Наблюдается примерно на 3:03:50. Что это за срабатывание?
Предупреждение при запуске игры Unreal Tournament 2004
#1
Отправлено 06 Февраль 2020 - 03:10
#2
Отправлено 06 Февраль 2020 - 09:46
#3
Отправлено 06 Февраль 2020 - 18:12
Упс, отчёт то я не заметил. Глянем как доберусь.
Doctor Web, Ltd.
#4
Отправлено 06 Февраль 2020 - 18:14
Лишнего себе бинарь позволяет, но не малварь
2020-Feb-05 19:43:21.415836 [ 2024] [INF] [arkdll] [3060] id: 15736, timestamp: 19:43:21.414, type: RegCreateKey (9), flags: 1 (wait: 1) sid: S-1-5-21-3158513953-1941690519-1658690300-1000, cid: 3808/6592:\Device\HarddiskVolume2\UT2004\System\UT2004.exe context: start addr: 0x109fede2, image: 0x10900000:\Device\HarddiskVolume2\UT2004\System\UT2004.exe hips: type: 9, action: deny [5] cmd: "C:\UT2004\System\UT2004.exe" fileinfo: size: 2001528, easize: 39, attr: 0x80, buildtime: 03.03.2004 10:54:05.000, ctime: 05.02.2020 19:39:58.129, atime: 05.02.2020 19:39:58.129, mtime: 05.02.2020 19:39:58.138, descr: , ver: , company: , oname: file sha1: a7eea17b53b47088923bb68689decbac9a38c311 file sha256: d92e0ba9aa93f68ce274a042b4944a8047884bb29ed58d32e49b6e1eed03075c status: pe32, new_pe / cert_not_found / unknown / unknown / unknown key: \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\shellex\ContextMenuHandlers\CmdLineExt, access: 0x0 send user blocked alert id: 15736 ==> denied [5], time: 0.743163 ms
#5
Отправлено 06 Февраль 2020 - 18:16
Doctor Web, Ltd.
#6
Отправлено 06 Февраль 2020 - 18:17
Doctor Web, Ltd.
#7
Отправлено 06 Февраль 2020 - 18:21
мда, чет на какой-то рандомный набор данных больше похоже, а не на нормальный эвент.
netfilter.png 28,45К 3 Скачано раз
Сообщение было изменено RomaNNN: 06 Февраль 2020 - 23:20
#8
Отправлено 06 Февраль 2020 - 19:09
потому что у тебя нет модуля, строки в нем. это старый сисинфо он не архивирует записи чтобы отображалось и без модуля в системе.мда, чет на какой-то рандобный набор данных больше похоже, а не на нормальный эвент.
netfilter.png
Doctor Web, Ltd.
#9
Отправлено 06 Февраль 2020 - 19:11
Погоняли тут, похоже баг виндового event viewer-а в некоторых случаях теряет/корежит часть инфы из импортированных отчетов, причем только у нетфильтра. Странно
#10
Отправлено 06 Февраль 2020 - 19:14
ничего он не корежит, без модуля отображаются только данные, так устроен формат событий. аркапи же что бы не страдать потом формирует все сообщение сам, т.е. все есть данные.
Doctor Web, Ltd.
#11
Отправлено 06 Февраль 2020 - 19:17
ничего он не корежит, без модуля отображаются только данные, так устроен формат событий. аркапи же что бы не страдать потом формирует все сообщение сам, т.е. все есть данные.
Понятно. Надо в нетфильтре поддержать трюк, а то там есть вообще пустые события, неочевидно.
Сообщение было изменено RomaNNN: 06 Февраль 2020 - 19:18
#12
Отправлено 07 Февраль 2020 - 19:35
Что делать, ждать обновления?
#13
Отправлено 07 Февраль 2020 - 19:48
Что делать, ждать обновления?
Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а. Это снизит общий уровень защиты, но эти всплески должны уйти. Мы в процессе фикса.
#14
Отправлено 07 Февраль 2020 - 19:53
Что делать, ждать обновления?
Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а.
Разве это уведомление не от превентивки? Ассоциации вроде она контролирует.
#15
Отправлено 07 Февраль 2020 - 19:55
Кстати: серийный номер лицензии по умолчанию отображается в отчёте?
#16
Отправлено 07 Февраль 2020 - 19:56
Кстати: серийный номер лицензии по умолчанию отображается в отчёте?
Нет. Только номер ключа.
#17
Отправлено 07 Февраль 2020 - 19:59
Разве это уведомление не от превентивки? Ассоциации вроде она контролирует.Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а.Что делать, ждать обновления?
Тьфу, тему перепутал, тут про превентивку. В голове держу баг с тем что мы фильм зажевали в память
Тут можно пока настроить превентивку на точечный уровень защиты для этого бинаря, где разрешить ему менять ассоциации.
#18
Отправлено 07 Февраль 2020 - 21:00
по мне так правильный хипс детект, нефиг ему там делать
Doctor Web, Ltd.
#19
Отправлено 07 Февраль 2020 - 21:35
по мне так правильный хипс детект, нефиг ему там делать
Игра старая, тогда еще никаких хипсов не было. Может она какие то свои файлы с собой связывает. Только делает это при каждом запуске, не проверяя, что ассоциация уже есть.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых