Перейти к содержанию
Юрий Паршин

Symantec определяет в avp.exe трояна

Recommended Posts

Александр Шабанов
Александр, вероятность есть.

Я не в данном случае а в общих чертах:

у человека заражен ПК,продукт ЛК не справился с вирусом и т.д. и ПК не загружается или еще какая нибудь проблема, человек снимает HDD и подключает к другому ПК где стоит продукт Symantec или другого вендора- и начинает проверять диск. Результат всем известен. Благо,что файл с ЦП.

1) Опять же это проблема пользователя Symantec? Или же пользователя стороннего антивируса?

2) Это проблема контроля качества, причем некритичная, а не проблема для бизнеса.

3) Негатив вижу только в том, что вердикт был продублирован еще одним вендором.

Если уж следовать строго классификации

Чьей классификации? Единой я так понимаю нет, у каждого вендора своя.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
А что в этой новости такого критичного для пользователей продуктов Symantec?

Не думаю, что они поголовно устанавливают антивирус Касперского как доп. защиту, сдается мне что такая совместимость маловероятна.

Основная проблема подобных детектов, в том что они выходят во всех компонентах всех продуктов, а не только домашних продуктов.

К примеру, пользователь пытается скачать дистрибутив, на маршрутизаторе дистрибутив распаковывается и детектируется файл внутри дистрибутива.

Как результат у пользователя в принципе нет возможности скачать файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Тему открываю, т.к. есть толковая, реальная ситуация, а не вымышленная. Если снова будут просто "тычки" и пустые возмущения, тема будет закрыта тут же.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Тему открываю, т.к. есть толковая, реальная ситуация, а не вымышленная. Если снова будут просто "тычки" и пустые возмущения, тема будет закрыта тут же.

Ну хорошо, продолжайте превращать Anti-Malware в помойку и место для выяснения отношений

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Вот у меня папочка, KAV8. И файл avp.exe там остался. И стоит Norton 360. Специально просканил - чисто, никакого детекта. Кстати, с самого начала пользования 360 никакого детекта - уже 2 недели. Никому ничто не мешает.

Тема из разряда - удивительное рядом.

05.08.png

post-5135-1249492553_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Основная проблема подобных детектов, в том что они выходят во всех компонентах всех продуктов, а не только домашних продуктов.

К примеру, пользователь пытается скачать дистрибутив, на маршрутизаторе дистрибутив распаковывается и детектируется файл внутри дистрибутива.

Как результат у пользователя в принципе нет возможности скачать файл.

Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Кстати, последние сводки по детекту подписанного KidoKiller-а:

http://www.virustotal.com/ru/analisis/eef8...0f2b-1249493833

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
3) Негатив вижу только в том, что вердикт был продублирован еще одним вендором.

Это проблема, тех кто использует антивирусы, которые не разбираясь тырят записи в чужих базах.

Но почему-то всем интереснее пообсуждать Симантек и его "неправильную классификацию зловредов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Его разрабам сообщили?

Почему на АМ попал не тот случай, когда проблема оправдана (кидокиллер могут ставить на компьютер с другим АВ), а обсуждаемый фолс, для демонстрации важности которого приходится привлекать редкий кейс с подключением зараженного винчестера к другому компьютеру? Домохозяйка так не сделает, опытный пользователь скорее воспользуется антивирусными утилитами с загрузочных CD (два компьютера и перестановка винчестеров - это экзотический случай), а если и обнаружит "трояна" в avp.exe то всего-лишь сообщит в ЛК и переустановит свой КИС.

Который все равно нужно переустановить, потому что если пришлось переносить винчестер, значит он сильно заражен и антивирус на нем скорее всего тоже поврежден.

Вобщем обсуждаемый детект не повредит пользователю КИС.

А может реакция эвристика сама по себе оправданная в обоих случаях и ее можно избежать только если заносить в белый список или не трогать файлы с ЦП?

Фактически кидокиллер - руткит, только "хороший". Поэтому если чья-то эвристика не него гавкает, то не значит что эвристика фолсит, а значит что у этого АВ кидокиллер не в белом списке и что у этого АВ нет функции пропуска файлов с ЦП.

Нет и все. И решить проблему можно только путем взаимного сотрудничества производителей АВ, чтобы подобные утилиты каждого производителя заносились всеми в белые списки.

Но почему-то этого не происходит, даже АВ из первой пятерки не могут между собой договориться.

А раздуванием проблемы на АМ ее не решить.

