Перейти к содержимому


Фото
- - - - -

Предупреждение при запуске игры Unreal Tournament 2004


  • Please log in to reply
18 ответов в этой теме

#1 Smart_D15

Smart_D15

    Member

  • Posters
  • 252 Сообщений:

Отправлено 06 Февраль 2020 - 03:10

Наблюдается примерно на 3:03:50. Что это за срабатывание?

Прикрепленные файлы:



#2 Lvenok

Lvenok

    Poster

  • Posters
  • 1 962 Сообщений:

Отправлено 06 Февраль 2020 - 09:46

Указанный процесс пытается сменить ассоциации исполняемых файлов. Процесс не доверенный и соотв получил отлуп.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 257 Сообщений:

Отправлено 06 Февраль 2020 - 18:12

Внезапно, игре это совершенно не тоебуется. Это странное поведение. Найдите это событие в системном журнале ОС в разделе Doctor Web и покажите его целиком тут плиз.
Упс, отчёт то я не заметил. Глянем как доберусь.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 823 Сообщений:

Отправлено 06 Февраль 2020 - 18:14

Лишнего себе бинарь позволяет, но не малварь :)

2020-Feb-05 19:43:21.415836 [ 2024] [INF] [arkdll] [3060]

id: 15736, timestamp: 19:43:21.414, type: RegCreateKey (9), flags: 1 (wait: 1)
sid: S-1-5-21-3158513953-1941690519-1658690300-1000, cid: 3808/6592:\Device\HarddiskVolume2\UT2004\System\UT2004.exe
context: start addr: 0x109fede2, image: 0x10900000:\Device\HarddiskVolume2\UT2004\System\UT2004.exe
  hips: type: 9, action: deny [5]
  cmd: "C:\UT2004\System\UT2004.exe"
  fileinfo: size: 2001528, easize: 39, attr: 0x80, buildtime: 03.03.2004 10:54:05.000, ctime: 05.02.2020 19:39:58.129, atime: 05.02.2020 19:39:58.129, mtime: 05.02.2020 19:39:58.138, descr: , ver: , company: , oname:
  file sha1: a7eea17b53b47088923bb68689decbac9a38c311
  file sha256: d92e0ba9aa93f68ce274a042b4944a8047884bb29ed58d32e49b6e1eed03075c
  status: pe32, new_pe / cert_not_found / unknown / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\shellex\ContextMenuHandlers\CmdLineExt, access: 0x0
send user blocked alert
id: 15736 ==> denied [5], time: 0.743163 ms

 


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 257 Сообщений:

Отправлено 06 Февраль 2020 - 18:16

Пиратка, бинарь патченный
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 257 Сообщений:

Отправлено 06 Февраль 2020 - 18:17

Маловато инфы, давно эти события не улучшал, надо перевести на новую модель как со стартапами с анализом контента.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 823 Сообщений:

Отправлено 06 Февраль 2020 - 18:21

мда, чет на какой-то рандомный набор данных больше похоже, а не на нормальный эвент.

 

Прикрепленный файл  netfilter.png   28,45К   1 Скачано раз


Сообщение было изменено RomaNNN: 06 Февраль 2020 - 23:20

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 257 Сообщений:

Отправлено 06 Февраль 2020 - 19:09

мда, чет на какой-то рандобный набор данных больше похоже, а не на нормальный эвент.
 
attachicon.gifnetfilter.png

потому что у тебя нет модуля, строки в нем. это старый сисинфо он не архивирует записи чтобы отображалось и без модуля в системе.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#9 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 823 Сообщений:

Отправлено 06 Февраль 2020 - 19:11

мда, чет на какой-то рандобный набор данных больше похоже, а не на нормальный эвент.

 

attachicon.gifnetfilter.png

Погоняли тут, похоже баг виндового event viewer-а в некоторых случаях теряет/корежит часть инфы из импортированных отчетов, причем только у нетфильтра. Странно :huh:


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#10 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 257 Сообщений:

Отправлено 06 Февраль 2020 - 19:14

ничего он не корежит, без модуля отображаются только данные, так устроен формат событий. аркапи же что бы не страдать потом формирует все сообщение сам, т.е. все есть данные.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#11 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 823 Сообщений:

Отправлено 06 Февраль 2020 - 19:17

ничего он не корежит, без модуля отображаются только данные, так устроен формат событий. аркапи же что бы не страдать потом формирует все сообщение сам, т.е. все есть данные.

Понятно. Надо в нетфильтре поддержать трюк, а то там есть вообще пустые события, неочевидно.


Сообщение было изменено RomaNNN: 06 Февраль 2020 - 19:18

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 Smart_D15

Smart_D15

    Member

  • Posters
  • 252 Сообщений:

Отправлено 07 Февраль 2020 - 19:35

Что делать, ждать обновления?



#13 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 823 Сообщений:

Отправлено 07 Февраль 2020 - 19:48

Что делать, ждать обновления?

Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а. Это снизит общий уровень защиты, но эти всплески должны уйти. Мы в процессе фикса.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#14 SergSG

SergSG

    The Master

  • Posters
  • 12 616 Сообщений:

Отправлено 07 Февраль 2020 - 19:53

 

Что делать, ждать обновления?

Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а. 

Разве это уведомление не от превентивки? Ассоциации вроде она контролирует.



#15 Smart_D15

Smart_D15

    Member

  • Posters
  • 252 Сообщений:

Отправлено 07 Февраль 2020 - 19:55

Кстати: серийный номер лицензии по умолчанию отображается в отчёте?



#16 SergSG

SergSG

    The Master

  • Posters
  • 12 616 Сообщений:

Отправлено 07 Февраль 2020 - 19:56

Кстати: серийный номер лицензии по умолчанию отображается в отчёте?

Нет. Только номер ключа.



#17 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 823 Сообщений:

Отправлено 07 Февраль 2020 - 19:59

Что делать, ждать обновления?

Если сильно достает, можете временно отключить проверку руткитов в настройках Guard-а.
Разве это уведомление не от превентивки? Ассоциации вроде она контролирует.

Тьфу, тему перепутал, тут про превентивку. В голове держу баг с тем что мы фильм зажевали в память :)
 
Тут можно пока настроить превентивку на точечный уровень защиты для этого бинаря, где разрешить ему менять ассоциации.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 257 Сообщений:

Отправлено 07 Февраль 2020 - 21:00

по мне так правильный хипс детект, нефиг ему там делать


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 SergSG

SergSG

    The Master

  • Posters
  • 12 616 Сообщений:

Отправлено 07 Февраль 2020 - 21:35

по мне так правильный хипс детект, нефиг ему там делать

Игра старая, тогда еще никаких хипсов не было. Может она какие то свои файлы с собой связывает. Только делает это при каждом запуске, не проверяя, что ассоциация уже есть.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых