Вся активность - Форумы Anti-Malware.ru Перейти к содержанию

Вся активность

This stream auto-updates     

  1. Earlier
  2. demkd
    Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
  3. santy
    Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?
  4. demkd
    "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть. Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
  5. PR55.RP55
    " Вот еще в помощь рекомендации от Зайцева Олега: Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию: 1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot 2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно) 3. Импортировать модифицированный файл Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
  6. Ego Dekker
    Домашние антивирусы для Windows были обновлены до версии 18.1.10.
  7. PR55.RP55
    1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.
  8. demkd
    С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик. --------------------------------------------------------- 4.99.12 --------------------------------------------------------- o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без посредников. (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус (!) то удаление исключений возможно лишь при использовании виртуализации реестра (!) ИЛИ при приостановке защиты этого антивируса. (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен (!) и лишь существенно замедляет и усложняет процесс лечения. o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии. (Доступно для Windows Vista+) o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива к мерам противодействия поиску. o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll, которой в этой системе нет. o Антисплайсинг: расширен список контролируемых функций.
  9. PR55.RP55
    Посмотрел тему: https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/ Возможно имеет смысл - выполнение Твика #35 с виртуализацией реестра ? т.е. именно отдельный твик с виртуализацией? ( для обхода защит\ы ) ------- А как средствами uVS удалить запись типа: Запись из Лога: Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn Собственно это единственная запись\информация. Другой информации в uVS нет. т.е. если нет записей = иной информации, то и применить к ней команды из интерфейса невозможно. т.е. нужно или отдельно задействовать cmd и\или открывать taskschd как-то это...
  10. santy
    Все получилось. Неудаляемые из нормального режима записи с блокировкой запуска антивируса получилось удалить твиком 35 после интеграции uVS в меню дополнительных параметров загрузки. (Обошлось без загрузочного диска.)
  11. demkd
    --------------------------------------------------------- 4.99.11 --------------------------------------------------------- o Добавлена защита начального уровня от загрузки неизвестных DLL в адресное пространство uVS. Защита эффективна против большинства способов внедрения DLL, в т.ч. и с использованием глобальных хуков и ключей реестра. (кроме способов внедрения включающих в себя использование специального драйвера) Защита включается автоматически при активации опции "Выгружать DLL и уничтожать потоки внедренные в uVS". В лог выводится список таких DLL и количество попыток внедрения. Защита существенно повышает стабильность uVS и совместимость с различным софтом внедряющим свои DLL во все доступные процессы. (например: продукты Comodo, punto switcher (при отключенном UAC) и т.д.). (!) Функция доступна начиная с Windows Vista. o Обновлены базы известных файлов для корректной работы функции защиты от загрузки неизвестных DLL. o Улучшена функция антисплайсинга, теперь эта функция активируется на раннем этапе загрузки uVS. Расширен список контролируемых функций. (!) ЕСЛИ активна опция "Выгружать DLL и уничтожать потоки внедренные в uVS" то антисплайсинг (!) активируется автоматически. o Добавлено предупреждение в лог если параметр MinimumStackCommitInBytes в ветке реестра IFEO превышает 16Mb. Твик #35 теперь удаляет такие значения. o Добавлено предупреждение в лог если параметр CfgOptions в ветке реестра IFEO превышает допустимое значение. Твик #35 теперь удаляет такие значения. o Добавлено предупреждение в лог если значение параметра MitigationOptions в ветке реестра IFEO МОЖЕТ вызвать блокировку запуска приложения. (ошибка при запуске STATUS_DLL_INIT_FAILED [0xC0000142]) Твик #35 НЕ удаляет такие значения, поскольку это значение используется некоторыми программами для запуска специализированных процессов. o Добавлена обработка параметров UseFilter и FilterFullPath в IFEO. o Добавлена функция проверки ключа реестра планировщика задач, которая выполняется в отдельном потоке при обновлении списка, в результате в лог выводится путь в реестре до скрытых и поврежденных задач с их именами. Поврежденной задачей считается задача препятствующая нормальной работе интерфейса планировщика задач. (ошибки при открытии планировщика: "Внутренняя ошибка" и "Выбранная задача "имя_задачи" больше не существует") o Добавлен твик #35 Удаление поврежденных задач. Твик не удаляет скрытые задачи, если они не являются "поврежденными". o В случае аварийного завершения uVS лог автоматически сохраняется в текстовый файл с именем "crash.log". report_crush теперь отправляет этот файл вместе с дампом.
  12. Ego Dekker
    ESET Online Scanner был обновлён до версии 3.7.9.
  13. PR55.RP55
    Пожалуй можно добавить команду: > Сбросить все атрибуты файлов каталогов - ориентируясь на указанную дату. 2025-01-14 17:17 - 2025-01-14 17:17 - 000000000 2025-01-14 17:16 - 2025-01-14 07:50 - 000000000 2025-01-14 17:15 - 2025-01-14 07:50 - 000000000 2025-01-14 17:13 - 2025-01-14 11:00 - 000000000 Или даже удаление для: 000 - по дате
  14. PR55.RP55
    Dragokas По работе с программой: https://forum.esetnod32.ru/forum8/topic15785/ В программе есть возможность поиска. Вместо категории: Подозрительные и вирусы выберите категорию. Выберите поиск по имени, или пути файла. Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель ) Так:
  15. Dragokas
    Приветствую! Можно реализовать поиск (или фильтр) среди найденных объектов (вот как Ctrl + F в текстовых редакторах), или такое уже есть? Например, выбираешь категорию "Все файлы", и тебя интересует увидеть все строки, в средине которых есть определённое слово.
  16. demkd
    --------------------------------------------------------- 4.99.10 --------------------------------------------------------- o При активации небезопасных параметров запуска добавлено предупреждение с перечислением этих параметров. o Параметры запуска "Заморозить потоки внедренные в uVS" и "Выгружать DLL" объединены в один параметр "Выгружать DLL и уничтожать потоки внедренные в uVS". o Исправлена ошибка в функции выгрузки DLL из uVS. o Исправлена ошибка разбора параметров для исполняемых файлов с именем содержащим 2 точки. (например file.txt.exe) o Исправлена ошибка в функции удалении задачи по имени отсутствующего XML-файла задачи. o Исправлена ошибка в парсере json. Теперь в лог выводится участок json вызвавший ошибку разбора.
  17. demkd
    тут только присылать мне файлы указанные в логе, буду разбираться что там не так. они именно не удаляются или это сообщения в логе при построении списка?
  18. santy
    в 4.99.8 чаще всего возникали проблемы с обработкой расширений Chrome-based браузеров, Ошибка компиляции json + почему то не удаляются некоторые типы задач: вот пример:
  19. demkd
    В последний месяц некогда было заниматься uVS, поэтому лишь небольшое исправление. --------------------------------------------------------- 4.99.9 --------------------------------------------------------- o Исправлена ошибка в функции сохранения образа неактивной системы. o Исправлена критическая ошибка в функции разбора расширений Chrome-based браузеров.
  20. santy
    Это прекрасное ощущение, когда понимаешь, что организм сам справился, ты где-то, сам того не ведая, лишь чуть- чуть помог ему. Еще больше начинаешь уважать Создателя.
  21. PR55.RP55
    Вчера на скорой ( с боем ) опять отвезли - теперь в Областную Больницу... Посмотрели/Анализы... Не урология. Сказали: Видимо инфекция - но, что и как не знаем. Даём документы в инфекционку... Но был уже вечер... В общем вчера я махал всем ручкой - все эти скачки температуры под 40... Аппетит 0; Голова чугунная; Интоксикация Сил даже накрыть себя одеялом не было. ( хотелось побыстрее Х ) ------ А сегодня утром проснулся - вместо еды - выпил безалкогольного пива - пришли силы, а потом... температура раз и : 36.1 ... 36.6 В эти пять дней скинул веса килограммов 8 Тело лёгкое ( можно за белками по деревням лазить ) ------ Майский жук - полз, полз, да так и въехал в ангар на крыле
  22. santy
    Кстати, минут еще один технический форум. Пользователей, кто еще остался на ESET для решения проблем с заражением, шифрованием данных приглашаем на: https://forum.kasperskyclub.ru/forum/143-tehnicheskaya-pomosch/ или https://chklst.ru/categories/help
  23. santy
    Вообщем, Дмитрию надо регистрировать Universal Virus Sniffer как товарный знак, а то найдется какой-нибудь прыткий Гинцбург, и использует брендовое имя для своей вновь переоткрытой вакцины. Гляди, RP55, когда в третий раз придешь прощаться, то тебе могут прописать в поликлиннике "universal virus sniffer". :).
  24. Vvvyg
    Знаю такое место, кладбище ) Простите...
  25. santy
    А что нам остается? Быть ближе к природе, подальше от скорых, поликлинник, больниц, и других известных мест.
  26. PR55.RP55
    В общем ( извиняюсь, что не по теме ) Была температура 39.8 и дикая боль и на фоне этого у меня началась паническая атака... И пульс 136 Скорая сбила температуру: Анальгин + Димедрол отвезла в больницу. А там сказали... Вот тебе анализы - ступай ка ты братец домой... А потом в поликлинику к которой приписан... Или вызывай врача на дом. Очевидный Прогресс.
  1. Load more activity
×