Перейти к содержанию

Recommended Posts

gazlan

Попробую здесь спросить.

Ситуация:

Я автор программы, DEMO-версия которой доступна с моей домашней странички. На www.cyberforum.ru, одним из пользователей я был обвинен в распространении malware и, в качестве доказательства, приводился скриншот (AV)программы, демонстрирующий, что EXE-файл DEMO-версии упакован пакером, который эта программа, как я понимаю, не может ни опознать (WinUpack 0.39), ни распаковать. Данные мной пояснения и ссылка на virustotal (https://www.virustotal.com/en/file/42df5fd427829e4ebd915f2ca12875870a77a784290b30709d7a9918cf190e55/analysis/1362148204/) проигнорированы (как я полагаю, просто в силу технической некомпетентности).

Обвинение в распространении malware, очевидно, наносит ущерб моей репутации.

Что лучше предпринять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Отправьте ваш файл в ЛК и Доктор Вэб. Если придет ответ, что файл чист, то это будет доказательством.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Alex_Goodwin имхо надо отправлять не в ЛК и Доктор Вэб, а тому вендору, чьим антивирусом пользуется тот юзер, возможно, они добавят файл в базу чистых. А насчёт ЛК и Доктор Вэб по VT и так видно, что они не считают файл вредоносным и детект идёт именно на пакер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
тому вендору, чьим антивирусом пользуется тот юзер, возможно, они добавят файл в базу чистых

Это я, разумеется, сделал - отправил FALSE ALARM report, но уверен, что это бесполезно. Подробнее здесь: Malwarebytes Anti-Malware PRO

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Оригинальный файл имеет размер 254 КБ, сжатый - 67 КБ.

gazlan, с какой целью вы применяете упаковщик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
познакомился с удивительной программой, которую авторы выдают за антивирус - Malwarebytes Anti-Malware PRO.

gazlan возможно вам будет интересно почитать эти две темы:

http://www.anti-malware.ru/forum/index.php?showtopic=18301

http://www.kernelmode.info/forum/viewtopic...?f=11&t=964

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
какой целью вы применяете упаковщик

Если быть честным, то больше по привычке, наверное - люблю маленькие и быстрые программы. Большая часть того, что у меня есть на диске упакована - и свои файлы и чужие. Раньше пользовался, в основном, UPX, но Upack, обычно, сжимает чуть лучше.

И еще - если это подразумевалось - крипторами не пользуюсь принципиально. То есть цели спрятать что-то не было.

вам будет интересно почитать эти две темы

Спасибо! Безусловно, интересно.

А вот глупый вопрос: профессиональное AV-сообщество такие вещи не беспокоят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька

Может быть это модуль "родительский контроль" сработал? Чтобы школоту от cyberporno защитить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

gazlan, если человек не захочет поверить, то никакие доказательтва ему нет смысла приводить. Пусть даже сам Евгений Касперский по нтв выступит и скажет что программа безвредна :) А вообще выше вам все правильно советовали...

Могу только добавить:

1. привычка это хорошо, но предлагаю не паковать, т.к выигрыша в скорости работы нет, места на харде не сильно выиграли, да и для скачки даже через диалап немного. Если хотите то при выкладывании на сервер можно дистрибутив заархивировать. А от пакеров типа upack и ему подобных только шипение со стороны антивирусов и никакой пользы...

2. Можно долго смеятся над детектом по именам, но в реальной жизни вреда от этого никакого, а детект реального зловреда есть. Но вообще это неправильно, конечно.

Я не хочу разжигать холивар, но МБАМ по лечению утрет нос не меньше чем половине антивирусов с вирустотала.

3. Когда у нас бабки рубят за нерабочие антивирусы ("иммунитет"), то на их фоне мбам и вовсе кажется светилом технологий...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

dell ибо тема хлам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
priv8v

А от пакеров типа upack и ему подобных только шипение со стороны антивирусов и никакой пользы

Безотносительно к данному случаю, мне кажется странным ориентироваться на "продукт" с нулевой функциональностью. Тогда уж и в RAR паковать нельзя - архивы MBAM тоже не понимает.

Иными словами, свободный выбор компилятора, упаковщика итп. должен быть моим правом, а не диктоваться некомпетентным дядей из Иммунитета-2.

А в перспективе, учитывая долгую историю EXE-пакеров (com-пакеры, diet, lzexe...), думаю что поделкам типа MBAM придется просто покинуть рынок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

MBAM занимает свою нишу и вряд ли ее покинет. И вряд ли они буду из-за поделок сбивать детект.

