uVS - Тестирование

[santy 149]

11 часов назад, PR55.RP55 сказал:

Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл"

Так почему бы не сделать доступным полный перечень команд ?

DELREF ; DELALL ; ZOO;  и т.д.

 

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

[PR55.RP55 78]

54 минут назад, santy сказал:

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Дело то не в этом.

Дело в наличие команды:  " Удалить только сам файл" в меню Инфо.

значит отдавать команды через меню Инфо. можно.

( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. )

Вернёмся к теме:

" alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его.

И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "

 

[santy 149]

5 часов назад, PR55.RP55 сказал:

Дело то не в этом.

Дело в наличие команды:  " Удалить только сам файл" в меню Инфо.

значит отдавать команды через меню Инфо. можно.

можно, но только через контекстное меню. 

а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click,

так что не факт что это будет проще и быстрее.

вообщем рационализация спорная, имхо.

можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.

 

[santy 149]

6 минут назад, santy сказал:

 

 

[alamor 69]

7 часов назад, santy сказал:

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен.

20 минут назад, santy сказал:

можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.

А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть.

Так что наверно оптимальный вариант был бы:

1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна).

2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.

[santy 149]

30 минут назад, alamor сказал:

Так что ваш вывод похоже ошибочен.

согласен,

не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт.

30 минут назад, alamor сказал:

Так что наверно оптимальный вариант был бы:

1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна).

2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.

тогда придется все контекстное меню переносить.

например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.

 

[PR55.RP55 78]

7 часов назад, santy сказал:

тогда придется все контекстное меню переносить.

например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.

Зачем эти крайности - хватит и половины команд.

Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает.

В плане удобства оптимален ? переход от Инфо. к Инфо. 

т.е. Есть список файлов.

Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо *

* ( с учётом фильтра )

по ходу дела принимая решение считать ли файл проверенным, или удалить.

Без всех этих метаний.

[PR55.RP55 78]

Demkd

В ряде случаев после выхода из uVS процесс продолжает...

Выключаешь Windows XP  и система начинает завершать какой нибудь:  ydranr

Возможно ошибка возникает когда запускается несколько: start.exe

[PR55.RP55 78]

Тема:

https://forum.esetnod32.ru/forum6/topic15041/
 

C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'

C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'

Как uVS  будет работать с этими объектами ?

[PR55.RP55 78]

 

https://www.comss.ru/page.php?id=586

При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox )

https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/

В 26.10.2018 at 11:28 AM, PR55.RP55 сказал:

Demkd

В ряде случаев после выхода из uVS процесс продолжает...

Выключаешь Windows XP  и система начинает завершать какой нибудь:  ydranr

Это происходит при пополнении базы SHA1

" Добавить хэши исполняемых файлов каталога в базу проверенных..."

Но, не всегда.

[SQx 0]

Приветствую,

По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида:

WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION

возможно ли добавить в новых версиях?

Предположительно эти записи находятся в следующем файле:

C:\Windows\system32\wbem\repository\INDEX.BTR

P.S. C этим встретился в одной из тем по лечению.
 

[demkd 561]

В 14.11.2018 at 11:54 PM, PR55.RP55 сказал:

При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox )

пора слазить с XP, конкретно этот файл имеет подпись на базе SHA256
 

В 14.11.2018 at 11:54 PM, PR55.RP55 сказал:

Это происходит при пополнении базы SHA1

это возможно, но причина не в SHA1, в чем хз и вряд ли получится найти.

18 часов назад, SQx сказал:

возможно ли добавить в новых версиях?

хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера

[SQx 0]

3 минуты назад, demkd сказал:

хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера

Отправил вам ссылку в лс.

[demkd 561]

23 минут назад, SQx сказал:

Отправил вам ссылку в лс.

посмотрю

[PR55.RP55 78]

Demkd

Мне кажется ЭТО тоже стоит посмотреть.

C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER

V.T.:  MicrosoftTrojan:Win32/Zpevdo.A

 

 

[PR55.RP55 78]

1) uVS имеет проблемы со зрением.

Для uVS

Цитата

 

HTTPS://NEWTAB.CLUB

HTTPS://NEWTAB.CLUB/

 

 

При применении автоскрипта это одно и тоже... Это один объект.

И в скрипт будет выведена одна команда.

 

Цитата

HTTPS://NEWTAB.CLUB/

 

2) Вероятно не корректно определяет время.

Для установленных программ указан: 1662 год.

и в тоже время...

2018.11.25 16:10 (UTC)

Тема\образ:  Здесь.

