Перейти к содержанию

Recommended Posts

santy
11 часов назад, PR55.RP55 сказал:

Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл"

Так почему бы не сделать доступным полный перечень команд ?

DELREF ; DELALL ; ZOO;  и т.д.

 

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
54 минут назад, santy сказал:

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Дело то не в этом.

Дело в наличие команды:  " Удалить только сам файл" в меню Инфо.

значит отдавать команды через меню Инфо. можно.

( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. )

Вернёмся к теме:

" alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его.

И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
5 часов назад, PR55.RP55 сказал:

Дело то не в этом.

Дело в наличие команды:  " Удалить только сам файл" в меню Инфо.

значит отдавать команды через меню Инфо. можно.

можно, но только через контекстное меню. 

а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click,

так что не факт что это будет проще и быстрее.

вообщем рационализация спорная, имхо.

можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
7 часов назад, santy сказал:

это объекты, как правило, не основные, а те, что идут в контексте с основными. Основные же в таких случаях, как правило, чистые, и часто системные файлы. cmd, rundll*, и т.д.

Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен.

20 минут назад, santy сказал:

можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.

А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть.

Так что наверно оптимальный вариант был бы:

1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна).

2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
30 минут назад, alamor сказал:

Так что ваш вывод похоже ошибочен.

согласен,

не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт.

30 минут назад, alamor сказал:

Так что наверно оптимальный вариант был бы:

1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна).

2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.

тогда придется все контекстное меню переносить.

например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
7 часов назад, santy сказал:

тогда придется все контекстное меню переносить.

например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.

Зачем эти крайности - хватит и половины команд.

Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает.

В плане удобства оптимален ? переход от Инфо. к Инфо. 

т.е. Есть список файлов.

Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо *

* ( с учётом фильтра )

по ходу дела принимая решение считать ли файл проверенным, или удалить.

Без всех этих метаний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

В ряде случаев после выхода из uVS процесс продолжает...

Выключаешь Windows XP  и система начинает завершать какой нибудь:  ydranr

Возможно ошибка возникает когда запускается несколько: start.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема:

https://forum.esetnod32.ru/forum6/topic15041/
 

C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'

C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'

Как uVS  будет работать с этими объектами ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 

https://www.comss.ru/page.php?id=586

При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox )

https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/

В 26.10.2018 at 11:28 AM, PR55.RP55 сказал:

Demkd

В ряде случаев после выхода из uVS процесс продолжает...

Выключаешь Windows XP  и система начинает завершать какой нибудь:  ydranr

Это происходит при пополнении базы SHA1

" Добавить хэши исполняемых файлов каталога в базу проверенных..."

Но, не всегда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида:

WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION

возможно ли добавить в новых версиях?

Предположительно эти записи находятся в следующем файле:

C:\Windows\system32\wbem\repository\INDEX.BTR

P.S. C этим встретился в одной из тем по лечению.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 14.11.2018 at 11:54 PM, PR55.RP55 сказал:

При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox )

пора слазить с XP, конкретно этот файл имеет подпись на базе SHA256
 

В 14.11.2018 at 11:54 PM, PR55.RP55 сказал:

Это происходит при пополнении базы SHA1

это возможно, но причина не в SHA1, в чем хз и вряд ли получится найти.

18 часов назад, SQx сказал:

возможно ли добавить в новых версиях?

хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
3 минуты назад, demkd сказал:

хорошо бы увидеть образ из этой темы, скачать я его не могу, на этом форуме своя атмосфера :D

Отправил вам ссылку в лс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
23 минут назад, SQx сказал:

Отправил вам ссылку в лс.

посмотрю

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Мне кажется ЭТО тоже стоит посмотреть.

C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER

V.T.:  MicrosoftTrojan:Win32/Zpevdo.A

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) uVS имеет проблемы со зрением.

Для uVS

Цитата

 

При применении автоскрипта это одно и тоже... Это один объект. :mellow:

И в скрипт будет выведена одна команда.

 

Цитата

 

2) Вероятно не корректно определяет время.

Для установленных программ указан: 1662 год.

и в тоже время...

2018.11.25 16:10 (UTC)

Тема\образ:  Здесь.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Цитата

Windows Defender:
===================================
Date: 2018-11-25 18:31:07.400
Description: 
Антивирусная программа "Защитник Windows" выявил подозрительное поведение.
Имя: Behavior:Win32/DroppedKnownMalware
ИД: 2249043961
Важность: Низкий
Категория: Подозрительное поведение
Найденный путь: file:_C:\Users\Pheno\Desktop\uvs_latest\start.exe; process:_3200
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: Подозрительный
Источник обнаружения: Защита в реальном времени:
Состояние: Выполнение
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
ИД сигнатуры: 41453017067075
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0
Версия модуля: 1.1.15400.5
Метка точности:  Низкий
Имя целевого файла:  C:\Users\Pheno\Desktop\uvs_latest\sxftyz

