uVS - Тестирование

[PR55.RP55 84]

Demkd

1) На всякий случай образ. ( имя файла )

https://yadi.sk/d/0gaYwP_McImVFg

-----------------------

C:\USERS\ALECHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDPGAGMLPGILIBFADPIFDMPFOPKNKANF\3.73_0\АВТО-КЭШБЭК + ДЕТЕКТОР СКИДОК — \

--------------------

Полное имя                  C:\USERS\ALECHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDPGAGMLPGILIBFADPIFDMPFOPKNKANF\3.73_0\АВТО-КЭШБЭК + ДЕТЕКТОР СКИДОК — \
Имя файла                   
Тек. статус                 Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      Chrome/Yandex
                            
Extension_ID                gdpgagmlpgilibfadpifdmpfopknkanf
Extension_name              Авто-Кэшбэк + Детектор скидок — \
Extension_state             1
Extension_version           3.73
Extension_installDate       2019-09-23 18:48
Extension_description       Кэшбэк за покупки в магазинах будет зачисляться автоматически, а история цен за 30 дней покажет подлинность скидок и акций.
Extension_homepageURL       https://clients2.google.com/service/update2/crx

2) В uVS\образе так и нет данных по % нагрузке CPU; GPU

3) Так и нет данных по Push- уведомлениям браузеров. Хотя бы в виде инфо: Подписка: Активна\Неактивна.                   

[SQx 4]

Приветствую,

Мне недавно встретилась тема на TechNet: Нет пинга по dns имени, но есть по ip.

Хотел бы связи с этим спросить, можно ли добавить функционал в uVS отслеживание пути:
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig]

И уведомлять при появление суб-ключей, например в случае использование политики OpenVPN:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig\OpenVPNDNSRouting-0] 

при условии если в качестве параметра GenericDNSServers какие-то значение (имя DNS сервера или его IP)?

P.S. Думаю в некоторых случаях это может ускорить поиск проблем связанных поиском проблем с резовингом, что скажете?
 

[demkd 639]

В 24.09.2019 at 10:34 PM, PR55.RP55 сказал:

В uVS\образе так и нет данных по % нагрузке CPU; GPU

Это появится лишь тогда, когда соберусь менять формат образа.

В 24.09.2019 at 10:34 PM, PR55.RP55 сказал:

3) Так и нет данных по Push- уведомлениям браузеров. Хотя бы в виде инфо: Подписка: Активна\Неактивна.    

Не уверен что это вообще будет.

В 25.09.2019 at 12:01 AM, SQx сказал:

P.S. Думаю в некоторых случаях это может ускорить поиск проблем связанных поиском проблем с резовингом, что скажете?

Да, интересный случай, действительно dns клиент перестает нормально работать, пожалуй стоит добавить... как оказалось так блокировать можно и отдельные сайты и целые домены одной записью в реестре.

[demkd 639]

---------------------------------------------------------
 4.1.7
---------------------------------------------------------
 o Функция разбора командной строки теперь распознает неявно заданный путь.
   Пример: cmd.exe /C start /D "C:\xxx\1" /B x1.cmd   
   x1.cmd будет преобразовано в C:\xxx\1\x1.cmd и файл будет выделен в отдельный объект, если такой файл физически существует,
   в противном случае в списке создается объект под именем x1.cmd без указания пути.

 o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения имен произвольных сайтов/доменов dns-клиентом.
   В случае ее обнаружения в лог выводится предупреждение.

 

[PR55.RP55 84]

Demkd

в Windows 10 build 18965 (20H1)

" Автоматически сохранять мои перезапускаемые приложения при выходе из системы и перезапускать их после входа. "

https://www.comss.ru/page.php?id=6369

Может были добавлены новые параметры в реестр и т.д.

 

[SQx 4]

18 часов назад, demkd сказал:

---------------------------------------------------------
 4.1.7
---------------------------------------------------------
 o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения произвольных имен сайтов/доменов dns-клиентом.
   В случае ее обнаружения в лог выводится предупреждение.

 

Приветствую.

Оперативно однако, спасибо вам.

[demkd 639]

12 часов назад, PR55.RP55 сказал:

Может были добавлены новые параметры в реестр и т.д.

да, надо будет посмотреть.

[PR55.RP55 84]

Demkd

Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.7 ДРОВА\START.EXE
Имя файла                   START.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\DESKTOP\Дрова.lnk
--------------------------
В ярлыке на рабочем столе прописан путь:
"C:\Users\User\Desktop\Архив\uVS 4.1.7 Дрова"

-------------------------

uVS v4.1.7 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

При очистке uVS все подобные ярлыки сносит.

Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети )

У людей на  рабочем столе переименованные ярлыки от игр и т.д. И потом восстанавливать по 50 ярлыков мало хорошего.

[demkd 639]

6 минут назад, PR55.RP55 сказал:

При очистке uVS все подобные ярлыки сносит.

посмотрю

[PR55.RP55 84]

9 минут назад, demkd сказал:

посмотрю 

Я там путь ярлыка сразу не верно указал

там: "C:\Users\User\Desktop\Архив\uVS 4.1.7 Дрова"

[demkd 639]

7 минут назад, PR55.RP55 сказал:

Я там путь ярлыка сразу не верно указал

а в чем различие?