По-моему фанам и сотрудникам нужно работать в этом направлении - налаживать сотрудничество между производителями АВ, а не меряться у кого во лбу больше чугуния и у кого длиннее рейтинг, кто "лидер", а кто "середнячок".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Ладно, раз решили флудить, так флудим:

1. Никто не гарантирует что файл с цифровой подписью не может быть вирусом

2. Данный пример и обсуждаемый пример - это проблема не только тех кто детектит ошибочно, но и ЛК, которая видимо не сильно то старается обмениваться своим ПО для тестовых лабов других АВ компаний, чтобы таких ошибочных детектов не было, да и пишет свое ПО видимо как-то коряво, раз оно детектится, хоть и ошибочно

3. И самое главное: пока, факта ложного детекта, кроме вашего примера, Юрий, лица в данном случае заинтересованного и уже не раз учавствовавшего в опускании продуктов Symantec, и соответственно доверия большинства не заслуживающего

Так что пока тема из разряда черного пиара и выливания очередной порции дерьма, лучше займитесь доработками своих продуктов, чтобы посетители абсолютно безопасных сайтов, не получали от ваших продуктов уведомлений о том, что сейчас произойдет катастрофа и их ПК будет заражен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Его разрабам сообщили?

Почему на АМ попал не тот случай, когда проблема оправдана (кидокиллер могут ставить на компьютер с другим АВ), а обсуждаемый фолс, для демонстрации важности которого приходится привлекать редкий кейс с подключением зараженного винчестера к другому компьютеру? Домохозяйка так не сделает, опытный пользователь скорее воспользуется антивирусными утилитами с загрузочных CD (два компьютера и перестановка винчестеров - это экзотический случай), а если и обнаружит "трояна" в avp.exe то всего-лишь сообщит в ЛК и переустановит свой КИС.

Который все равно нужно переустановить, потому что если пришлось переносить винчестер, значит он сильно заражен и антивирус на нем скорее всего тоже поврежден.

Вобщем обсуждаемый детект не повредит пользователю КИС.

А может реакция эвристика сама по себе оправданная в обоих случаях и ее можно избежать только если заносить в белый список или не трогать файлы с ЦП?

Фактически кидокиллер - руткит, только "хороший". Поэтому если чья-то эвристика не него гавкает, то не значит что эвристика фолсит, а значит что у этого АВ кидокиллер не в белом списке и что у этого АВ нет функции пропуска файлов с ЦП.

Нет и все. И решить проблему можно только путем взаимного сотрудничества производителей АВ, чтобы подобные утилиты каждого производителя заносились всеми в белые списки.

Но почему-то этого не происходит, даже АВ из первой пятерки не могут между собой договориться.

А раздуванием проблемы на АМ ее не решить.

По-моему фанам и сотрудникам нужно работать в этом направлении - налаживать сотрудничество между производителями АВ, а не меряться у кого во лбу больше чугуния и у кого длиннее рейтинг, кто "лидер", а кто "середнячок".

В Trend Micro сообщили - через некоторое время они добавили хэш утилиты в белый список. Если утилиту просто пересобрать, то все так же будет фолсит.

Судя по названию их детекта ("Cryp_Xed-16") - это детект по паковщику (а не по поведению), что еще более весело, ведь KlavPack - наша внутренняя разработка и используем ее только мы.

Вобщем зря закрыли тему Sp0raw-а про "г-детекты" - все, написанное в этой теме, было бы отличным продолжением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Ладно, раз решили флудить, так флудим:

1. Никто не гарантирует что файл с цифровой подписью не может быть вирусом

2. Данный пример и обсуждаемый пример - это проблема не только тех кто детектит ошибочно, но и ЛК, которая видимо не сильно то старается обмениваться своим ПО для тестовых лабов других АВ компаний, чтобы таких ошибочных детектов не было, да и пишет свое ПО видимо как-то коряво, раз оно детектится, хоть и ошибочно

3. И самое главное: пока, факта ложного детекта, кроме вашего примера, Юрий, лица в данном случае заинтересованного и уже не раз учавствовавшего в опускании продуктов Symantec, и соответственно доверия большинства не заслуживающего

Так что пока тема из разряда черного пиара и выливания очередной порции дерьма, лучше займитесь доработками своих продуктов, чтобы посетители абсолютно безопасных сайтов, не получали от ваших продуктов уведомлений о том, что сейчас произойдет катастрофа и их ПК будет заражен

Видел я форму для плучения подписи этого VeriSign, по-моему никакой проверки на вирусы там нет и файл не высылается им, и реальность предоставленных персональных данных пользователя проверить тяжело.

Поэтому если захотеть, то получить ЦП и подписать им зловреда - реально. Пусть домохозяйкам греет котелки история о том, что владелец такой подписи сразу сядет. Не сядет, потому что его сначала найти нужно и перед ним большая очередь вирмейкеров на посадку.

По поводу корявости написания софта ЛК в данном случае не согласен. Производитель АВ-софта по-моему не должен заморачиваться вопросом, как бы так зашифровать свой файл, чтобы его не детектили другие АВ. Это пустая трата ресурсов и ненужное усложнение кода. Эта проблема должна решаться не на компьютерах программеров, а открыто - путем взаимодействия производителей между собой и организации, при необходимости, белых списков.

И Юрия макать необязательно, метнув это самое в ответ ничего не решить.

А вы, Юрий, не подставляйтесь. Разжигание холиварчиков и пиарчиков - удел фанатов (определенному типу фанатов нечего терять и не к чему стремиться, кроме хозяйской благосклонности) и М. (работа такая у них, превозносить себя и макать конкурентов).

Тема про г...но-детекты открыта.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
да и пишет свое ПО видимо как-то коряво, раз оно детектится, хоть и ошибочно

Ах вот кто виноват в фолсах! Это официальная позиция Symantec? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Но один вопрос остался - что же это за сборка - 8.0.0.521?

Специальная сборка, чтобы тему на АМ можно было открыть и пообсуждать какие все антивирусы Г, кроме тех что делает ЛК :D

Нет чтобы написать в Сумантек, они тут ссылки кидают на вирустотал

Так а такая задача видимо и не стояла у автора, главное еще одну помойку устроить и представить себя уборщиками и борцами за справедливость

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
veritas
Да, не так давно был пример - мне написал пользователь жалобу на то, что не может скачать утилиту KidoKiller с нашего сайта. Как выяснилось, Trend Micro, установленный на шлюзе фолсил на нее и не давал скачать. Утилита была опять была подписана.

Судя по названию их детекта ("Cryp_Xed-16") - это детект по паковщику (а не по поведению), что еще более весело, ведь KlavPack - наша внутренняя разработка и используем ее только мы.

На шлюзе совершенно правильный параноидальный подход, что нельзя распаковать или проверить - в карантин.

Если очень надо, то оттуда можно достать или другие способы найти как переслать, которых немало.:)

Отредактировал veritas

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
На шлюзе совершенно правильный параноидальный подход, что нельзя распаковать или проверить - в карантин.

Если очень надо, то оттуда можно достать или другие способы найти как переслать, которых немало.:)

Тут еще нужно разобраться, что это за фрукт такой, что ему шлюз помешал, что и где он собрался лечить без ведома админов шлюза.

А ЛК могла бы догадаться класть подобные утилиты в архив, защищенный стандартным паролем (типа "Kaspersky Lab" или подобное) - и решены все проблемы с любыми антивирусами провайдеров, которые могут встретится на пути от сервера ЛК к клиенту.

Если же шлюз режет все подряд, что нельзя проверить, значит это шлюз на каком-то предприятии, а в таких случаях нужно обращаться к админам предприятия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Было ли хоть одно обращение от пострадавших?

ЛК сообщила Симантек о том что есть такая проблема или сразу выкинули это на АМ?

Из-за чего весь шум - из-за глюка эвристика у продуктов Симантек? Так у ЛК тоже бывали такие проблемы.

Или это скрытый пиар на тему "а вот мы не трогаем файлы с ЦП, мы крутые, а Симантек попался потому что он середнячок"?

Именно после жалоб об этом и узнали.

Не только написали, но и в понедельник днём Питер Зор ответил что с проблемой разберутся.

Только что специально скачал файл - файл не запакован вообще.

Основной для меня смысл этой темы, это понять что же такое происходит в Симантеке.

В последнее время (пол года) в компании сильно поменялись взгляды на детект.

И провал последнего VB100 ещё сильнее меня убеждает в этом.

А что касается подписей, то можно не трогать только файлы подписанные большими вендорами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Именно после жалоб об этом и узнали.

Не только написали, но и в понедельник днём Питер Зор ответил что с проблемой разберутся.

Только что специально скачал файл - файл не запакован вообще.

Основной для меня смысл этой темы, это понять что же такое происходит в Симантеке.

В последнее время (пол года) в компании сильно поменялись взгляды на детект.

И провал последнего VB100 ещё сильнее меня убеждает в этом.

А что касается подписей, то можно не трогать только файлы подписанные большими вендорами.

Ваша идея по поводу подписей правильная. Пусть любой из лидеров рынка АВ займется этим, объявит мировой поход за функцию проверки и пропуска файлов с ЦП в каждом антивирусе.

Но почему-то это не делают.

Просто каждая дополнительная функция каждого АВ рассматривается не как плюс для клиента и как способ (немного поделившись технологиями с конкурентами или убедив их в своей правоте) сообща решить общую проблему борьбы с современными угрозами (ботнеты, *киты, вирусы-шантажисты) - а как конкурентное преимущество, которое должно обеспечить домохозяйским баблом только этого производителя (на затратах, само-собой, нужно постоянно экономить, а сроки сжимать донельзя), а все остальное - только красивые слова.

Читаешь всякие пиарные заявления и лозунги фанатов и становится смешно.

Пиар, пиар и еще раз пиар, у каждого производителя на зарплате сидят особенные люди, которые заняты пиаром и полосканием мозгов пользователям и фанатам, это не плохо и не хорошо, это просто реальность.

Плохо когда из-за пиара господ (которые друг-другу совсем не враги и всегда договорятся) простые пользователи и сотрудники добровольно начинают поливать друг-друга грязью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Именно после жалоб об этом и узнали.

Так как какая-либо информация о файле предоставлена не была, возникают вполне закономерные вопросы:

1. Что же это все-таки за файл, и в какой версии продуктов Kaspersky он используется ?

2. От пользователей каких продуктов Symantec поступили вышеупомянутые жалобы ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Вряд ли, скорее это сборка для китайцев или еще для кого-нибудь. Но странно что никто из ЛК не хочет прояснить ситуацию, рассказав что это за сборка.

Обычная русская 8.0.0.506 после применения автопатчей (то есть после обычного обновления антивируса после установки) превращается в 8.0.0.521. См. прилагаемый скриншот:

0c9e483c707a.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
1. Никто не гарантирует что файл с цифровой подписью не может быть вирусом

Т.е. точно также, в случае фолса, может быть снесен системный файл? Я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Т.е. точно также, в случае фолса, может быть снесен системный файл? Я правильно понял?

Может хватит подначивать, а? Только 8-ка и 9-ка от ЛК научились пропускать файлы с ЦП, а например 7-ка с svchost натворила дел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Yen-Jasker

Это вопрос, касающийся ЭЦП, а не подначка. Ведь изначально, с самого первого поста был уклон на ЭЦП.

А что касается подписей, то можно не трогать только файлы подписанные большими вендорами.

Как поведет себя KIS, если сфолсит на NIS и если файл будет подписан?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Т.е. точно также, в случае фолса, может быть снесен системный файл? Я правильно понял?

Umnik, Вы пробовали, например, принудительно поместить в карантин продуктов Norton 2009 системный файл ?

Если Ваш ответ нет, то предлагаю попробовать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Тут еще нужно разобраться, что это за фрукт такой, что ему шлюз помешал, что и где он собрался лечить без ведома админов шлюза.

А ЛК могла бы догадаться класть подобные утилиты в архив, защищенный стандартным паролем (типа "Kaspersky Lab" или подобное) - и решены все проблемы с любыми антивирусами провайдеров, которые могут встретится на пути от сервера ЛК к клиенту.

Если же шлюз режет все подряд, что нельзя проверить, значит это шлюз на каком-то предприятии, а в таких случаях нужно обращаться к админам предприятия.

На это есть еще более умные антивирусы (из разряда цыг-ан-тивирусов, но не обязательно они), которые, например, все запароленные архивы могут считать крайне опасными. И так же запрещать их прохождение (в общем трафике или по почте - в зависимости от того, что за продукт).

Отредактировал Sp0Raw

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
На это есть еще более умные антивирусы (из разряда цыг-ан-тивирусов, но не обязательно они), которые, например, все запароленные архивы могут считать крайне опасными. И так же запрещать их прохождение (в общем трафике или по почте - в зависимости от того, что за продукт).

Политика "резать все что кажется подозрительным" подойдет для предприятий. Там софт должен ставить админ, а пользователи не должны ничего такого ставить и качать.

Для всех остальных конечно она не годится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×