Перейти к содержанию
katbert

Новая фишка вирусописателей

Recommended Posts

katbert

Сегодня довелось лечить один комп - стоял АВК 2009

С загрузочного диска отловил 4 зверя, зачистил - по все признакам победил

Загружаю ОС - и вижу, что осталось НЕЧТО - и оно способно прерывать запуск множества процессов - начиная с avp.exe, regedit, autoruns, process explorer

То есть на ввод команды система не реагирует вообще никак

Но если exe-файл переименовать - прекрасно запускается

Прошерстил систему несколькими антируткитами, поискал альтернативные потоки, очистил автозапуск от всего не-microsoft

Результат - нулевой

После нескольких раундов схватки выяснилось, что один из зверят с помощью ШТАТНОЙ фичи Windows заблокировал все эти и заодно и многие другие процессы

Он создал подраздел с именем исполняемого файла - например, regedit.exe в

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

А в подразделе - строковый параметр debugger, со значением "ntsd -d"

После такой манипуляции запустить файл совершенно невозможно - это коснулось даже АВК 2009

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

в трудных/непонятных случаях AVZ - незаменимая вещь. А умение пользоваться этой утилитой еще более незаменимая вещь.

При выполнении (к примеру) второго стандартного скрипта в текстовой части протокола можно было бы увидеть следующее (это для примера):

7. Эвристичеcкая проверка системы

Опасно - отладчик процесса "test123.exe" = "ntsd -d"

+ это не новая фишка, а наоборот очень старая (все новое это хорошо забытое старое)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Особенность этого случая в том, что ntsd.exe - это штатный отладчик Windows

А при использовании с опцией -d - приводит к эффекту мгновенного завершения процесса

Вирусы, и раньше использовали ветку Image File Execution Options - однако обычно прописывали туда свой файл

А этот файл мог найти и удалить сканер, и зная имя файла можно было найти его следы в реестре

Насчет AVZ - согласен, вещь незаменимая. Она в числе прочих и помогла мне полечить ту машинку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Minimus
Насчет AVZ - согласен, вещь незаменимая. Она в числе прочих и помогла мне полечить ту машинку

День добрый. С толкнулся с аналогичной проблемой, но никак не могу с ней справиться,то ли руки кривые,то ли avz пользоваться не умею :D. Не подскажете как избавились от зверька?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Minimus

Не видя компьютера и логов трудно что-то существенное советовать. Случаи бывают разные. Ваш может отличаться от случая, описанного в первом посте. Если исходить из случая katbert , то только как вариант, чтобы не навредить, попробуйте в AVZ, раз уж взялись:

Открыть меню "Файл" - "Восстановление системы".

Отметить: 1,2,6,8,9,10,11,16,17.

Нажать "Выполнить отмеченные операции" и потом ОК.

В "Свойствах" значка "Мой компьютер" на вкладке "Восстановление системы" снять галочку "Отключить восстановление системы". Перезагрузить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

А может имеет смысл обойтись точечным ударом?

Для начала попробуйте запустить штатный редактор реестра regedit.exe

Если при попытке запуска не происходит вообще ничего - найдите файл (c:\windows), скопируйте его в другое место и переименуйте

Если у вас в системе имеют место трюки с отладчиком - они привязываются к точному имени файла

Тогда regedit1.exe у вас запустится

После чего останется только добраться до указанной мною выше ветки и удалить все разделы с параметром debugger

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Андрей-001, а Вы маняк :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AntonFox

Простите что опять поднимаю эту тему, однако у меня аналогичная проблема.

ВыньХР СП1, ДрВеб. Комп знакомого, принес поставить Сп2 и обновить или поставить новый антивирь, поскольку его Веб только числился на компе, но ничего не делал.

Начну с того, что решил поставить НОД32 и .. не смог! В конце установки инталер сказал что нет доступа. Была мысль что прав не хватает, ан нет - залогинился юзырем из группы админ-ов. Ну ладно, тогда надо проверить подручными средствами - AVZ. Но он тоже не запускается! Переименовал и запустил.