 

[mike 1 57]

Цитата

Windows Defender:
===================================
Date: 2018-11-25 18:31:07.400
Description: 
Антивирусная программа "Защитник Windows" выявил подозрительное поведение.
Имя: Behavior:Win32/DroppedKnownMalware
ИД: 2249043961
Важность: Низкий
Категория: Подозрительное поведение
Найденный путь: file:_C:\Users\Pheno\Desktop\uvs_latest\start.exe; process:_3200
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: Подозрительный
Источник обнаружения: Защита в реальном времени:
Состояние: Выполнение
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
ИД сигнатуры: 41453017067075
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0
Версия модуля: 1.1.15400.5
Метка точности:  Низкий
Имя целевого файла:  C:\Users\Pheno\Desktop\uvs_latest\sxftyz

Date: 2018-11-25 18:31:06.088
Description: 
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Unwaders.C!ml&threatid=242874&enterprise=0
Имя: Program:Win32/Unwaders.C!ml
ИД: 242874
Важность: Критический
Категория: Нежелательная программа
Путь: file:_C:\Users\Pheno\Desktop\uvs_latest\sxftyz
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0, NIS: 1.281.777.0
Версия модуля: AM: 1.1.15400.5, NIS: 1.1.15400.5

Date: 2018-11-25 16:55:46.701
Description: 
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Unwaders.C!ml&threatid=242874&enterprise=0
Имя: Program:Win32/Unwaders.C!ml
ИД: 242874
Важность: Критический
Категория: Нежелательная программа
Путь: file:_C:\Users\Pheno\Desktop\uvs_latest\uceozm
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0, NIS: 1.281.777.0
Версия модуля: AM: 1.1.15400.5, NIS: 1.1.15400.5

 

Встроенный антивирус Microsoft помечает файлы uVS как нежелательные. 

[demkd 561]

14 часов назад, PR55.RP55 сказал:

При применении автоскрипта это одно и тоже... Это один объект

да, есть такой глюк, если добавлять сперва то что с завершающим "/"

14 часов назад, PR55.RP55 сказал:

2) Вероятно не корректно определяет время.

Это возможно в XP x64 много чего не так работает как надо, посмотрю что можно сделать.

13 часов назад, mike 1 сказал:

Встроенный антивирус Microsoft помечает файлы uVS как нежелательные. 

Defender не первый и не последний.

[PR55.RP55 78]

Ошибка при выполнении.

sreg > areg

Тема\образ:  Здесь.

 

[santy 149]

demkd,

видимо в момент запуска автоскрипта, необходимо еще раз уточнить кол-во объектов, которые попали под детект сигнатур. Если это количество равно нулю, тогда не добавлять автоматически команды chklst & delvir.

такое бывает. если есть первоначальный сигнатурный детект объекта, но объект удаляется через del или delall, до запуска автоскрипта.

[demkd 561]

В 27.11.2018 at 11:59 AM, santy сказал:

видимо в момент запуска автоскрипта, необходимо еще раз уточнить кол-во объектов, которые попали под детект сигнатур.

посмотрю

В 27.11.2018 at 1:59 AM, PR55.RP55 сказал:

Ошибка при выполнении.

Такое бывает, например самозащита некоторых антивирусов блокирует нормальную работу с реестром.

[demkd 561]

---------------------------------------------------------
 4.1.2
---------------------------------------------------------
 o Скриптова команда OFFSGNSAVE теперь дополнительно отключает записи из пользовательской базы сигнатур на время работы скрипта.

 o Исправлена ошибка в фильтре добавления строк в скрипт.

 o Исправлена функция сбора информации о компьютере под Windows 10 (Alt+I).

 o Добавлена поддержка WMI классов на базе __TimerInstruction.

 o При использовании автоскрипта команды chklst и delvir автоматически добавляются только в случае если в скрипт добавилась хотя бы 1 сигнатура.

 

[PR55.RP55 78]

Demkd

Всё таки uVS не корректно работает с браузерами\расширениями в случае:

Если система установлена на диск С:

А браузер  (   Firefox  )   например на диск G:

Получается, что часть файлов браузера находиться на одном диске, а часть на другом.

+

Не корректно обрабатываются расширения которые были удалены например в ручную.

uVS в Инфо. пишет:  файл не найден... 

хочешь удалить ссылки на отсутствующий объект, а в результате....

( также для случая с двумя дисками )

 

[PR55.RP55 78]

Да и с портативными версиями программы дело швах...

Скачал портативную версию Opera запустил с рабочего стола - посмотрел, переместил, чтобы глаза не мозолила.

Посмотрел в uVS...

Полное имя                  C:\*\*\DESKTOP\OPERA\57.0.3098.76\OPERA.EXE
Имя файла                   OPERA.EXE
Статус                      АКТИВНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     64-х битный
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
pid = 3124                  Windows7\*
CmdLine                     "C:\Program Files\Opera portable 57.0.3098.76\opera.exe" --flag-switches-begin --flag-switches-end --use-turbo2 --enable-quic --lowered-browser
Процесс создан              18:39:07 [2018.12.04]
С момента создания          00:36:13
CPU                         2,81%
CPU (1 core)                5,61%

-----

Ну вот, как это ?

 

 

[PR55.RP55 78]

uVS  не видит  расширения FlashPlayer для Opera ( по крайней мере на 64b системах )

Win 7;  Win 10  ( а может и не только FlashPlayer не видит )

http://www.comss.ru/page.php?id=586