Перейти к содержанию

Recommended Posts

santy
11 часов назад, PR55.RP55 сказал:

Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл"

Так почему бы не сделать доступным полный перечень команд ?

DELREF ; DELALL ; ZOO;  и т.д.

 

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
54 минут назад, santy сказал:

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Дело то не в этом.

Дело в наличие команды:  " Удалить только сам файл" в меню Инфо.

значит отдавать команды через меню Инфо. можно.

( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. )

Вернёмся к теме:

" alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его.

И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
5 часов назад, PR55.RP55 сказал:

Дело то не в этом.

Дело в наличие команды:  " Удалить только сам файл" в меню Инфо.

значит отдавать команды через меню Инфо. можно.

можно, но только через контекстное меню. 

а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click,

так что не факт что это будет проще и быстрее.

вообщем рационализация спорная, имхо.

можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
6 минут назад, santy сказал:

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
7 часов назад, santy сказал:

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен.

20 минут назад, santy сказал:

можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.

А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть.

Так что наверно оптимальный вариант был бы:

1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна).

2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
30 минут назад, alamor сказал:

Так что ваш вывод похоже ошибочен.

согласен,

не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт.

30 минут назад, alamor сказал:

Так что наверно оптимальный вариант был бы:

1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна).

2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.

тогда придется все контекстное меню переносить.

например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
7 часов назад, santy сказал:

тогда придется все контекстное меню переносить.

например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.

Зачем эти крайности - хватит и половины команд.

Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает.

В плане удобства оптимален ? переход от Инфо. к Инфо. 

т.е. Есть список файлов.

Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо *

* ( с учётом фильтра )

по ходу дела принимая решение считать ли файл проверенным, или удалить.

Без всех этих метаний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

В ряде случаев после выхода из uVS процесс продолжает...

Выключаешь Windows XP  и система начинает завершать какой нибудь:  ydranr

Возможно ошибка возникает когда запускается несколько: start.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема:

https://forum.esetnod32.ru/forum6/topic15041/
 

C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'

C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'

Как uVS  будет работать с этими объектами ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 

https://www.comss.ru/page.php?id=586

При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox )

https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/

В 26.10.2018 at 11:28 AM, PR55.RP55 сказал:

Demkd

В ряде случаев после выхода из uVS процесс продолжает...

Выключаешь Windows XP  и система начинает завершать какой нибудь:  ydranr

Это происходит при пополнении базы SHA1

" Добавить хэши исполняемых файлов каталога в базу проверенных..."

Но, не всегда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида:

WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION

возможно ли добавить в новых версиях?

Предположительно эти записи находятся в следующем файле:

C:\Windows\system32\wbem\repository\INDEX.BTR

P.S. C этим встретился в одной из тем по лечению.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 14.11.2018 at 11:54 PM, PR55.RP55 сказал:

При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox )

пора слазить с XP, конкретно этот файл имеет подпись на базе SHA256
 

В 14.11.2018 at 11:54 PM, PR55.RP55 сказал:

Это происходит при пополнении базы SHA1

это возможно, но причина не в SHA1, в чем хз и вряд ли получится найти.

18 часов назад, SQx сказал:

возможно ли добавить в новых версиях?

хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
3 минуты назад, demkd сказал:

хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера :D

Отправил вам ссылку в лс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
23 минут назад, SQx сказал:

Отправил вам ссылку в лс.

посмотрю

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Мне кажется ЭТО тоже стоит посмотреть.

C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER

V.T.:  MicrosoftTrojan:Win32/Zpevdo.A

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) uVS имеет проблемы со зрением.

Для uVS

Цитата

 

При применении автоскрипта это одно и тоже... Это один объект. :mellow:

И в скрипт будет выведена одна команда.

 

Цитата

 

2) Вероятно не корректно определяет время.

Для установленных программ указан: 1662 год.

и в тоже время...

2018.11.25 16:10 (UTC)

Тема\образ:  Здесь.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Цитата

Windows Defender:
===================================
Date: 2018-11-25 18:31:07.400
Description: 
Антивирусная программа "Защитник Windows" выявил подозрительное поведение.
Имя: Behavior:Win32/DroppedKnownMalware
ИД: 2249043961
Важность: Низкий
Категория: Подозрительное поведение
Найденный путь: file:_C:\Users\Pheno\Desktop\uvs_latest\start.exe; process:_3200
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: Подозрительный
Источник обнаружения: Защита в реальном времени:
Состояние: Выполнение
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
ИД сигнатуры: 41453017067075
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0
Версия модуля: 1.1.15400.5
Метка точности:  Низкий
Имя целевого файла:  C:\Users\Pheno\Desktop\uvs_latest\sxftyz

Date: 2018-11-25 18:31:06.088
Description: 
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Unwaders.C!ml&threatid=242874&enterprise=0
Имя: Program:Win32/Unwaders.C!ml
ИД: 242874
Важность: Критический
Категория: Нежелательная программа
Путь: file:_C:\Users\Pheno\Desktop\uvs_latest\sxftyz
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0, NIS: 1.281.777.0
Версия модуля: AM: 1.1.15400.5, NIS: 1.1.15400.5

Date: 2018-11-25 16:55:46.701
Description: 
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Unwaders.C!ml&threatid=242874&enterprise=0
Имя: Program:Win32/Unwaders.C!ml
ИД: 242874
Важность: Критический
Категория: Нежелательная программа
Путь: file:_C:\Users\Pheno\Desktop\uvs_latest\uceozm
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0, NIS: 1.281.777.0
Версия модуля: AM: 1.1.15400.5, NIS: 1.1.15400.5

 

Встроенный антивирус Microsoft помечает файлы uVS как нежелательные. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
14 часов назад, PR55.RP55 сказал:

При применении автоскрипта это одно и тоже... Это один объект

да, есть такой глюк, если добавлять сперва то что с завершающим "/"

14 часов назад, PR55.RP55 сказал:

2) Вероятно не корректно определяет время.

Это возможно в XP x64 много чего не так работает как надо, посмотрю что можно сделать.

13 часов назад, mike 1 сказал:

Встроенный антивирус Microsoft помечает файлы uVS как нежелательные. 

Defender не первый и не последний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Ошибка при выполнении.

sreg > areg

Тема\образ:  Здесь.

 

show_file.php?fid=108636&width=500&heigh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

видимо в момент запуска автоскрипта, необходимо еще раз уточнить кол-во объектов, которые попали под детект сигнатур. Если это количество равно нулю, тогда не добавлять автоматически команды chklst & delvir.

такое бывает. если есть первоначальный сигнатурный детект объекта, но объект удаляется через del или delall, до запуска автоскрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 27.11.2018 at 11:59 AM, santy сказал:

видимо в момент запуска автоскрипта, необходимо еще раз уточнить кол-во объектов, которые попали под детект сигнатур.

посмотрю

В 27.11.2018 at 1:59 AM, PR55.RP55 сказал:

Ошибка при выполнении.

Такое бывает, например самозащита некоторых антивирусов блокирует нормальную работу с реестром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.2
---------------------------------------------------------
 o Скриптова команда OFFSGNSAVE теперь дополнительно отключает записи из пользовательской базы сигнатур на время работы скрипта.

 o Исправлена ошибка в фильтре добавления строк в скрипт.

 o Исправлена функция сбора информации о компьютере под Windows 10 (Alt+I).

 o Добавлена поддержка WMI классов на базе __TimerInstruction.

 o При использовании автоскрипта команды chklst и delvir автоматически добавляются только в случае если в скрипт добавилась хотя бы 1 сигнатура.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Всё таки uVS не корректно работает с браузерами\расширениями в случае:

Если система установлена на диск С:

А браузер  (   Firefox  )   например на диск G:

Получается, что часть файлов браузера находиться на одном диске, а часть на другом.

+

Не корректно обрабатываются расширения которые были удалены например в ручную.

uVS в Инфо. пишет:  файл не найден... 

хочешь удалить ссылки на отсутствующий объект, а в результате....

( также для случая с двумя дисками )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Да и с портативными версиями программы дело швах...

Скачал портативную версию Opera запустил с рабочего стола - посмотрел, переместил, чтобы глаза не мозолила.

Посмотрел в uVS...


Полное имя                  C:\*\*\DESKTOP\OPERA\57.0.3098.76\OPERA.EXE
Имя файла                   OPERA.EXE
Статус                      АКТИВНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     64-х битный
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
pid = 3124                  Windows7\*
CmdLine                     "C:\Program Files\Opera portable 57.0.3098.76\opera.exe" --flag-switches-begin --flag-switches-end --use-turbo2 --enable-quic --lowered-browser
Процесс создан              18:39:07 [2018.12.04]
С момента создания          00:36:13
CPU                         2,81%
CPU (1 core)                5,61%

-----

Ну вот, как это ?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS  не видит  расширения FlashPlayer для Opera ( по крайней мере на 64b системах )

Win 7;  Win 10  ( а может и не только FlashPlayer не видит )

http://www.comss.ru/page.php?id=586

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×