Перейти к содержанию

Recommended Posts

Arnee
* - все тесты выполняет профессионал на !!!виртуАльной машине!!!, просьба не повторять такое дома

Так о чем видео (не осилил до конца) - ловит,или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova
Так о чем видео (не осилил до конца) - ловит,или нет?

Ловит и удаляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arnee
Ловит и удаляет.

Спасибо..в моем посте была доля сарказма в адрес автора видео - уж больно гундос, даже для иностранца :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arnee
Сегодня у меня обновился через Windows Update

Прочитал тему с начала и не могу понять - как часто MSE обновляется АВТОМАТИЧЕСКИ,а не перед проверкой?

Вопрос к тому,что будучи в отъезде - давать домашним инструкции тыкать кнопку "Обновить" или как?

Я в курсе птицы на "Обновление баз перед запланированной проверкой" ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Прочитал тему с начала и не могу понять - как часто MSE обновляется АВТОМАТИЧЕСКИ,а не перед проверкой?

Обычно спрашивают как отключить обновления. :)

Обновляется перед проверкой, через интервал в реестре "SignatureUpdateInterval" или можно ручками/планировшиком "MpCmdRun.exe -SignatureUpdate".

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arnee
Обычно спрашивают как отключить обновления.

Обновляется перед проверкой, через интервал в реестре "SignatureUpdateInterval" или можно ручками/планировшиком "MpCmdRun.exe -SignatureUpdate".

Вот спасибище! Судя по тому,что ключик в реестре изменить нельзя,по крайней мере без выхода в безопасный режим,он будет обновляться автоматом,если превышено значение интервала - по умолчанию 24 часа.

Как-то так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Вот спасибище! Судя по тому,что ключик в реестре изменить нельзя,по крайней мере без выхода в безопасный режим,он будет обновляться автоматом,если превышено значение интервала - по умолчанию 24 часа.

Как-то так?

По эвентлогу оно так и обновляется раз в 24 часа и перед запланированным сканированием.

А ключик поменять можно став владельцем ветки и разрешив себе присваивать значения. Потом можно права вернуть обратно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

slavik_dm, всё это активно обсуждалось на ОСзоне, однако однозначный вывод так и не был сделан.

так что не факт что именно MSE виновник..

я довольно долго обкатывал этот АВ и скажу что отключил мониторинг процесса uTorrent.exe ещё до баг-репорта :)

просто не вижу смысла. AVI тоже в исключения.

зачем мне лишняя паранойя?

а сам баг я на своём железе не смог воспроизвести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У меня не было такого бага, хотя использую тоже uTorrent.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Небольшая ложка дёгтя

Эта ложка дёгтя у многих с разным софтом и конфигурацией.

В данном примере скорее всего виноваты драйвера на сетевую карту или со стороны железа проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm

dr_dizel

Эта ложка дёгтя у многих с разным софтом и конфигурацией.
эта ложка дегтя замечена была в Avast 5 и Comodo.. но в них вроде как это пофиксили..
В данном примере скорее всего виноваты драйвера на сетевую карту или со стороны железа проблемы.

sceptic

всё это активно обсуждалось на ОСзоне, однако однозначный вывод так и не был сделан.

так что не факт что именно MSE виновник..

Ilya P.Microsoft Support

It's good. I've got good news too - issue reproduced with explorer and IIS after whole night of downloading. All we have to do is to wait.

Ilya P.Microsoft Support

Well, I've got an answer from escalation group:

Problem is known already and now developers are investigating issue. For now there is no info about if there'll be any fix and when it will be released.

Recommendations are simple - while there are no fix, use workaround - add uTorrent to exclusion list. If it'll be there, any file that it touches/modifies, wont be scanned by RTP, while scan-on-demand will still be able to detect potential malware.

А мужики то не знали© :D

а сам баг я на своём железе не смог воспроизвести.

uTorrent + MSE + Win7 + 20-30 раздач и не выключать комп пару дней(да о чем речь - часов 10-12 у меня хватает) и ВУАЛЯ (картина маслом Репина "Приплыли"):

397219134966t.jpg

Это MSE с активным монитором...

