80% всех левых ЭЦП
проделана большая работа.
но, кто о ней знает ?
-------
Думаю, как минимум стоит выложить файл для скачивания на: http://dsrt.dyndns.org
и написать по работе с данным файловым критерием.
---------
А по хорошему все файлы с этими ЭЦП должны попадать в подозрительные.
Действителен сертификат, или отозван.

 

Речь идёт о _сотнях тысяч _вредоносных файлов.
----------
Там одних ЭЦП Майнерв больше 20.
десятки ЭЦП вирусов.
Сотни Adware
и за сотню потенциально опасных и нежелательных программ.

---------

По каждой ЭЦП ( на выбор )

могу дать подтвержающую вердикт ссылку.

---------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

А хэши файлов, добавленных в проверенные, где-то хранятся? Можно их скопировать в другую версию программы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Открываем папку с программой в папке находим _файл: SHA1
в этот файле и хранятся  хеши  добавленных _вами файлов.
Можно скопировать так:

1) Просто скопировать

2) Скопировать и переименовать - задать файлу подходящее имя, файл можно поместить в _папку: SHA

* В папке может быть несколько файлов\баз из разных источников.

3) Через меню программы: Файл > Импорт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Не могу понять что-то где ошибка в скрипте. Вроде в скрипте нет ошибок. 

;uVS v3.86.7 [http://dsrt.dyndns.org];Target OS: NTv5.2v385cbregaddsgn 9252620A156AC1CCE0AB514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 48 Trojan.Encoder.94 [DrWeb]zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\XRECO8042\XRECO.EXEhide %Sys32%\HIDSERV.DLLhide %Sys32%\HKCMD.EXEhide %SystemDrive%\PROGRAM FILES\OPENOFFICE 4\PROGRAM\SOFFICE.BINhide WINHTTP.DLL;------------------------autoscript---------------------------chklstdelvirdelall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\XRECO8042\XRECO.EXE;-------------------------------------------------------------czoo

Образ 

2015.12.11 17:252015.12.11 14:25 (UTC)--------------------------------------------------------SeDebug привилегии полученыSeRestore привилегии полученыSeBackup привилегии полученыSeShutdown привилегии полученыSeTakeOwnership привилегии полученыSeLoadDriver привилегии полученыSeManageVolume привилегии полученыSeSecurity привилегии полученыSeTcb привилегии полученыSeImpersonate привилегии полученыSeAssignPrimaryToken привилегии полученыSeCreateTokenPrivilege привилегии полученыSeIncreaseQuotaPrivilege привилегии получены--------------------------------------------------------Сигнатур в базе: 0Загружено поисковых критериев: 0 --------------------------------------------------------uVS v3.86.7 [http://dsrt.dyndns.org]: Microsoft Windows Server 2003 x86 (NT v5.2 SP2) build 3790 Service Pack 2 [C:\WINDOWS]Свободно физической памяти 3563Mb из 3987MbСвободно на системном диске: 90,1GBBoot: Normal--------------------------------------------------------Internet Explorer v6.0.3790.3959--------------------------------------------------------Текущий пользователь: SERVER\АдминистраторuVS запущен под пользователем: SERVER\АдминистраторИмя компьютера: SERVER--------------------------------------------------------HOSTS:C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS127.0.0.1       localhostВсего: 1--------------------------------------------------------Persistent routes:Всего: 0--------------------------------------------------------Загружено реестров пользователей: 7Построение списка процессов и модулей...Анализ автозапуска...(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\WINHTTP.DLLПостроение списка системных модулей и драйверов...VBR NTFS [C:]: Неизвестный загрузчик SHA1: A9523B6CBA7954202BC72A605250C1819BB64424IPL NTFS [C:]: Неизвестный загрузчик SHA1: 79D7DA3273882A67F5131AF99C1D7AB22950B693VBR NTFS [D:]: Неизвестный загрузчик SHA1: A9523B6CBA7954202BC72A605250C1819BB64424IPL NTFS [D:]: Неизвестный загрузчик SHA1: 79D7DA3273882A67F5131AF99C1D7AB22950B693VBR NTFS [E:]: Неизвестный загрузчик SHA1: A9523B6CBA7954202BC72A605250C1819BB64424IPL NTFS [E:]: Неизвестный загрузчик SHA1: 79D7DA3273882A67F5131AF99C1D7AB22950B693VBR FAT32 [F:]: Неизвестный загрузчик SHA1: F51D7893A0C7F7919DE5CAA5CA8974172103D19FMBR#0 [149,0GB]: Неизвестный загрузчик SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644AMBR#1 [465,8GB]: Неизвестный загрузчик SHA1: B9C464F54624FFA9EA097C27132B9696AD6E0BE8Анализ файлов в списке...Анализ завершен.Список готов.Сбор дополнительной информации о файлах в списке...Альтернативный режим сканированияПостроение списка процессов и модулей...Сбор дополнительной информации...Анализ автозапуска...(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\WINHTTP.DLLПостроение списка системных модулей и драйверов...VBR NTFS [C:]: Неизвестный загрузчик SHA1: A9523B6CBA7954202BC72A605250C1819BB64424IPL NTFS [C:]: Неизвестный загрузчик SHA1: 79D7DA3273882A67F5131AF99C1D7AB22950B693VBR NTFS [D:]: Неизвестный загрузчик SHA1: A9523B6CBA7954202BC72A605250C1819BB64424IPL NTFS [D:]: Неизвестный загрузчик SHA1: 79D7DA3273882A67F5131AF99C1D7AB22950B693VBR NTFS [E:]: Неизвестный загрузчик SHA1: A9523B6CBA7954202BC72A605250C1819BB64424IPL NTFS [E:]: Неизвестный загрузчик SHA1: 79D7DA3273882A67F5131AF99C1D7AB22950B693VBR FAT32 [F:]: Неизвестный загрузчик SHA1: F51D7893A0C7F7919DE5CAA5CA8974172103D19FMBR#0 [149,0GB]: Неизвестный загрузчик SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644AMBR#1 [465,8GB]: Неизвестный загрузчик SHA1: B9C464F54624FFA9EA097C27132B9696AD6E0BE8Анализ файлов в списке...Анализ завершен.Список готов.Проверка цифровых подписей...Сертификат устарел: C:\PROGRAM FILES\CHANGEIP.COM\HOMING BEACON\HOMINGBEACONSERVICE.EXEСертификат устарел: C:\PROGRAM FILES\CHANGEIP.COM\HOMING BEACON\HOMINGBEACONUTIL.DLLСертификат устарел: C:\PROGRAM FILES\CHANGEIP.COM\HOMING BEACON\HOMINGBEACONGUI.EXEСертификат устарел: C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\HOMINGBEACONSETUP_4.1.0.EXE--------------------------------------------------------Проверка списка...--------------------------------------------------------Проверено файлов: 1222Найдено вирусов: 0--------------------------------------------------------Проверка списка по базе поисковых критериев...--------------------------------------------------------C:\WINDOWS\SYSTEM32\NTSD.EXE[EXE.DEBUGGER] (ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1) [auto (0)]--------------------------------------------------------C:\WINDOWS\SYSTEM32\HKCMD.EXE[RUN.CMD.HTTP] (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   ( ~ CMD.EXE)(1) [auto (0)]--------------------------------------------------------C:\WINDOWS\SYSTEM32\HIDSERV.DLL[sERVICEDLL.FALSE] (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]--------------------------------------------------------WINHTTP.DLL[sERVICEDLL.FALSE] (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]--------------------------------------------------------Проверка установленных программ...--------------------------------------------------------Проверено файлов: 1352Подозрительных: 4--------------------------------------------------------Проверка файлов по базе проверенных...--------------------------------------------------------Проверено файлов: 179Всего неизвестных файлов: 169Всего подписанных файлов: 24В скрипт добавлена команда: bregC:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\XRECO8042\XRECO.EXESHA1: F2222D1DC8D889044097B1042FB8894845ABF64EХэш НЕ найден в базе проверенных файлов--------------------------------------------------------C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\XRECO8042\XRECO.EXEИмя: xreco.exeДата: 2015-12-08 [2015-12-06 10:33:19 UTC (6 дней, 5 часов назад)]Win32:Evo-gen [susp] [Avast]Trojan.Ransom.AIG [bitDefender]Trojan-Ransom.Win32.Xorist.ln [Kaspersky]Ransom:Win32/Genasom.FO [Microsoft]Trojan.Cryptolocker.M [symantec]Детектов: 5 из 6--------------------------------------------------------В скрипт добавлена команда: addsgn 9252620A156AC1CCE0AB514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 48 Trojan.Encoder.94 [DrWeb]В скрипт добавлена команда: zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\XRECO8042\XRECO.EXEВ скрипт добавлена команда: hide %Sys32%\HIDSERV.DLLВ скрипт добавлена команда: hide %Sys32%\HKCMD.EXEВ скрипт добавлена команда: hide %SystemDrive%\PROGRAM FILES\OPENOFFICE 4\PROGRAM\SOFFICE.BINВ скрипт добавлена команда: hide WINHTTP.DLLВ скрипт добавлена команда: ;------------------------autoscript---------------------------В скрипт добавлена команда: chklstВ скрипт добавлена команда: delvirВ скрипт добавлена команда: delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\XRECO8042\XRECO.EXEОперация завершена.В скрипт добавлена команда: ;-------------------------------------------------------------В скрипт добавлена команда: czoo======= Начало исполнения скрипта =======--------------------------------------------------------믯㮿噵⁓㍶㠮⸶‷桛瑴㩰⼯獤瑲搮湹湤⹳牯嵧਍吻牡敧⁴协›呎㕶㈮਍㍶㔸ൣ戊敲൧ഊ愊摤杳㈹㈵㈶䄰㔱䄶ㅃ䍃ぅ䉁ㄵ䔴㌳㌲㤱㔹䙁䌸䅂䔷䔸䑂䔱㍁う㑃䔴㉁㍄㠳䐸䐵㡆㔶䔲䙅䘳㔵䐹㤴䄲䈵ㅆ㠹䑃㠰䅃㐱ㄸ䕃㌳㌶㔹䉄䈶䘵㉃㈰䑁㑁㥄㔸䍃䘸㐠‸牔橯湡䔮据摯牥㤮‴䑛坲扥൝ഊ稊潯┠祓瑳浥牄癩╥䑜䍏䵕久協䄠䑎匠呅䥔䝎屓郐铐鳐飐鷐飐ꇐꋐꃐ郐ꋐ黐ꃐ큜킠킐킑킞킧킘ₙꇐꋐ黐鯐塜䕒佃〸㈴塜䕒佃䔮䕘਍楨敤┠祓㍳┲䡜䑉䕓噒䐮䱌਍楨敤┠祓㍳┲䡜䍋䑍䔮䕘਍楨敤┠祓瑳浥牄癩╥停佒則䵁䘠䱉卅作䕐低䙆䍉⁅尴剐䝏䅒屍体䙆䍉⹅䥂ൎ栊摩⁥䥗䡎呔⹐䱄ൌ㬊ⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭ畡潴捳楲瑰ⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭഭഊ挊歨獬൴搊汥楶൲ഊ搊汥污匥獹整䑭楲敶尥佄啃䕍呎⁓乁⁄䕓呔义升큜킐킔킜킘킝킘킡킢킠킐킢킞岠ꃐ郐釐黐Ꟑ飐駐퀠킡킢킞岛剘䍅㡏㐰尲剘䍅⹏塅൅ഊ㬊ⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭⴭഭഊ挊潺--------------------------------------------------------Неизвестная команда в строке 1======= Конец  исполнения  скрипта ======= 

Нашел ошибку. Дело в кодировке было. Почему-то при копировании скрипта кодировка другая используется. :(

SERVER_2015_12_11_17_28_11.7z

SERVER_2015_12_11_17_28_11.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@mike 1, да, в unicode должен быть скрипт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

Сейчас 50% всех проблем это реклама в браузерах = леве расширения\плагины.

Вот бы разработать дополнение к браузеру которое бы автоматически блокировало их установку.

-----

Можно даже в двух вариантах сделать.

1) бесплатный вариант ( с минимум настроек )

2) проф.вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, нормальные браузеры давно уже спрашивают включать новое обновление или нет, так что вряд ли хоть что-то поможет, если пользователь хочет включить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

Появилась новая дрянь: MPC clianer

http://www.softportal.com/software-39618-mpc-more-powerful-cleaner.html

Она не удаляется.

uVS отдыхает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Не посмотрел, оно ставиться под вмварь отказывается, но я думаю при использовании виртуализации никаких проблем с удалением не возникнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Я  думаю при использовании виртуализации никаких проблем с удалением не возникнет.

В том то и дело, что бесполезно.

 

Поэтому и написал.

Там зверская самозащита.

-----

Хм...

А виртуализация на Windows 10 вообще проверялась ...

Она там работает, а то может и нет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Хм...

А виртуализация на Windows 10 вообще проверялась ...

Она там работает, а то может и нет ?

Работает, по логам выполнения скриптов видно. Но ни файл драйвера, ни службу в уже виртуализованном реестре удалить не получается.

Лог: 

2016-01-14_13-48-23_log.txt

2016-01-14_13-48-23_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×