PR55.RP55 79 Жалоба Опубликовано Ноябрь 17, 2020 Тема: https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006 Как видно применён твик: № 18 В итоге по логу FRST видим: HKLM\...\Policies\Explorer: [DisallowRun] 0 HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0 HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0 HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0 HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0 HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0 т.е. мало того, что от uVS на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых НЕ было изначально. т.е. мусор. uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи. Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме. Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы. Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д. Какова роль uVS ? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Ноябрь 25, 2020 В 17.11.2020 at 8:06 PM, PR55.RP55 сказал: Как видно применён твик: № 18 Именно так он и работает, суть вопроса то в чем? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Ноябрь 25, 2020 v4.11.3 o Исправлены функции массовой проверки файлов на VT. o Исправлена функция анализа внедренных потоков. 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Ноябрь 25, 2020 Цитата v4.11.3 o Исправлены функции массовой проверки файлов на VT. o Исправлена функция анализа внедренных потоков. Мы зря ищем возможные ошибки, зря пишем предложения ? https://forum.esetnod32.ru/forum8/topic15904/ Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Ноябрь 26, 2020 9 часов назад, PR55.RP55 сказал: Мы зря ищем возможные ошибки, зря пишем предложения ? на предложения нужно время, пока его нет, а ошибки постепенно исправляются. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Январь 18 1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст: прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог ) Не ждать, как сейчас 100 500 часов. 3) Проверка занимает излишне много времени в ситуации: Ошибка [Не удается построить цепочку сертификатов для доверенного корневого центра. ] Ошибка [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Январь 25 C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE Хэш файла не найден http://www.tehnari.ru/f35/t270519/ Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Январь 25 19 минут назад, PR55.RP55 сказал: Хэш файла не найден потому что файлы защищены: (!) Невозможно открыть процесс: dllhost.exe [6856] (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428 Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 151 Жалоба Опубликовано Январь 26 19 часов назад, demkd сказал: (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428 похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов. по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков. C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед созданием образа автозапуска? по кройней мере в том случае, если они обнаружены Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Январь 26 2 часа назад, santy сказал: похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов. причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Январь 29 https://www.comss.ru/page.php?id=8544 Будет заплатка, или нет но многие обновления не устанавливают. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Vvvyg 12 Жалоба Опубликовано Январь 30 В 26.01.2021 at 6:16 PM, demkd сказал: причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс. Тем не менее, UVS справился и без виртуализации, и AVZ этот майнер без проблем прибивает. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Январь 30 1 час назад, Vvvyg сказал: Тем не менее, UVS справился и без виртуализации, и AVZ этот майнер без проблем прибивает. значит файл защитили, а процесс нет, бывает. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Февраль 15 Актуальная версия uVS игнорирует: vtcache Соответствующие файлы создаются - но программа всякий раз обращается к V.T Если сети нет - выдаёт ошибку ( хотя результат предыдущей проверки этих файлов в vtcache сохранён ) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Февраль 15 1 час назад, PR55.RP55 сказал: Актуальная версия uVS игнорирует: vtcache какое значение у параметра vtCacheDays в settings.ini файле? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
emre 0 Жалоба Опубликовано Февраль 15 интересно.. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Февраль 15 Цитата ; Время действия VT кэша в днях для хэша файла/объекта. (15 по умолчанию) vtCacheDays= 3 Если прописать 4 тоже самое - и 15 также Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Февраль 15 Сравнил. На версии: 4.11 всё работает. На версии: 4.11.3 не работает. Если сеть есть - игнорирует vtcache ( очистка vtcache не помогает ) Изменение в vtCacheDays= не влияет. проверял на Windows 7 &10 х 64. В случае если отключить сетевое оборудование вместо проверки по vtcache выдаёт: Error: [Ошибка номер 12007] сам файл: settings.ini - идентичен. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Февраль 16 10 часов назад, PR55.RP55 сказал: На версии: 4.11 всё работает. На версии: 4.11.3 не работает. Проверю, исправлю. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Февраль 16 И ещё момент. В папке с vtcache скапливается по несколько тысяч файлов... т.е. файлы старше 3 или ( ∞ ) дней не удаляются. Я так понимаю программа проверяет\заменяет только тот файл который проверяется сейчас. А другие файлы могут годами сохраняться. ( сейчас посмотрел есть файлы от 2018 года ) Цитата 1Дата: 2018-09-09 [n/a] 2www.virustotal.com 2018-09-09 1Детектов: 0 из 68 2- Файл был чист на момент проверки. 1Файл был чист на момент проверки. 4VTOK [2018-09-09] Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
PR55.RP55 79 Жалоба Опубликовано Февраль 25 На V.T. видимо опять что-то изменили. VTOK [] 1613 VTOK [] 1572 VTOK [] 1585 ---------- Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Февраль 28 В 26.02.2021 at 12:51 AM, PR55.RP55 сказал: На V.T. видимо опять что-то изменили. не наблюдаю такого Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 151 Жалоба Опубликовано Февраль 28 5 минут назад, demkd сказал: не наблюдаю такого есть такое. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
demkd 567 Жалоба Опубликовано Февраль 28 7 минут назад, santy сказал: есть такое. какая функция проверки конкретно? их там много Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
santy 151 Жалоба Опубликовано Февраль 28 12 минут назад, demkd сказал: какая функция проверки конкретно? их там много проверка по хэшу отдельного файла (из образа автозапуска) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты