18 Antworten zu diesem Thema

[Smart_D15]

Наблюдается примерно на 3:03:50. Что это за срабатывание?

Angehängte Bilder

•  Снимокrdw.JPG   21,76K   0 Anzahl Downloads
•  AA_Миша_06022020_030843.zip   17,89MB   6 Anzahl Downloads

[Lvenok]

Указанный процесс пытается сменить ассоциации исполняемых файлов. Процесс не доверенный и соотв получил отлуп.

[Konstantin Yudin]

Внезапно, игре это совершенно не тоебуется. Это странное поведение. Найдите это событие в системном журнале ОС в разделе Doctor Web и покажите его целиком тут плиз.
Упс, отчёт то я не заметил. Глянем как доберусь.

[RomaNNN]

Лишнего себе бинарь позволяет, но не малварь

2020-Feb-05 19:43:21.415836 [ 2024] [INF] [arkdll] [3060]

id: 15736, timestamp: 19:43:21.414, type: RegCreateKey (9), flags: 1 (wait: 1)
sid: S-1-5-21-3158513953-1941690519-1658690300-1000, cid: 3808/6592:\Device\HarddiskVolume2\UT2004\System\UT2004.exe
context: start addr: 0x109fede2, image: 0x10900000:\Device\HarddiskVolume2\UT2004\System\UT2004.exe
  hips: type: 9, action: deny [5]
  cmd: "C:\UT2004\System\UT2004.exe"
  fileinfo: size: 2001528, easize: 39, attr: 0x80, buildtime: 03.03.2004 10:54:05.000, ctime: 05.02.2020 19:39:58.129, atime: 05.02.2020 19:39:58.129, mtime: 05.02.2020 19:39:58.138, descr: , ver: , company: , oname:
  file sha1: a7eea17b53b47088923bb68689decbac9a38c311
  file sha256: d92e0ba9aa93f68ce274a042b4944a8047884bb29ed58d32e49b6e1eed03075c
  status: pe32, new_pe / cert_not_found / unknown / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\shellex\ContextMenuHandlers\CmdLineExt, access: 0x0
send user blocked alert
id: 15736 ==> denied [5], time: 0.743163 ms

 

[Konstantin Yudin]

Пиратка, бинарь патченный

[Konstantin Yudin]

Маловато инфы, давно эти события не улучшал, надо перевести на новую модель как со стартапами с анализом контента.

[RomaNNN]

мда, чет на какой-то рандомный набор данных больше похоже, а не на нормальный эвент.

 

 netfilter.png   28,45K   3 Anzahl Downloads

Bearbeitet von RomaNNN, 06 Februar 2020 - 23:20,

[Konstantin Yudin]

мда, чет на какой-то рандобный набор данных больше похоже, а не на нормальный эвент.
 
netfilter.png

потому что у тебя нет модуля, строки в нем. это старый сисинфо он не архивирует записи чтобы отображалось и без модуля в системе.

[RomaNNN]

мда, чет на какой-то рандобный набор данных больше похоже, а не на нормальный эвент.

 

netfilter.png

Погоняли тут, похоже баг виндового event viewer-а в некоторых случаях теряет/корежит часть инфы из импортированных отчетов, причем только у нетфильтра. Странно

[Konstantin Yudin]

ничего он не корежит, без модуля отображаются только данные, так устроен формат событий. аркапи же что бы не страдать потом формирует все сообщение сам, т.е. все есть данные.

[RomaNNN]

ничего он не корежит, без модуля отображаются только данные, так устроен формат событий. аркапи же что бы не страдать потом формирует все сообщение сам, т.е. все есть данные.

Понятно. Надо в нетфильтре поддержать трюк, а то там есть вообще пустые события, неочевидно.

Bearbeitet von RomaNNN, 06 Februar 2020 - 19:18,

[Smart_D15]

Что делать, ждать обновления?

[RomaNNN]

Что делать, ждать обновления?

Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а. Это снизит общий уровень защиты, но эти всплески должны уйти. Мы в процессе фикса.

[SergSG]

 

Что делать, ждать обновления?

Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а. 

Разве это уведомление не от превентивки? Ассоциации вроде она контролирует.

[Smart_D15]

Кстати: серийный номер лицензии по умолчанию отображается в отчёте?

[SergSG]

Кстати: серийный номер лицензии по умолчанию отображается в отчёте?

Нет. Только номер ключа.

[RomaNNN]

Что делать, ждать обновления?

Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а.

Разве это уведомление не от превентивки? Ассоциации вроде она контролирует.

Тьфу, тему перепутал, тут про превентивку. В голове держу баг с тем что мы фильм зажевали в память
 
Тут можно пока настроить превентивку на точечный уровень защиты для этого бинаря, где разрешить ему менять ассоциации.

[Konstantin Yudin]

по мне так правильный хипс детект, нефиг ему там делать

[SergSG]

по мне так правильный хипс детект, нефиг ему там делать

Игра старая, тогда еще никаких хипсов не было. Может она какие то свои файлы с собой связывает. Только делает это при каждом запуске, не проверяя, что ассоциация уже есть.