8bc09a747bcft.jpg

а это происходит после выключения резидентного монитора MSE.. кстати эта ложка дегтя меня уже достала немного - я комп выключаю пару раз в месяц.. и постоянно включать\отключать MSE что бы музыку без заиканий послушать или фильм посмотреть надоедает.. но зато бесплатно и вирусы хорошо ловит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic
А мужики то не знали©

Стив тоже "не знал", что на айфоне нельзя антенку ручками трогать! :D

ВУАЛЯ (картина маслом Репина "Приплыли")

да верю я...

только и ты поверь, что далеко не у всех такая картина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
uTorrent + MSE + Win7 + 20-30 раздач

Так нужно мониторить что там и как. И лучше какой-нибудь утилитой снять конфиг системы, а то на первом скрине того топика вижу W7 build 7100 - release candidate.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arnee

Поздравляю MSE соврамши :) Точнее,сфолсивши...

f431f5576402.jpg

Судя по http://www.virustotal.com/ru/analisis/d4ea...774d-1268501543 фолс имел место в марте,но видать никто

не поделился с Майкрософт файлом...до сих пор :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arnee

Или Dr.Web'овская тулза все таки :blink: делает что-то не то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Arnee

Отошли файл в MS да и все. Чего гадать то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arnee
Arnee

Отошли файл в MS да и все. Чего гадать то?

Отослал ужо :) Точнее - сразу....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
не поделился с Майкрософт файлом...до сих пор :)

Он просто намекает, что у вас старая версия утилиты. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic
Или Dr.Web'овская тулза все таки делает что-то не то?

ну если экзешник заражён салити или нешта, то да :)

а откуда название файла? DwShark.exe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
кстати эта ложка дегтя меня уже достала немного

Пару минут гугления и latmon или уже это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arnee
а откуда название файла? DwShark.exe?

Должно быть какое-то другое?

Он просто намекает, что у вас старая версия утилиты.

Я и сам в курсе,что старая :)

ну если экзешник заражён салити или нешта, то да

Вирустотал так не думает :)

Вроде вот https://www.microsoft.com/security/portal/S...4b-58058cbc7d16 -

перестал файл быть трояном :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Пару минут гугления и latmon или уже это.

а зачем? DPC latency checker это признанная тулза в проф. кругах связанных с оптимизацией системы для работы с аудио\видео контентом и\или для проф. записи музыкальных инструментов :) и представители техподдержки Microsoft официально признали проблему так как смогли ее воспроизвести исключительно на софте Microsoft :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
DPC latency checker это признанная тулза в проф. кругах связанных с оптимизацией системы...

Ну и чем она поможет узнать что именно грузит проц? Да, она вместо процентиков в Process Explorer рисует пипки и так же бесполезна.

Microsoft официально признали проблему так как смогли ее воспроизвести исключительно на софте Microsoft :rolleyes:

О, дайте ссылку на признание.

И помните о старой шутке про дрова нвидии: они такие большие потому, что содержат костыли для всех глючащих игр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
slavik_dm
Ну и чем она поможет узнать что именно грузит проц? Да, она вместо процентиков в Process Explorer рисует пипки и так же бесполезна.

дерзайте :rolleyes: а на форумах посвященных вопросам профессиональной работы со звуком и аудио контентом(впрочем как и на многих формах тех поддержки производителей железа, в равной мере как и просто технических форумах) юзают одну утилиту для определения есть проблема или нет ее :rolleyes: и она называется DPC latency checker

ЗЫ с процессом усвоения информации я вижу у Вас некоторые проблемы или Вы просто тролите :rolleyes:

О, дайте ссылку на признание.
представители техподдержки Microsoft официально признали проблему

удобно выкинуть "нюанс" правда?

lya P.Microsoft Support

Well, I've got an answer from escalation group:

Problem is known already and now developers are investigating issue. For now there is no info about if there'll be any fix and when it will be released.

Recommendations are simple - while there are no fix, use workaround - add uTorrent to exclusion list. If it'll be there, any file that it touches/modifies, wont be scanned by RTP, while scan-on-demand will still be able to detect potential malware.

и на это есть ссылка выше :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×