Иными словами, свободный выбор компилятора, упаковщика итп. должен быть моим правом, а не диктоваться некомпетентным дядей из Иммунитета-2.

Естественно, только потом не удивляйтесь когда результаты работы будут сливаться в треш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

gazlan, не надо кидаться словами про нулевую функциональность. я не фан мбама, но неприятно когда вот так без аргументации отзываются о достаточно нормальном продукте такого класса.

про пакеры мне добавить нечего. естественно это ваше право паковать продукт чем угодно. я лишь пояснил откуда растут уши у детекта и что можно сделать чтобы не было повторения ситуации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Подробнее здесь: Malwarebytes Anti-Malware PRO

Есть контекстное сканирование, для чего были все эти танцы с флешками?

Многие хелперы используют лог сканирования MBAM, для анализа и помощи при заражении системы.

Разработчики не позиционируют продукт как полноценный антивирус, отсюда отсутствие многих технологий, например работа с контейнерами.

Единственно что бы я рекомендовал, это не пользовать MBAM чайникам и людям с неуравновешенной психикой.

Ничего личного)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
Есть контекстное сканирование, для чего были все эти танцы с флешками?

Может быть только в версии Pro? Ни на одной вкладке не нашел возможностии выбрать отдельный файл или директорию.

пояснил откуда растут уши у детекта и что можно сделать чтобы не было повторения ситуации

Дело в том, что Upack хорошо известен не первый год, всеми, кому нужно, распаковывается. В сети несложно найти даже исходный код распаковщика. Ни один из "брэндовых" AV претензий к нему не имел. Детект Upack как малвари, для меня полная неожиданность и, разумеется, показатель качества продукта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan

И да, по поводу "нулевой" функциональности я, конечно, неправ - она отрицательна.

Ранее, я не упомянул (не имело отношения к вопросу), что при сканировании жестких дисков и реестра, MBAM пометил как "инфицированные" множество вполне добропорядочных файлов и предложил их удалить.

Плохо представляю, что может твориться на компьютерах юзеров, доверивших "лечение" подобной программе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Дело в том, что Upack хорошо известен не первый год, всеми, кому нужно, распаковывается. В сети несложно найти даже исходный код распаковщика. Ни один из "брэндовых" AV претензий к нему не имел. Детект Upack как малвари, для меня полная неожиданность и, разумеется, показатель качества продукта.

1. Не показатель.

2. На другие ваши упакованные приложения детект со стороны некоторых антивирусов гораздо определённее - Gen:Trojan.Heur.GZ.dmKebqm@I@g, Win-Trojan/OnlineGameHack.B или TrojWare.Win32.TrojanDownloader.Agent.~d018

Используйте UPX хотя бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Ранее, я не упомянул (не имело отношения к вопросу), что при сканировании жестких дисков и реестра, MBAM пометил как "инфицированные" множество вполне добропорядочных файлов и предложил их удалить.

лог сканирования в студию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
И да, по поводу "нулевой" функциональности я, конечно, неправ - она отрицательна.

1) Не надо пользоваться этой программе параноиками и слепо доверять её детектам.

2) Как уже написали в теме, эта программа позволяет найти и удалить вирусы, которые не видят другие антивирусы и утилиты. Разумеется, для этого должен быть, какой-то опыт работы с программой и не следует слепо удалять всё, что она найдёт.

В таких случаях она бывает очень полезна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan
На другие ваши упакованные приложения

Вероятно, это про директорию "Toy Tools"? Там не все мое, многое найдено в инете. Я не пакую ничем другим, кроме Upack и UPX.

лог сканирования в студию

Уже удален, вместе с MBAM. Сейчас, для теста, я поставлю его еще раз и выложу лог немного позднее.

и не следует слепо удалять всё, что она найдёт

Думаю, большинство юзеров нажмет "Удалить", даже не вчитываясь в сообщения программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gazlan

MBAM_log_2013_03_03__22_00_56_.rar

Уже удален, вместе с MBAM. Сейчас, для теста, я поставлю его еще раз и выложу лог немного позднее.

Отчет только по диску C:

MBAM_log_2013_03_03__22_00_56_.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Просмотрел бегло лог

HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> No action taken.HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> No action taken.

это от тулбара webalta - можете сами погуглить, какая у него репутация и что это.

PUP.Funmoods - ad-aware, тоже рекомендовал бы вам удалить.

.zip.exe (Hoax.ArchSMS) - фейковые архивы, которые для распаковки просят отправить смс.

назначение PUP.OperaPasswordTool, PUP.PassView, PUP.PSWTool.ProductKey и т.д. думаю и так понятно.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 02\Lesson 02.exe

интересно было бы увидеть отчёт по VT

+ у вас стоит

Windows XP Service Pack 2 x86 NTFS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

C:\R\FAKE - это, что, автор сам создаёт архивы, требующие отправки SMS за распаковку ? Дополнительный заработок?

C:\R\FAKE\ABBYY_FineReader_11_0_110_122_Pro___Light___Corporate_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\ABBYY_Screenshot_Reader_9_0_0_1051_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\AceMoney_4_20_6_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\activ_ebook_compiler.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\activ_ebook_compiler_2__.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\activ_ebook_compiler_3.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Adrosoft_AD_Sound_Recorder_5_4_5_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Adrosoft_AD_Stream_Recorder_4_3_5_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Anthemion_Jutoh_1_58_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\DBF_Viewer_Plus_1_69_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Dia_0_97_1_1_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Domashnyaya_buhgalteriya_4_4_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Edraw_Max_Pro_6_8_0_2400_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FairStars_MP3_Recorder_2_40_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FairStars_Recorder_3_50_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FastStone_Capture_7_3_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Fax_Machine_4_33_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Fax_Machine_4_33_Portable.zip_1.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Finance_Explorer_5_5_1_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FontExpert_2009_10_0_R3_Portable_Rus.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\GnuCash_2_4_11_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\HyperCam_3_4_1206_04_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\iCash_7_4_9_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Kalkules_1_8_2_17_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\MathType_6_6a_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\MOBILedit__3_1_0_296_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Natata_eBook_Compiler_Gold_3_03_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Personal_Finances_Pro_5_2_4590_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Polyglot3000_3_70_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\RapidTyping_4_6_6_Final_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\RedCrab_4_32_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\SQLite_Expert_Pro_3_4_36_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TechSmith_Camtasia_Studio_6_0_2_Build_885_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TechSmith_Camtasia_Studio_7_0_1_Lite_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TechSmith_SnagIt_11_1_0_248_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Total_Recorder_Editor_Pro_12_1_1_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TranslateIt__8_1_build_3_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Unit_Converter_01_28_1194_Portable_Rus.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\VerseQ_2011_02_23_226_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\VueScan_Pro_9_2_03_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\WebShot_1_71_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\WhereIsIt__3_97_Build_612_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Wink_2_0_build_1060_Portable_Rus.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Wondershare_QuizCreator_2_4_0_4_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Xilisoft_iPhone_Magic_Platinum_5_4_9_20130108_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\YoGen_Recorder_3_5_11_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

Внушительный список.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Значит наш разработчик не брезгует подсунуть пользователю УГ для своего заработка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Фолсы:

C:\---TESTED---\design\design\35\graphity-341.exe (Trojan.Agent)

C:\---TESTED---\Jakstab-0.8.3\Jakstab\input\bin\vmcai12\demo2.exe (Trojan.SmallDL)

C:\Bin\Plugins\PeID\UPXScramb.dll (Trojan.KillAV)

С этими вообще в тему "Фабрика epic falses" нужно :)

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 02\Lesson 02.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 03\Lesson 03.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 04\Lesson 04.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 05\Lesson 05.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 06\Lesson 06.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 07\Lesson 07.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 08\Lesson 08.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 09\Lesson 09.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 10\Lesson 10.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 11\Lesson 11.exe (Trojan.Meredrop) -> No action taken.

Оригинальный Lesson 08.exe:

https://www.virustotal.com/ru/file/5b492261...sis/1362333826/

Lesson 08.exe со снятым упаковщиком:

https://www.virustotal.com/ru/file/29ef6d39...sis/1362333453/

Если это стандартные "Hello, world!", то совсем печально. Скиньте в личку.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\symbols\mdb\Test\Resources\assemblies\hello.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.anycpu.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.ia64.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.x64.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.x86.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hellow.exe (Backdoor.MSIL.PGen) -> No action taken.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini ) Для чего? Например в списке есть: oikgcnjambfooaigmdljblbaeelmeke odbmjgikedenicicookngdckhkjbebpd Но объект  может отображаться внятно: oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.8.
    • demkd
    • santy
      demkd, а где сохраняется информация о количестве используемых ядер? в settings.ini? Не увидел там новый параметр при изменения параметра производительности в доп. настройках.
    • demkd
      ---------------------------------------------------------
       4.99.1
      ---------------------------------------------------------
       o Это обновление добавляет поддержку многоядерных процессоров.

       o В меню Настройки->Дополнительные настройки добавлена возможность указать количество рабочих потоков
         для функций:
           o Создание файла сверки                                        (нельзя прервать)
           o Создание образа автозапуска                                  (нельзя прервать)
           o Загрузка производителя [F3]                                  (доступно прерывание функции по ESC)
           o Проверка по базе проверенных файлов [F4]                     (доступно прерывание функции по ESC)
           o Проверка ЭЦП [F6]                                            (доступно прерывание функции по ESC)
           o Проверка по базе критериев [Alt+F7]                          (доступно прерывание функции по ESC)
           o Фильтрация по базе критериев [Ctrl+F7]                       (доступно прерывание функции по ESC)
           o Проверка списка по выбранному критерию                       (доступно прерывание функции по ESC)
           o Проверить весь список на вирусы                              (доступно прерывание функции по ESC)
           o Добавить хэши всех проверенных файлов в базу проверенных     (доступно прерывание функции по ESC)
           o Добавить хэши исполняемых файлов каталога в базу проверенных (доступно прерывание функции по ESC)
         Значение 0 задает количество потоков равным количеству ядер процессора (включая виртуальные), виртуальные ядра
         могут ускорить процесс на лишние 30%.
         Как сказывается использование E-ядер неизвестно, но скорее всего ощутимой разницы с P ядрами не будет,
         поэтому на новых интелах + NVME SSD сокращение времени исполнения функций скорее всего будет огромным.
         При подключении к удаленной системе для серверной части uVS количество потоков всегда равно количеству ядер (включая виртуальные).
         Для клиентской части действует заданное в настройках значение.
         Для системного диска на базе SSD время выполнение функции уменьшается многократно (для 4-х ядерных процессоров вплоть до 4x на SATA SDD),
         для современных конфигов может иметь смысл задание большего числа потоков чем количество ядер у процессора (допустимый максимум - 128).
         Для HDD все гораздо хуже, время проверки немного сокращается (10-20%), однако когда часть файлов находится
         в кэше системы (т.е. в оперативной памяти) разница будет существенной и для HDD.
         Конечно все это верно лишь для процессоров с более чем 1 ядром.
         (!) Прерывание функции по клавише ESC недоступно для удаленных систем.

       o Другие функции, которые можно прервать по ESC:
         o Проверить все НЕПРОВЕРЕННЫЕ файлы на VirusTotal.com
         o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на VirusTotal.com
         o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com (c учетом фильтра)
         o Проверить все НЕПРОВЕРЕННЫЕ файлы на virusscan.Jotti.org
         o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на virusscan.Jotti.org
         o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на virusscan.Jotti.org (с учетом фильтра)
         o Проверить хэш файла по базе проверенных файлов
         o Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты

       o Обновлен функционал окна "История процессов и задач".
         Добавлена информация о текущем состоянии задач зарегистрированных в системном планировщике заданий.
         Добавлена новая кнопка "С момента запуска системы", которая переключает режим отображения истории.
         Если кнопка нажата то история отображается только с момента запуска системы, все что было раньше не попадает в список.
         Если кнопка отжата то отображается вся доступная история процессов и задач,
         что может быть полезно для выявления зловредной активности непосредственно перед перезагрузкой системы.
         Для каждой задачи по двойному щелчку левой кнопки мыши можно просмотреть XML описание задачи.
         Теперь фильтрующий поиск работает на все колонки активного списка одновременно, поддерживается
         фильтрация и списка процессов и списка задач, в зависимости от того какой список активен.
         Фильтрующий поиск применяется на результат работы родительского фильтра.
         Горячая клавиша Backspace больше не влияет на родительский фильтр, для отката уровня родительского
         фильтра используйте клавиши ESC (если строковый фильтр пуст) или Alt+Up (откат со сбросом строкового фильтра).
         (см. подробнее в файле Doc\История процессов и задач.txt)
         (!) Только для Vista и старше.
         (!) Только для активных и удаленных систем.

       o Включение отслеживания процессов и задач теперь увеличивает системный журнал до 50mb,
         отключение возвращает размер по умолчанию.