Проверка дала интересные результаты:

Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15

Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5

Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6

Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5

.......

C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\ABQBA5E3\skp66[1].exe >>> подозрение на Backdoor.Win32.Agent.afoj ( 0D927B45 08CA4213 0021CC0A 002247A1 30720)

C:\System Volume Information\_restore{632A6ABE-8473-4581-A98F-9BFA1DE21849}\RP21\A0011858.exe >>>>> Backdoor.Win32.IRCBot.hss успешно удален

C:\System Volume Information\_restore{632A6ABE-8473-4581-A98F-9BFA1DE21849}\RP25\A0016911.exe >>>>> Trojan.Win32.Buzus.aqyv успешно удален

C:\System Volume Information\_restore{632A6ABE-8473-4581-A98F-9BFA1DE21849}\RP25\A0016912.exe >>>>> Trojan.Win32.Inject.qyz успешно удален

C:\System Volume Information\_restore{632A6ABE-8473-4581-A98F-9BFA1DE21849}\RP25\A0016916.exe >>>>> P2P-Worm.Win32.Palevo.brx успешно удален

.......

Опасно - отладчик процесса "a2service.exe" = "ntsd -d"

Опасно - отладчик процесса "ArcaCheck.exe" = "ntsd -d"

Опасно - отладчик процесса "arcavir.exe" = "ntsd -d"

Опасно - отладчик процесса "ashDisp.exe" = "ntsd -d"

..... (еще куча аналогичных строк)........

>> Таймаут завершения служб находится за пределами допустимых значений

Ну вот, самые интересные выдержки.

Далее обнаружил что редактор реестра и кое-что еще не запускаются. Нашел этот форум и сделал как написано - AVZ разблокировал реестр и удалил там некоторые строчки. НОД установился, обновился из локальной папки и тут же стал кричать что нашел вирус и удалить его сможет только после перезагрузки. Дал мне 15 секунд подумать. В случае отказа опять появлялось это сообщение, в случае согласия - перезагруз и подвисание сервиса на стадии загрузки в виду опять таки блокировки реестра и прописания в них тех строчек.

Многократное использование AVZ, привело к тому, что вири не находит, но про функции все так же орет и после ребута не запускается куча всего, в том числе антивири.

Дополнительно использовал SpyBot Search&Destroy - тоже самое, одни и теже три строки появляются раз за разом

Windows Security Center.UpdateDisableNotify

Windows Security Center.AntiVirusDisableNotify

Windows Security Center.FirewallDisableNotify

и ссылки на реестр в одну и туже ветку

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\UpdateDisableNotify!=dword:0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\AntiVirusDisableNotify!=dword:0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\FirewallDisableNotify!=dword:0

А вот что дал HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:12:28, on 10.06.2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Download Master\dmaster.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

c:\Program Files\Trend Micro\HijackThis\HijackT1is.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe" //mailurl:mailto:t-bone@boneland.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - E:\program\Odigo\Odigo\Bin\OdigoBHO.dll (file missing)

O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\RunServices: [] update.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun

O4 - HKCU\..\Run: [32NFG94-H61-2SF-N1P-5M1ERH6L6] C:\RECYCLER\S-1-5-21-4218066821-9878237668-815901254-1974\winIgn.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: DHCP-клиент Dhcplanmanserver (Dhcplanmanserver) - Unknown owner - C:\WINDOWS\System32\adsndsx.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\DrWeb32.tmp\spidernt.exe (file missing)

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--

End of file - 6741 bytes

Вообщем после ребута все опять плохо и куда копать не знаю... Подскажите плиз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вообщем после ребута все опять плохо и куда копать не знаю... Подскажите плиз.

1. Создать новую тему, а не писать про новую проблему в чужой теме.