Date: 2018-11-25 18:31:06.088
Description: 
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Unwaders.C!ml&threatid=242874&enterprise=0
Имя: Program:Win32/Unwaders.C!ml
ИД: 242874
Важность: Критический
Категория: Нежелательная программа
Путь: file:_C:\Users\Pheno\Desktop\uvs_latest\sxftyz
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0, NIS: 1.281.777.0
Версия модуля: AM: 1.1.15400.5, NIS: 1.1.15400.5

Date: 2018-11-25 16:55:46.701
Description: 
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
https://go.microsoft.com/fwlink/?linkid=37020&name=Program:Win32/Unwaders.C!ml&threatid=242874&enterprise=0
Имя: Program:Win32/Unwaders.C!ml
ИД: 242874
Важность: Критический
Категория: Нежелательная программа
Путь: file:_C:\Users\Pheno\Desktop\uvs_latest\uceozm
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-GFV53SR\Pheno
Имя процесса: C:\Users\Pheno\Desktop\uvs_latest\start.exe
Версия сигнатуры: AV: 1.281.777.0, AS: 1.281.777.0, NIS: 1.281.777.0
Версия модуля: AM: 1.1.15400.5, NIS: 1.1.15400.5

 

Встроенный антивирус Microsoft помечает файлы uVS как нежелательные. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
14 часов назад, PR55.RP55 сказал:

При применении автоскрипта это одно и тоже... Это один объект

да, есть такой глюк, если добавлять сперва то что с завершающим "/"

14 часов назад, PR55.RP55 сказал:

2) Вероятно не корректно определяет время.

Это возможно в XP x64 много чего не так работает как надо, посмотрю что можно сделать.

13 часов назад, mike 1 сказал:

Встроенный антивирус Microsoft помечает файлы uVS как нежелательные. 

Defender не первый и не последний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Ошибка при выполнении.

sreg > areg

Тема\образ:  Здесь.

 

show_file.php?fid=108636&width=500&heigh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

видимо в момент запуска автоскрипта, необходимо еще раз уточнить кол-во объектов, которые попали под детект сигнатур. Если это количество равно нулю, тогда не добавлять автоматически команды chklst & delvir.

такое бывает. если есть первоначальный сигнатурный детект объекта, но объект удаляется через del или delall, до запуска автоскрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 27.11.2018 at 11:59 AM, santy сказал:

видимо в момент запуска автоскрипта, необходимо еще раз уточнить кол-во объектов, которые попали под детект сигнатур.

посмотрю

В 27.11.2018 at 1:59 AM, PR55.RP55 сказал:

Ошибка при выполнении.

Такое бывает, например самозащита некоторых антивирусов блокирует нормальную работу с реестром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.2
---------------------------------------------------------
 o Скриптова команда OFFSGNSAVE теперь дополнительно отключает записи из пользовательской базы сигнатур на время работы скрипта.

 o Исправлена ошибка в фильтре добавления строк в скрипт.

 o Исправлена функция сбора информации о компьютере под Windows 10 (Alt+I).

 o Добавлена поддержка WMI классов на базе __TimerInstruction.

 o При использовании автоскрипта команды chklst и delvir автоматически добавляются только в случае если в скрипт добавилась хотя бы 1 сигнатура.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Всё таки uVS не корректно работает с браузерами\расширениями в случае:

Если система установлена на диск С:

А браузер  (   Firefox  )   например на диск G:

Получается, что часть файлов браузера находиться на одном диске, а часть на другом.

+

Не корректно обрабатываются расширения которые были удалены например в ручную.

uVS в Инфо. пишет:  файл не найден... 

хочешь удалить ссылки на отсутствующий объект, а в результате....

( также для случая с двумя дисками )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Да и с портативными версиями программы дело швах...

Скачал портативную версию Opera запустил с рабочего стола - посмотрел, переместил, чтобы глаза не мозолила.

Посмотрел в uVS...


Полное имя                  C:\*\*\DESKTOP\OPERA\57.0.3098.76\OPERA.EXE
Имя файла                   OPERA.EXE
Статус                      АКТИВНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     64-х битный
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
pid = 3124                  Windows7\*
CmdLine                     "C:\Program Files\Opera portable 57.0.3098.76\opera.exe" --flag-switches-begin --flag-switches-end --use-turbo2 --enable-quic --lowered-browser
Процесс создан              18:39:07 [2018.12.04]
С момента создания          00:36:13
CPU                         2,81%
CPU (1 core)                5,61%

-----

Ну вот, как это ?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS  не видит  расширения FlashPlayer для Opera ( по крайней мере на 64b системах )

Win 7;  Win 10  ( а может и не только FlashPlayer не видит )

http://www.comss.ru/page.php?id=586

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.555.
    • stas.panov
      Объяснение очень доходчивое  и по делу. Большое спасибо за информацию и ссылки. 
    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
×