Не знал об этом . Это портал разработчиков (наверное )

Скорее всего новый багтрекер, взамен старому.

Нет.

А что тогда?

На странице есть описание.

Кайф, наконец-то!

Сервис с длинной историей, огромным количеством составляющих (сбор информации, хранение, индексация, отображение и систематизация, а самое главное умный разбор данных) и кучей переделок по доводке этого всего в юзабельном виде (не говоря уже о 1 версии которую хорошо что никто не увидел ). Чего стоит только скриптинг FixIt! тулзы, чтобы было одновременно понятно любому оператору и набор хватало для лечения реальных сценариев заражения. В общем респект всем причастным, души и сил тут не счесть.

Хоть бы скринов в новость вставили, а то какие-то обрывки в справке.

Обновляйтесь, должно пройти.

Детекты defender-а по активным в системе объектам затрагивают лишь кряки, активаторы, utorrent, CheatEngine, в общем все то что осознанно запускается в руками. Детекты Ramit-а и бекдоров есть в "_E:\Notebook\All\*", но это неактивные тушки, похоже на скопированные с другой системы файлы. Ramnit это вообще файловый вирус и если бы он активничал в системе, были бы сотни детектов.

Собственно, MsMpEng.exe это процесс дефендера, возможно его скан по расписанию и будит диски. Попробуйте поиграться с его настройками сканирования по расписанию.

Соберите отчет этой утилитой: https://drw.sh/supwze

skapunker, главное на что опираются Chromium браузеры - это наличие корректной записи о расширении в своем конфиге. Если повредить/изменить запись, браузер его выпилит и сам зачистит все следы расширения ото всюду. Но только если это не онлайн аккаунт, тогда запись восстанавливается из облака.

Если трогать файлы/реестр без конфига, то расширение также восстанавливается с любым типом аккаунта.

Если штатно удалить расширение из интерфейса, то все зачистится полностью в любом случае.

И зачем тогда бета, если самое интересное проходит мимо?

Дело не в бете, а в специфике технологии. Ее нет смысла запускать всегда на регулярный скан, это скорее тяжелая актиллерия для лечения. Формат утилиты CureIt для нее больше подходит ибо разовый запуск, можно посильнее вгрызться в систему, посканить и выковырять буткиты.

В полном АВ ее активация тоже предполагается, но только в случаях когда есть признаки заражения.

 

Только вот к "качеству кода" это не имеет никакого отношения

Про качество кода это я написал из-за бага с фурмарком, а не по поводу этого окошка.  Отписал этот баг в техподдержку, но раньше вроде трекер был bugs.drweb.ru, сейчас его уже нет? Тогда откуда баг-репорты принимаются?

 

bugs.drweb.com

Соберите отчет этой утилитой: https://drw.sh/jkzdnu

до недавнего времени проблем не было, даже в исключения добавлять не требовалось

До недавнего времени был баг в продуктах и соответствующий эвристик малвари не работал, пофиксили в arkapi 12.6, который вышел недавно.

Майнер юзает известный уязвимый подписанный драйвер для доступа к ядру, что характерно для малвари.

2021-Jun-09 17:44:28.314788 [ 5700] [INF] [arkdll] [4636]

id: 23623, timestamp: 17:43:43.336, type: ServiceStart (58), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 816/6740:\Device\HarddiskVolume2\Windows\System32\services.exe
behaviour: create_service, drop_executable, modify_executable
  request by: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988
  fileinfo: size: 3383296, easize: 40, attr: 0x820, buildtime: 31.05.2021 08:54:06.000, ctime: 31.05.2021 15:10:53.000, atime: 09.06.2021 17:43:32.893, mtime: 31.05.2021 15:10:53.000, descr: , ver: , company: , oname:
  file sha1: 538517570633101313678d599c5f9bc070b118e0
  file sha256: faca05b104ce7e7022ec79c3c0dde4a61f120583436647e00b766fd4bec80081
  status: unsigned, pe32, new_pe, dot_net / unsigned / unknown / unknown / unknown
  svc name: WinRing0_1_2_0, wow64: 0
  hips: type: 3, action: allow [2]
  svc command: \??\C:\NHML\OpenHardwareMonitorLib.sys
  cmd:
resolved path: C:\NHML\OpenHardwareMonitorLib.sys, status: db_cert_white_list, signed, pe64, driver (600204)
  fileinfo: size: 14544, easize: 40, attr: 0x820, buildtime: 26.07.2008 16:29:37.000, ctime: 31.05.2021 15:11:45.000, atime: 09.06.2021 17:43:41.245, mtime: 09.06.2021 17:43:41.245, descr: WinRing0, ver: 1.2.0.5, company: OpenLibSys.org, oname: WinRing0.sys
  signer: C=JP|CN=Noriyuki MIYAZAKI, timestamp: 26.07.2008 16:30:38.000, thumbprint: cda98ac4019456095593902e4b4a87ac283ed54a
  file sha1: d25340ae8e92a6d29f599fef426a2bc1b5217299
  file sha256: 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5
  status: db_cert_white_list, signed, pe64, driver / signed / unknown / unknown / white
path: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> denied access to file
process: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988 ==> suspended all threads in process
path: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988 ==> terminated
disinfect: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe
threat: DPH:Trojan.SoftLoader ==> sended user virus found alert
path: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> denied access to file
path: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> quarantined
disinfect: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> quarantined [8]
threat: DPH:Trojan.SoftLoader ==> sended user virus found alert
id: 23623 ==> denied [5], time: 44976.028800 ms