2. Стать пользователем хотя бы одного из перечисленных антивирусов и обратиться в его техподдержку. Может быть, тогда и работать они начнут, и что-то делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Для начала удалить: C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\ABQBA5E3\skp66[1].exe

Пофиксить в HijackThis:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe" //mailurl:mailto:t-bone@boneland.comR3 - URLSearchHook: (no name) - - (no file)O2 - BHO: IEHelperObj Class - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - E:\program\Odigo\Odigo\Bin\OdigoBHO.dll (file missing)O2 - BHO: Доступ к платному контенту FieryAds v2.0.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\User\APPLIC~1\FieryAds\FieryAds.dllO4 - HKCU\..\Run: [32NFG94-H61-2SF-N1P-5M1ERH6L6] C:\RECYCLER\S-1-5-21-4218066821-9878237668-815901254-1974\winIgn.exeO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

Почитать: http://virusinfo.info/pravila.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если мне не изменяет память, то reset5.dll трогать не надо - хотя я могу ошибаться. + из того что выше некоторе мог юзер сам ставить...

имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Если мне не изменяет память, то reset5.dll трогать не надо

Это Any Tool. Можно удалить. Он встречается в XPSP1. Были случаи, когда он "со товарищем" вызывал зависание.

По этой или иной причине CureIt и Dr.Web его всегда предлагают удалять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Для начала удалить:...

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll[/code]

Эка вы быстрый. :) Данная штука к инфицированию отношения не имеет (является лишь признаком использования нелицензионной Windows).

O4 - HKLM\..\RunServices: [] update.exe в расчёт не берёте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
является лишь признаком использования нелицензионной Windows

Только для SP1, на SP2 уже не работала :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Эка вы быстрый. :) Данная штука к инфицированию отношения не имеет (является лишь признаком использования нелицензионной Windows).

O4 - HKLM\..\RunServices: [] update.exe в расчёт не берёте?

На первый вопрос Umnik уже ответил.

Из логов AVZ уже можно было бы определить, кому принадлежит этот файл и принять по нему решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вот и нужно было просить вначале логи АВЗ, а не по хрустальному шару гадать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AntonFox

Всем спасибо за подсказки!

АВЗ, НОД и КуреИт вирусов не находят, но после каждого ребута опять ни реестр запустить ни антивири - приходится при помощи АВЗ восстанавливать доступ.

Промучался сутки с компом и в итоге все снес и переставил винду заного.

Еще раз спасибо за помощь и внимание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Зря логи делать не стали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
REGO

Добрый день!

У меня такая проблема,я некоторое время отсутствовал в городе,по моему приезду обнаружил,что компьютер работает не полноцено,а именно:нету рабочего стола,панели управления пуска...как решить эту проблему без переустановки винды?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
REGO

Добрый день!

У меня такая проблема,я некоторое время отсутствовал в городе,по моему приезду обнаружил,что компьютер работает не полноцено,а именно:нету рабочего стола,панели управления пуска...как решить эту проблему без переустановки винды?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Всмысле нету рабочего стола? Просто картинка? Откройте диспетчер задач\приложения\новая задача - введите "explorer.exe" без ковычек. Загрузился? Какая ОС?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
REGO
Всмысле нету рабочего стола? Просто картинка? Откройте диспетчер задач\приложения\новая задача - введите "explorer.exe" без ковычек. Загрузился? Какая ОС?

В том та вся и проблема,что он не находит этого файла,я все операции осуществляю только через диспетчер и из за этого отрезаны многие функции...ОС вин ХР

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

http://slil.ru/28605716

Извлеките explorer.exe в папку Windows и попробуйте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Добрый день!

компьютер работает не полноцено,а именно:нету рабочего стола,панели управления пуска...как решить эту проблему без переустановки винды?

Провериться антивирусом, потом взять дистрибутив XP и выполнить в консоли: sfc /scannow

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×