[PR55.RP55 84]

Только что, demkd сказал:

а в чем различие? 

Да, там всё тоже самое.

Это я сам запутался. 

Сейчас всё верно указал.

 

 

 

[demkd 639]

---------------------------------------------------------
 4.1.8
---------------------------------------------------------
 o Исправлена ошибка при работе с реестром из-за которой функции восстановления и виртуализации реестра отказывались заменять ветку SOFTWARE.

 o В меню запуск добавлен новый элемент:
   1) Dism /Online /Cleanup-Image /StartComponentCleanup
      Скриптовая команда ComponentCleanup.
      Запуск оптимизации хранилища компонентов.

[PR55.RP55 84]

20 часов назад, demkd сказал:

---------------------------------------------------------
 4.1.8
---------------------------------------------------------

uVS 4.1.8
Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети )

----------------
Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
Имя файла                   START.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\DESKTOP\start.exe - Ярлык.lnk
                            
------------------
Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
------------------
В самом ярлыке:
Объект: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова\start.exe"
Рабочая папка: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова"

-----------------------------------

При обычном запуске ( Запустить под текущим пользователем )  - этой записи нет.

И соответственно ярлык не удаляется.

 

[demkd 639]

4 часа назад, PR55.RP55 сказал:

Наблюдается при запуске

это я еще не смотрел.

[SQx 4]

приветсвтвую,

У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае:

delwmi WMI:\\.\ROOT\SUBSCRIPTION\

у следующего объекта нет имени:

instance of __FilterToConsumerBinding
{
	Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
	Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

В логе FRST, он виден как:

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION

Спасибо за ранее.

P.S. приложил лог.

ИВААААААН-ПК_2019-10-17_09-55-24_v4.1.8.7z

[demkd 639]

6 часов назад, SQx сказал:

У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае:

Такой объект один в списке, так что проблем не будет.

[PR55.RP55 84]

8 часов назад, demkd сказал:

Такой объект один в списке, так что проблем не будет.

Однако это не решение вопроса.

------------

Можно удалять объект ориентируясь не на имя, а на поисковый критерий.

Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.

[SQx 4]

 

14 часов назад, demkd сказал:

Такой объект один в списке, так что проблем не будет.

Спасибо за информацию, но чтобы на верняка не испортить ОС пользователя, удалил спомощью FRST.
В следующий раз попробую через uVS.
 

[SQx 4]

6 часов назад, PR55.RP55 сказал:

Можно удалять объект ориентируясь не на имя, а на поисковый критерий.

Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.

Ранее с критериями не дружил, попробую в следующий раз, спасибо.

[PR55.RP55 84]

SQx

То, что я выше написал сделать можно -  если есть доступ к PC.

Однако не при работе со скриптом.

Я  для Demkd  написал.

В скрипт добавлять команды типа:

adds criterion delref   fuckyoumm2_filter

Checks the list by criterion

т.е. добавлен критерий ( с выбором типа команды ) >  проверяется список > найденный по критерию объект удаляется.

 

 

 

[PR55.RP55 84]

Полное имя                  C:\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SQB.ZIP
Имя файла                   1SQB.ZIP
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      79016 байт
Создан                      01.11.2019 в 12:05:24
Изменен                     01.11.2019 в 12:05:24
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        54A657780B2A5ABA927B8E9EB56239902B128F3A
MD5                         9DDC292BD6840CD5F49969EEAE026823
                            
Ссылки на объект            
Ссылка                      C:\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
-------------------------

https://forum.esetnod32.ru/messages/forum35/topic15282/message107528/#message107528

SRV_2019-11-01_12-14-59_v4.1.8.7z

------------------------

Как мы видим у объекта нет статуса: Подозрительный.

Предлагаю все расширения: zip; 7zip; rar  и т.д.  в случае, если файл в автозапуске считать подозрительными.

       

[PR55.RP55 84]

+

Получен ограниченный доступ к защищенному процессу: audiodg.exe [1948]

Нужно автоматическое исключение.

т.е. Оператор ещё до запуска uVS может задать список исключений.

Задать области в которые uVS не будет вмешиваться:  файлы антивирусов, некоторые драйверы.

В противном случае работа программы как минимум замедляется. ( порой в разы )

Если оператору будет нужно - он уже отдельно проверит эти файлы.

[PR55.RP55 84]

Тема образ.

http://www.tehnari.ru/f35/t266702/

У меня такое впечатление, что может быть ошибка при разборе путей\команд.

[PR55.RP55 84]

uVS  видит не все файлы...

Пример в системе: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Два файла: slui.exe

Один файл в : C:\Windows\winsxs\amd64_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7601.17514_none_****

Второй в: C:\WINDOWS\SYSTEM32\SLUI.EXE

Оба файла одинаковые, оба файла запускались.

Но uVS видит только один файл из двух  в: SYSTEM32

---------------

В конце концов после моих манипуляций с пятого запуска uVS файл увидел...

* второй файл я увидел с помощью UltraSearch

Одно дело не получить доступ к файлу, другое дело его вообще не увидеть.