Перейти к содержанию

Recommended Posts

PR55.RP55

Demkd

1) На всякий случай образ. ( имя файла )

https://yadi.sk/d/0gaYwP_McImVFg

-----------------------

C:\USERS\ALECHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDPGAGMLPGILIBFADPIFDMPFOPKNKANF\3.73_0\АВТО-КЭШБЭК + ДЕТЕКТОР СКИДОК — \

--------------------

Полное имя                  C:\USERS\ALECHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDPGAGMLPGILIBFADPIFDMPFOPKNKANF\3.73_0\АВТО-КЭШБЭК + ДЕТЕКТОР СКИДОК — \
Имя файла                   
Тек. статус                 Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      Chrome/Yandex
                            
Extension_ID                gdpgagmlpgilibfadpifdmpfopknkanf
Extension_name              Авто-Кэшбэк + Детектор скидок — \
Extension_state             1
Extension_version           3.73
Extension_installDate       2019-09-23 18:48
Extension_description       Кэшбэк за покупки в магазинах будет зачисляться автоматически, а история цен за 30 дней покажет подлинность скидок и акций.
Extension_homepageURL       https://clients2.google.com/service/update2/crx

2) В uVS\образе так и нет данных по % нагрузке CPU; GPU

3) Так и нет данных по Push- уведомлениям браузеров. Хотя бы в виде инфо: Подписка: Активна\Неактивна.                   

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Мне недавно встретилась тема на TechNet: Нет пинга по dns имени, но есть по ip.

Хотел бы связи с этим спросить, можно ли добавить функционал в uVS отслеживание пути:
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig]


И уведомлять при появление суб-ключей, например в случае использование политики OpenVPN:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig\OpenVPNDNSRouting-0] 


при условии если в качестве параметра GenericDNSServers какие-то значение (имя DNS сервера или его IP)?

P.S. Думаю в некоторых случаях это может ускорить поиск проблем связанных поиском проблем с резовингом, что скажете?
 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 24.09.2019 at 10:34 PM, PR55.RP55 сказал:

В uVS\образе так и нет данных по % нагрузке CPU; GPU

Это появится лишь тогда, когда соберусь менять формат образа.

В 24.09.2019 at 10:34 PM, PR55.RP55 сказал:

3) Так и нет данных по Push- уведомлениям браузеров. Хотя бы в виде инфо: Подписка: Активна\Неактивна.    

Не уверен что это вообще будет.

В 25.09.2019 at 12:01 AM, SQx сказал:

P.S. Думаю в некоторых случаях это может ускорить поиск проблем связанных поиском проблем с резовингом, что скажете?

Да, интересный случай, действительно dns клиент перестает нормально работать, пожалуй стоит добавить... как оказалось так блокировать можно и отдельные сайты и целые домены одной записью в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.7
---------------------------------------------------------
 o Функция разбора командной строки теперь распознает неявно заданный путь.
   Пример: cmd.exe /C start /D "C:\xxx\1" /B x1.cmd   
   x1.cmd будет преобразовано в C:\xxx\1\x1.cmd и файл будет выделен в отдельный объект, если такой файл физически существует,
   в противном случае в списке создается объект под именем x1.cmd без указания пути.

 o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения имен произвольных сайтов/доменов dns-клиентом.
   В случае ее обнаружения в лог выводится предупреждение.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

в Windows 10 build 18965 (20H1)

" Автоматически сохранять мои перезапускаемые приложения при выходе из системы и перезапускать их после входа. "

https://www.comss.ru/page.php?id=6369

Может были добавлены новые параметры в реестр и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
18 часов назад, demkd сказал:

---------------------------------------------------------
 4.1.7
---------------------------------------------------------
 o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения произвольных имен сайтов/доменов dns-клиентом.
   В случае ее обнаружения в лог выводится предупреждение.

 

Приветствую.

Оперативно однако, спасибо вам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
12 часов назад, PR55.RP55 сказал:

Может были добавлены новые параметры в реестр и т.д.

да, надо будет посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.7 ДРОВА\START.EXE
Имя файла                   START.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\DESKTOP\Дрова.lnk
--------------------------
В ярлыке на рабочем столе прописан путь:
"C:\Users\User\Desktop\Архив\uVS 4.1.7 Дрова"

-------------------------

uVS v4.1.7 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

При очистке uVS все подобные ярлыки сносит.

Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети )

У людей на  рабочем столе переименованные ярлыки от игр и т.д. И потом восстанавливать по 50 ярлыков мало хорошего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 минут назад, PR55.RP55 сказал:

При очистке uVS все подобные ярлыки сносит.

посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
9 минут назад, demkd сказал:

посмотрю 

Я там путь ярлыка сразу не верно указал

там: "C:\Users\User\Desktop\Архив\uVS 4.1.7 Дрова"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, PR55.RP55 сказал:

Я там путь ярлыка сразу не верно указал

а в чем различие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Только что, demkd сказал:

а в чем различие? 

Да, там всё тоже самое.

Это я сам запутался.  :facepalm:

Сейчас всё верно указал.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.8
---------------------------------------------------------
 o Исправлена ошибка при работе с реестром из-за которой функции восстановления и виртуализации реестра отказывались заменять ветку SOFTWARE.

 o В меню запуск добавлен новый элемент:
   1) Dism /Online /Cleanup-Image /StartComponentCleanup
      Скриптовая команда ComponentCleanup.
      Запуск оптимизации хранилища компонентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
20 часов назад, demkd сказал:

---------------------------------------------------------
 4.1.8
---------------------------------------------------------

uVS 4.1.8
Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети )

----------------
Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
Имя файла                   START.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\DESKTOP\start.exe - Ярлык.lnk
                            
------------------
Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
------------------
В самом ярлыке:
Объект: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова\start.exe"
Рабочая папка: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова"

-----------------------------------

При обычном запуске ( Запустить под текущим пользователем )  - этой записи нет.

И соответственно ярлык не удаляется.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, PR55.RP55 сказал:

Наблюдается при запуске

это я еще не смотрел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

приветсвтвую,

У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае:

delwmi WMI:\\.\ROOT\SUBSCRIPTION\

у следующего объекта нет имени:


instance of __FilterToConsumerBinding
{
	Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
	Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

В логе FRST, он виден как:

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION

Спасибо за ранее.

P.S. приложил лог.

ИВААААААН-ПК_2019-10-17_09-55-24_v4.1.8.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 часов назад, SQx сказал:

У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае:

Такой объект один в списке, так что проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
8 часов назад, demkd сказал:

Такой объект один в списке, так что проблем не будет.

Однако это не решение вопроса.

------------

Можно удалять объект ориентируясь не на имя, а на поисковый критерий.

Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

 

14 часов назад, demkd сказал:

Такой объект один в списке, так что проблем не будет.

Спасибо за информацию, но чтобы на верняка не испортить ОС пользователя, удалил спомощью FRST.
В следующий раз попробую через uVS.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
6 часов назад, PR55.RP55 сказал:

Можно удалять объект ориентируясь не на имя, а на поисковый критерий.

Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.

Ранее с критериями не дружил, попробую в следующий раз, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

SQx

То, что я выше написал сделать можно -  если есть доступ к PC.

Однако не при работе со скриптом.

Я  для Demkd  написал.

В скрипт добавлять команды типа:

adds criterion delref   fuckyoumm2_filter

Checks the list by criterion

т.е. добавлен критерий ( с выбором типа команды ) >  проверяется список > найденный по критерию объект удаляется.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  C:\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SQB.ZIP
Имя файла                   1SQB.ZIP
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      79016 байт
Создан                      01.11.2019 в 12:05:24
Изменен                     01.11.2019 в 12:05:24
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        54A657780B2A5ABA927B8E9EB56239902B128F3A
MD5                         9DDC292BD6840CD5F49969EEAE026823
                            
Ссылки на объект            
Ссылка                      C:\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
-------------------------

https://forum.esetnod32.ru/messages/forum35/topic15282/message107528/#message107528

SRV_2019-11-01_12-14-59_v4.1.8.7z

------------------------

Как мы видим у объекта нет статуса: Подозрительный.

Предлагаю все расширения: zip; 7zip; rar  и т.д.  в случае, если файл в автозапуске считать подозрительными.

       

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Получен ограниченный доступ к защищенному процессу: audiodg.exe [1948]

Нужно автоматическое исключение.

т.е. Оператор ещё до запуска uVS может задать список исключений.

Задать области в которые uVS не будет вмешиваться:  файлы антивирусов, некоторые драйверы.

В противном случае работа программы как минимум замедляется. ( порой в разы )

Если оператору будет нужно - он уже отдельно проверит эти файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема образ.

http://www.tehnari.ru/f35/t266702/

У меня такое впечатление, что может быть ошибка при разборе путей\команд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS  видит не все файлы...

Пример в системе: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Два файла: slui.exe

Один файл в : C:\Windows\winsxs\amd64_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7601.17514_none_****

Второй в: C:\WINDOWS\SYSTEM32\SLUI.EXE

Оба файла одинаковые, оба файла запускались.

Но uVS видит только один файл из двух  в: SYSTEM32

---------------

В конце концов после моих манипуляций с пятого запуска uVS файл увидел...

* второй файл я увидел с помощью UltraSearch

Одно дело не получить доступ к файлу, другое дело его вообще не увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • AprilNox
      Has anybody used CBD before? I am very keen to get some CBD Honey Sticks for coughing. Can someone recommend a good brand? I'm presently contemplating JustCBD and Goldleaf Spektrum. Many thanks
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
×