Перейти к содержанию

Recommended Posts

PR55.RP55

Demkd

1) На всякий случай образ. ( имя файла )

https://yadi.sk/d/0gaYwP_McImVFg

-----------------------

C:\USERS\ALECHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDPGAGMLPGILIBFADPIFDMPFOPKNKANF\3.73_0\АВТО-КЭШБЭК + ДЕТЕКТОР СКИДОК — \

--------------------

Полное имя                  C:\USERS\ALECHA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDPGAGMLPGILIBFADPIFDMPFOPKNKANF\3.73_0\АВТО-КЭШБЭК + ДЕТЕКТОР СКИДОК — \
Имя файла                   
Тек. статус                 Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      Chrome/Yandex
                            
Extension_ID                gdpgagmlpgilibfadpifdmpfopknkanf
Extension_name              Авто-Кэшбэк + Детектор скидок — \
Extension_state             1
Extension_version           3.73
Extension_installDate       2019-09-23 18:48
Extension_description       Кэшбэк за покупки в магазинах будет зачисляться автоматически, а история цен за 30 дней покажет подлинность скидок и акций.
Extension_homepageURL       https://clients2.google.com/service/update2/crx

2) В uVS\образе так и нет данных по % нагрузке CPU; GPU

3) Так и нет данных по Push- уведомлениям браузеров. Хотя бы в виде инфо: Подписка: Активна\Неактивна.                   

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Приветствую,

Мне недавно встретилась тема на TechNet: Нет пинга по dns имени, но есть по ip.

Хотел бы связи с этим спросить, можно ли добавить функционал в uVS отслеживание пути:
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig]


И уведомлять при появление суб-ключей, например в случае использование политики OpenVPN:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig\OpenVPNDNSRouting-0] 


при условии если в качестве параметра GenericDNSServers какие-то значение (имя DNS сервера или его IP)?

P.S. Думаю в некоторых случаях это может ускорить поиск проблем связанных поиском проблем с резовингом, что скажете?
 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 24.09.2019 at 10:34 PM, PR55.RP55 сказал:

В uVS\образе так и нет данных по % нагрузке CPU; GPU

Это появится лишь тогда, когда соберусь менять формат образа.

В 24.09.2019 at 10:34 PM, PR55.RP55 сказал:

3) Так и нет данных по Push- уведомлениям браузеров. Хотя бы в виде инфо: Подписка: Активна\Неактивна.    

Не уверен что это вообще будет.

В 25.09.2019 at 12:01 AM, SQx сказал:

P.S. Думаю в некоторых случаях это может ускорить поиск проблем связанных поиском проблем с резовингом, что скажете?

Да, интересный случай, действительно dns клиент перестает нормально работать, пожалуй стоит добавить... как оказалось так блокировать можно и отдельные сайты и целые домены одной записью в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.7
---------------------------------------------------------
 o Функция разбора командной строки теперь распознает неявно заданный путь.
   Пример: cmd.exe /C start /D "C:\xxx\1" /B x1.cmd   
   x1.cmd будет преобразовано в C:\xxx\1\x1.cmd и файл будет выделен в отдельный объект, если такой файл физически существует,
   в противном случае в списке создается объект под именем x1.cmd без указания пути.

 o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения имен произвольных сайтов/доменов dns-клиентом.
   В случае ее обнаружения в лог выводится предупреждение.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

в Windows 10 build 18965 (20H1)

" Автоматически сохранять мои перезапускаемые приложения при выходе из системы и перезапускать их после входа. "

https://www.comss.ru/page.php?id=6369

Может были добавлены новые параметры в реестр и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
18 часов назад, demkd сказал:

---------------------------------------------------------
 4.1.7
---------------------------------------------------------
 o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения произвольных имен сайтов/доменов dns-клиентом.
   В случае ее обнаружения в лог выводится предупреждение.

 

Приветствую.

Оперативно однако, спасибо вам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
12 часов назад, PR55.RP55 сказал:

Может были добавлены новые параметры в реестр и т.д.

да, надо будет посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.7 ДРОВА\START.EXE
Имя файла                   START.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\DESKTOP\Дрова.lnk
--------------------------
В ярлыке на рабочем столе прописан путь:
"C:\Users\User\Desktop\Архив\uVS 4.1.7 Дрова"

-------------------------

uVS v4.1.7 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

При очистке uVS все подобные ярлыки сносит.

Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети )

У людей на  рабочем столе переименованные ярлыки от игр и т.д. И потом восстанавливать по 50 ярлыков мало хорошего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 минут назад, PR55.RP55 сказал:

При очистке uVS все подобные ярлыки сносит.

посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
9 минут назад, demkd сказал:

посмотрю 

Я там путь ярлыка сразу не верно указал

там: "C:\Users\User\Desktop\Архив\uVS 4.1.7 Дрова"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, PR55.RP55 сказал:

Я там путь ярлыка сразу не верно указал

а в чем различие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Только что, demkd сказал:

а в чем различие? 

Да, там всё тоже самое.

Это я сам запутался.  :facepalm:

Сейчас всё верно указал.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.8
---------------------------------------------------------
 o Исправлена ошибка при работе с реестром из-за которой функции восстановления и виртуализации реестра отказывались заменять ветку SOFTWARE.

 o В меню запуск добавлен новый элемент:
   1) Dism /Online /Cleanup-Image /StartComponentCleanup
      Скриптовая команда ComponentCleanup.
      Запуск оптимизации хранилища компонентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
20 часов назад, demkd сказал:

---------------------------------------------------------
 4.1.8
---------------------------------------------------------

uVS 4.1.8
Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети )

----------------
Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
Имя файла                   START.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\DESKTOP\start.exe - Ярлык.lnk
                            
------------------
Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
------------------
В самом ярлыке:
Объект: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова\start.exe"
Рабочая папка: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова"

-----------------------------------

При обычном запуске ( Запустить под текущим пользователем )  - этой записи нет.

И соответственно ярлык не удаляется.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, PR55.RP55 сказал:

Наблюдается при запуске

это я еще не смотрел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

приветсвтвую,

У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае:

delwmi WMI:\\.\ROOT\SUBSCRIPTION\

у следующего объекта нет имени:


instance of __FilterToConsumerBinding
{
	Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
	Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

В логе FRST, он виден как:

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION

Спасибо за ранее.

P.S. приложил лог.

ИВААААААН-ПК_2019-10-17_09-55-24_v4.1.8.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 часов назад, SQx сказал:

У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае:

Такой объект один в списке, так что проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
8 часов назад, demkd сказал:

Такой объект один в списке, так что проблем не будет.

Однако это не решение вопроса.

------------

Можно удалять объект ориентируясь не на имя, а на поисковый критерий.

Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

 

14 часов назад, demkd сказал:

Такой объект один в списке, так что проблем не будет.

Спасибо за информацию, но чтобы на верняка не испортить ОС пользователя, удалил спомощью FRST.
В следующий раз попробую через uVS.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx
6 часов назад, PR55.RP55 сказал:

Можно удалять объект ориентируясь не на имя, а на поисковый критерий.

Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.

Ранее с критериями не дружил, попробую в следующий раз, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

SQx

То, что я выше написал сделать можно -  если есть доступ к PC.

Однако не при работе со скриптом.

Я  для Demkd  написал.

В скрипт добавлять команды типа:

adds criterion delref   fuckyoumm2_filter

Checks the list by criterion

т.е. добавлен критерий ( с выбором типа команды ) >  проверяется список > найденный по критерию объект удаляется.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  C:\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SQB.ZIP
Имя файла                   1SQB.ZIP
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      79016 байт
Создан                      01.11.2019 в 12:05:24
Изменен                     01.11.2019 в 12:05:24
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        54A657780B2A5ABA927B8E9EB56239902B128F3A
MD5                         9DDC292BD6840CD5F49969EEAE026823
                            
Ссылки на объект            
Ссылка                      C:\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
-------------------------

https://forum.esetnod32.ru/messages/forum35/topic15282/message107528/#message107528

SRV_2019-11-01_12-14-59_v4.1.8.7z

------------------------

Как мы видим у объекта нет статуса: Подозрительный.

Предлагаю все расширения: zip; 7zip; rar  и т.д.  в случае, если файл в автозапуске считать подозрительными.

       

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Получен ограниченный доступ к защищенному процессу: audiodg.exe [1948]

Нужно автоматическое исключение.

т.е. Оператор ещё до запуска uVS может задать список исключений.

Задать области в которые uVS не будет вмешиваться:  файлы антивирусов, некоторые драйверы.

В противном случае работа программы как минимум замедляется. ( порой в разы )

Если оператору будет нужно - он уже отдельно проверит эти файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема образ.

http://www.tehnari.ru/f35/t266702/

У меня такое впечатление, что может быть ошибка при разборе путей\команд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS  видит не все файлы...

Пример в системе: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Два файла: slui.exe

Один файл в : C:\Windows\winsxs\amd64_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7601.17514_none_****

Второй в: C:\WINDOWS\SYSTEM32\SLUI.EXE

Оба файла одинаковые, оба файла запускались.

Но uVS видит только один файл из двух  в: SYSTEM32

---------------

В конце концов после моих манипуляций с пятого запуска uVS файл увидел...

* второй файл я увидел с помощью UltraSearch

Одно дело не получить доступ к файлу, другое дело его вообще не увидеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×