       o Новая скриптовая команда: deltskname полное_имя_задачи
         Удалить задачу с указанным именем.
         Имя задачи должно начинаться с символа "\", например: \Task
         Допустимо указывать каталоги например: \Microsoft\Задача
         (!) Только для Vista и старше.

       o Возвращено отображение цифровых процентов в заголовке окна, поскольку в некоторых системах графическое отображение
         прогресса выглядит не очень наглядно.

       o В окно выбора каталога/файла добавлен фильтрующий поиск (по обоим спискам одновременно если это выбор файла).
         В окне изменились горячие клавиши:
          o \ - перейти к выбору диска
          o DEL - удалить каталог/файл (с подтверждением)
          o ESC - очистить фильтр, если фильтр пуст то закрыть окно.   
          o Backspace - удалить последний символ фильтра
          o Alt+Вверх - перейти в родительский каталог

       o Функция создания образа автозапуска теперь не использует базы проверенных файлов и все проверенные файлы ДО создания
         образа теряют статус "проверенный". Т.е. в образе статус проверенный имеют лишь файлы прошедшие проверку ЭЦП.

       o Поскольку AutoHotkey используется зловредами то теперь все его актуальные версии выявляются под любым именем по F3 или
         при создании образа автозапуска и получают статус подозрительного файла.
         Соответствующие имени файла скрипты автозапуска добавляются в список автоматически и тоже получают статус подозрительных файлов.
         Содержимое скрипта доступно в окне информации ahk файла.

       o Введены новы лимиты на количество элементов в списке автозапуска для x64 версий в списке может быть до 1 млн. файлов,
         для x86 до 150 тысяч файлов. (Обычно в образе менее 10 тысяч файлов)

       o Оптимизированы функции сортировки, фильтрации и вывода списка.

       o В категории HOSTS добавлен фильтрующий поиск по 2 первым колонкам одновременно.
         Сортировки в этой категории нет, записи представлены в порядке следования в оригинальных файлах.
         Первыми идут записи из HOSTS, что лежит по прописанному в реестре пути, если путь отличается от пути по умолчанию
         то дальше идут записи HOSTS из \Windows\System32\drivers\etc, далее записи из HOSTS.ICS.
         В этой категории теперь работает горячая клавиша DEL.

       o Найдена ошибка в Windows API из-за которой для некоторых файлов не отображался производитель и другая информация о версии файла.
         Сам Windows для таких файлов не отображает случайные параметры на вкладке "Подробно" в свойствах файла.
         Ошибку удалось обойти и теперь в окне информации о файле отображаются все значимые параметры для всех исполняемых файлов.

       o Улучшен альтернативный режим сканирования процессов. (ctrl+p)

       o В контекстное меню окна информации о файле добавлен поиск по имени подписавшего файл.

       o Удалена скриптовая команда EXEC32 за бесполезностью.

       o Из настроек основного списка удален обычный поиск за бесполезностью.

       o Добавлен вывод предупреждения в лог при обнаружении вируса в списке при загрузке производителя и сигнатур про F3.

       o Исправлена и улучшена функция вывода результата исполнения консольных приложений.
         Теперь вывод осуществляется в реальном времени с поддержкой отображения динамического текста в последней строке.
         Проблема с кодировкой для старых систем решена.
         Добавлено время выполнения приложения.

       o Результат выполнения команды gpudpate теперь отображается в логе.

       o Сообщение об отсутствии пользовательского реестра в каталоге "All users"/ProgramData больше не выводится.

       o Немного дополнена документация.

       o Исправлена ошибка из-за которой вместо обычной x64 версии для старых систем запускалась x64v версия.

       o Исправлено ошибочное сообщение в логе при исполнении 44 твика.

       o Исправлена ошибка при сохранении истории задач в образ и при передаче данных из удаленной системы.

       o Исправлена и оптимизирована функция проверки списка по выбранному критерию.

       o Исправлена ошибка с растущим временем отката операции по Ctrl+Z при работе с образом.

       o Исправлена ошибка при определении параметров *OperatingSystemVersion для 64-х битного исполняемого файла.

       o Исправлена ошибка с неправильным откатом операции по HOSTS при работе с образом.

       o Исправлена ошибка подписи образа автозапуска удаленной системы (появилась в v4.15.4)

       o Исправлена функция Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты

       o Исправлены мелкие интерфейсные ошибки.
       
×