Перейти к содержанию

Recommended Posts

demkd

---------------------------------------------------------
 4.11.9
---------------------------------------------------------
 o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
   Только для Windows 8.1/Windows Server 2012 R2 и старше.

 o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.

 o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.10
---------------------------------------------------------
 o Улучшена функция определения внедренного кода.
   Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.

 o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.

 

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.11
---------------------------------------------------------
 o Добавлена поддержка Windows 11.

Майкрософт поленился сменить версию потому Windows 10 x64 2009 build 22000 = Windows 11.
Добавлена база известных файлов (km110.x64), пополнена база проверенных, startf я не переписывал и скорее всего не буду, он корректно работает и с базой от 10-ки.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
20 часов назад, demkd сказал:

4.11.11
---------------------------------------------------------
 o Добавлена поддержка Windows 11.

удачный выбор версии uVS с поддержкой Windows 11 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.12
---------------------------------------------------------
 o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)

 o Добавлено автоматическое определение NTFS линков.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  Z:\WINDOWS\PROCEXP64.EXE
Имя файла                   PROCEXP64.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Процесс                     64-х битный
File_Id                     611B18E1197000
Linker                      14.29
Размер                      1509768 байт
Создан                      23.10.2021 в 19:53:18
Изменен                     18.08.2021 в 17:30:20
                            
TimeStamp                   17.08.2021 в 02:03:13
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Corporation
                            
Оригинальное имя            Procexp.exe
Версия файла                16.43
Описание                    Sysinternals Process Explorer
Производитель               Sysinternals - www.sysinternals.com
                            
Доп. информация             на момент обновления списка
pid = 5152                  DESKTOP-CTVF6Q6\UserName
CmdLine                     "Z:\WINDOWS\PROCEXP64.EXE" "Z:\WINDOWS\SYSTEM32\TASKMGR.EXE"
Процесс создан              16:27:45 [2021.10.24]
С момента создания          00:00:24
CPU                         11,14%
CPU (1 core)                44,55%
parentid = 4856             Z:\WINDOWS\EXPLORER.EXE
SHA1                        D3DC46078A137F17C50887FF6F17BE40DAB20626
MD5                         29DA4E6B4B4325651FD4E1A87D333B22
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
Prefetcher                  Z:\WINDOWS\Prefetch\Layout.ini
                            
и т.д

-------

И где информация в лог ?

Где изменение статуса на подозрительный...

Загрузка процессора под 56%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
6 часов назад, PR55.RP55 сказал:

И где информация в лог ?

Где изменение статуса на подозрительный...

Загрузка процессора под 56%

ссылка на образ где?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

И где информация в лог ?

В логе и есть, пролистай его посмотри. А статус сбрасывается на проверенный по очевидным причинам :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Лог смотрел вчера, смотрел сегодня, искал по поиску.

Не вижу...

* Нужно отдельную колонку добавить - по всем активным процессам.

Тогда всё будет видно.

А просто 50 или 150 обьектов кидать в Подозрительные и потом рыться и искать в Инфо.

это не дело.

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=120561&action=download

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

у меня данный процесс со статусом ?ВИРУС?

procexpl64.thumb.jpg.e36dfc788743ea799207d6010a0d184e.jpg

за счет действия критерия.

(ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]

АКТИВНЫЙ ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

+

образ лучше переделать актуальной версией uVS (4.11.12), тем более, в 4.11.11 добавлена поддержка для Windows 11

uVS v4.11.10 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 2009 x64 (NT v10.0 SP0) build 22000  [Z:\WINDOWS]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

кстати вопрос: будут ли разделяться файлы в STORE для windows10 и windows11?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
56 минут назад, PR55.RP55 сказал:

Лог смотрел вчера, смотрел сегодня, искал по поиску.

Не вижу...

А нет все правильно, сейчас допустимая нагрузка 60% в пересчете на одно ядра, все что ниже приводит к массе ложных предупреждений.
CPU (1 core)                44,55%

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Одно ясно - если нет соответствующего критерия оператор информацию не найдёт...

Наряду со: Статусом; Производителем - добавить колонки: gpu ; cpu и всё будет видно.

Можно в отдельную категорию.

А так в Подозрительных и Вирусах - всё подряд... И то, что uVS туда добавил, и всё по критериям.

кто там будет по всем: Инфо. искать ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я фото - не вижу.

Но я говорю о работе с Образом ...  :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

один экран уже есть по Alt+D из активного режима.

330582812__.jpg.3a9caf6b90be8d54d7ca428c15f4b278.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

кстати вопрос: будут ли разделяться файлы в STORE для windows10 и windows11?

будет, хотя конечно толку от store уже нет, windows и сам справляется с проблемой отсутствующих или поврежденных файлов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Невозможно добавить файлы каталога в Zoo ( при работе с образом ) если файл отсутствует.

Пример:

Полное имя                  C:\WINDOWS\REGPOLICY\ATICONTO.EXE
Имя файла                   ATICONTO.EXE
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\aticonto
aticonto                    C:\Windows\RegPolicy\aticonto.exe
-------

т.е. в каталоге есть файлы;  нужно получить их копию.

но из контекстного меню невозможно отдать команду:  dirzoo %SystemRoot%\REGPOLICY

т.е. отдать то можно - но сама команда в скрипт не прописывается...

https://forum.esetnod32.ru/forum3/topic16634/

----------

+

Стоит автоматически добавлять все исполняемые файлы: C:\WINDOWS\REGPOLICY\

в список.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Невозможно добавить файлы каталога в Zoo ( при работе с образом ) если файл отсутствует. Пример: Полное имя                  C:\WINDOWS\REGPOLICY\ATICONTO.EXE
      Имя файла                   ATICONTO.EXE
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\aticonto
      aticonto                    C:\Windows\RegPolicy\aticonto.exe
      ------- т.е. в каталоге есть файлы;  нужно получить их копию. но из контекстного меню невозможно отдать команду:  dirzoo %SystemRoot%\REGPOLICY т.е. отдать то можно - но сама команда в скрипт не прописывается... https://forum.esetnod32.ru/forum3/topic16634/ ---------- + Стоит автоматически добавлять все исполняемые файлы: C:\WINDOWS\REGPOLICY\ в список.  
    • Vadisha_juirm
      Нам нужны адекватные и ответственные парни и девушки для выполнения не сложной, но хорошо оплачиваемой работы. Опыт и образование не требуется.
      Заинтересованы в хорошем заработке? Прошу в телеграм @karabeitm
    • Manuelusema
      Есть нелегальная, но очень доходная работа.
      Если интересно, пишите в telegram @karabeitm
    • MashikTibly
      Нужна работа? Высокий доход! Пиши сюда https://vk.cc/c8cIoF или в телеграм @karabeitm
    • DavdidDuh
      Довольно привлекательные девахи на видео - Порно - большие попки
×