Исключения не поддержаны, сделаем.

Включить службу для не спеца Возможно? Что то подключить и кликать дальше дальше... Или надо искать спеца?

Как называется "служба", где ее искать?

В консоли от админа выполнить "sc start wuauserv"

Здравствуйте.
Прошло 4 месяца. Восстанавливал виндовс. Снова стали появляться сообщения - 1, но сама программа пишет, что обновления идут штатно - 4.
Чему верить?
Теперь установить обновления SHA-256 по вашей инструкции не получается - 3
Будут ли рекомендации для такого случая?

Дык включите службу, она небось выключена у Вас специально.

Т.е. предполагаешь, что винда ставилась с говносборки?

Просто так она не отключается, вариантов немного: или что-то сломано (неудачное восстановление, порча службы, малварь иногда портит), или твики в кастомной сборке винды, или твики вручную в системе. Хрустальный шар конкретнее не говорит.

Здравствуйте.

Прошло 4 месяца. Восстанавливал виндовс. Снова стали появляться сообщения - 1, но сама программа пишет, что обновления идут штатно - 4.

Чему верить?

Теперь установить обновления SHA-256 по вашей инструкции не получается - 3

Будут ли рекомендации для такого случая?

Дык включите службу, она небось выключена у Вас специально.

Можно ли добавить в окно ручного выбора файлов/каталогов для проверки горизонтальную полосу прокрутки? Поскольку, если вложенный объект находится далеко, то его не достать.

Таки пофиксили, в свежем куреите есть скролл.

Ничего явно малварного в отчете не вижу, только активаторы во всей красе. Обновляйте систему и проверяйте.

В ЛС.

Кстати ссылка на  DrWeb SysInfo  не работает.

Теперь ничего с people.drweb.com не раздается.

Dmitry Shutov, https://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe Или это не оно?

Нет, это другая версия. Ссылку в личку отправил.

А нет, не была. ЛС залочен, Вам нужно еще 2 сообщения оставить тут чтобы он открылся.

в ЛС была отправлена ссылка на утилиту, просьба собрать с ней отчет. выложить его куда-нибудь на файлобменник и прислать ссылку также в ЛС или сюда.

Сейчас вышло мажорное обновление компонентов антивируса, просьба обновиться, перезагрузиться и посмотреть поменялось ли что-то. Если нет, то нужны 2 procmon лога: с успешного подключения и неуспешного. Ну и свежий отчет антивируса после сбора логов procmon-а.

Само по себе расшерение функционала относительно текущего Security Space - совсем не плохая идея, но пункты из 1 это явно дичь - ручные твикеры общего назначения никак не относятся к АВ. Хочется "пролечить" ОС от телеметрии, скрыть какие-то следы - пожалуйста, только не через АВ, все на свой страх и риск. Даже если представить, что кто-то массово этим начнет пользоваться, то огребать потом от MS или эффектов которые появятся после твиков - нет уж, извольте.

 

Попробуйте (в качестве эксперимента) внести в исключения SpIDer Mail и SpIDer Gate

C:\Windows\System32\spoolsv.exe

Просто отключила  SpIDer Mail и SpIDer Gate - не грузится. Отключила всё в " ФАЙЛЫ И СЕТИ" - то же самое.

 

А если после отключения всех компонентов в "Файлы и сети" начать по однму выключать компоненты в "Превентивная защита", при отключении какого пункта прибор начинает подключаться? Не может быть такого что все вместе мешают, но по отдельности все пункты не влияют.

никогда горизонтальных скролов не было.

И что же теперь, выборочно не проверить?

Это окно resizable, можно его растянуть по горизонтали.

Не можно, а нужно. Какой-то баг.

Тема закрыта.