Перейти к содержанию

Recommended Posts

PR55.RP55

Тема:  https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006

Как видно применён твик: № 18

В итоге по логу FRST видим:

HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0

т.е. мало того, что от uVS   на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых  НЕ было изначально. т.е. мусор.

uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи.

Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме.

Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы.

Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д.

Какова роль uVS  ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 17.11.2020 at 8:06 PM, PR55.RP55 сказал:

Как видно применён твик: № 18

Именно так он и работает, суть вопроса то в чем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v4.11.3
o Исправлены функции массовой проверки файлов на VT.
o Исправлена функция анализа внедренных потоков.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

  

v4.11.3
o Исправлены функции массовой проверки файлов на VT.
o Исправлена функция анализа внедренных потоков. 

Мы зря ищем возможные ошибки, зря пишем предложения ?

https://forum.esetnod32.ru/forum8/topic15904/

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
9 часов назад, PR55.RP55 сказал:

Мы зря ищем возможные ошибки, зря пишем предложения ?

на предложения нужно время, пока его нет, а ошибки постепенно исправляются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в...

Это не работает, если не заданы: Группы или пользователи.

т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты...

2) При проверке ЭЦП по F6 ...

Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети...

uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет.

т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов.

3)  Проверка занимает излишне много времени в ситуации:

Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ]

uVS натыкается на такой файл и думает... думает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE

C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE

Хэш файла не найден

http://www.tehnari.ru/f35/t270519/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
19 минут назад, PR55.RP55 сказал:

Хэш файла не найден

потому что файлы защищены:

(!) Невозможно открыть процесс: dllhost.exe [6856]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428
Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
19 часов назад, demkd сказал:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428

похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов.

по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков.

C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед  созданием образа автозапуска? по кройней мере в том случае, если они обнаружены

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов.

причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://www.comss.ru/page.php?id=8544

Будет заплатка, или нет но многие обновления не устанавливают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
В 26.01.2021 at 6:16 PM, demkd сказал:

причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.

Тем не менее, UVS справился и без виртуализации, и AVZ этот майнер без проблем прибивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, Vvvyg сказал:

Тем не менее, UVS справился и без виртуализации, и AVZ этот майнер без проблем прибивает. 

значит файл защитили, а процесс нет, бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Актуальная версия uVS   игнорирует: vtcache

Соответствующие файлы создаются - но программа всякий раз обращается к V.T 

Если сети нет - выдаёт ошибку ( хотя результат предыдущей проверки этих файлов в vtcache  сохранён )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

Актуальная версия uVS   игнорирует: vtcache

какое значение у параметра  vtCacheDays в settings.ini файле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

; Время действия VT кэша в днях для хэша файла/объекта. (15 по умолчанию)
vtCacheDays= 3

Если  прописать 4 тоже самое - и 15 также

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сравнил.

На версии:  4.11  всё работает.

На версии:  4.11.3  не работает. 

Если сеть есть - игнорирует vtcache  ( очистка vtcache не помогает )

Изменение в vtCacheDays=   не влияет.

проверял на  Windows 7 &10 х 64.

В случае если отключить сетевое оборудование вместо проверки по vtcache выдаёт: Error:  [Ошибка номер 12007]

сам файл: settings.ini  - идентичен.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 часов назад, PR55.RP55 сказал:

На версии:  4.11  всё работает.

На версии:  4.11.3  не работает. 

Проверю, исправлю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

И ещё момент.

В  папке с vtcache скапливается по несколько тысяч файлов...

т.е. файлы старше 3 или ( ∞ ) дней не удаляются.

Я так понимаю программа проверяет\заменяет только тот файл который проверяется сейчас.

А другие файлы могут годами сохраняться. ( сейчас посмотрел есть файлы от 2018 года )

Цитата

1Дата: 2018-09-09 [n/a]
2www.virustotal.com    2018-09-09
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2018-09-09]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

На V.T.   видимо опять что-то изменили.

VTOK [] 1613

VTOK [] 1572

VTOK [] 1585

----------

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 26.02.2021 at 12:51 AM, PR55.RP55 сказал:

На V.T.   видимо опять что-то изменили.

не наблюдаю такого

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
5 минут назад, demkd сказал:

не наблюдаю такого

есть такое.

Snap1.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, santy сказал:

есть такое.

какая функция проверки конкретно? их там много

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
12 минут назад, demkd сказал:

какая функция проверки конкретно? их там много

проверка по хэшу отдельного файла (из образа автозапуска)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Vadisha_juirm
      Нам нужны адекватные и ответственные парни и девушки для выполнения не сложной, но хорошо оплачиваемой работы. Опыт и образование не требуется.
      Заинтересованы в хорошем заработке? Прошу в телеграм @karabeitm
    • Manuelusema
      Есть нелегальная, но очень доходная работа.
      Если интересно, пишите в telegram @karabeitm
    • MashikTibly
      Нужна работа? Высокий доход! Пиши сюда https://vk.cc/c8cIoF или в телеграм @karabeitm
    • DavdidDuh
      Довольно привлекательные девахи на видео - Порно - большие попки
    • PR55.RP55
      Newbie Перенести тему невозможно ( точнее говоря в этом нет смысла - все темы кроме ESET и uVS - закрыты ) Несколько лет назад создали алгоритм идентификации по набору текста. Каждый человек набирая текст имеет свой почерк ( это заметили ещё в первую мировую войну - когда человек работал на ключе - радиопередатчике ) Сейчас работают машинные алгоритмы. Думаю и с курсором та же история.  ( всё сводиться к накоплению статистических данных - чем больше их обьём тем надёжнее идентификация ) Во всех странах есть своё  законодательство. И считывание чужой информации - равносильно её краже... Если _специалисты этим и занимаются - то только в рамках борьбы с орг. преступностью. т.е. в рамках расследования инцидентов и слежки за подозреваемыми. + читаем лицензионное соглашение к программе. И ? Яндекс - зарабатывает на рекламе. Он может и должен интересоваться местоположением потенциального клиента. Чем он интересуется - какие рядом находятся места отдыха - аэропорты - магазины и т.д. и пользователю выдаётся контекстная реклама. Моторика человека индивидуальна ... Но речь не о 100% результате, а % совпадении\схожести. Но нужен образец для сравнения. Такая технология разрабатывалась. Приминяется ли она на практике - не интересовался. ----------- Вообще форум мёрт. Рекомендую найти другой форум.
×