3 ответов в этой теме

[vladimir_murm]

На настройках по умолчанию.

 

 

Перезагрузка, попытались трояны пролезть.

 

Но права на папки и Uac запуск, похерились до перезагрузки

 

 

Подлечил диспетчер, восстановил реестр.

 

 

 

Проверил KVRT

 

Сделал откат точки, перевёл превентивку доктора в "параноидальный".

 

После этого стопорит при запуске батника на этапе перезагрузки, если отказываемся, всё хорошо, если разрешаем, всё как выше.

 

 

 

Прислал вам в лабу,  SHA256: 1f53a86550a5a93862b0e58529fe76c49aee8588524479fb90158d2b28d10dfd

 

 

Товарищи, разработчики, можно в "оптимальный режим" превентивки, добавить защиту текущих прав/и политик, и при попытке покоцать UAC блокировать это, что бы ещё не известный лабе троян или скрипт, с схожим функционалом не смог отключить Uac/сделать самостоятельно перезагрузку без моего ведома, да же стандартными средствами ос, если я инициировал в скрипте сам.

Печально что тут не отработал на 100%, как надо, на настройках по умолчанию. 

 

Сэмпл я прислал и контрольку выложил, думаю можно что-то придумать.   Комплексный продукт должен стопорить такие вещи.

Сообщение было изменено vladimir_murm: 13 Октябрь 2025 - 22:09

[Smart_D15]

Подлечил диспетчер, восстановил реестр.

У меня это не получилось сделать. Сканер при первом сканировании тоже нашёл 3 угрозы, но смог обезвредить только 2. При повторном сканировании ничего не нашёл. И я не понял, как дальше восстанавливать ОС, т. к. после этого права для папок и вход в системные настройки, включая перезагрузку, не восстановились.

[vladimir_murm]

У меня это не получилось сделать. Сканер при первом сканировании тоже нашёл 3 угрозы, но смог обезвредить только 2. При повторном сканировании ничего не нашёл. И я не понял, как дальше восстанавливать ОС, т. к. после этого права для папок и вход в системные настройки, включая перезагрузку, не восстановились.

 

Восстановил с точки отката - флешки, т.к продукт по умолчанию "пропускает, и Ос всё равно получила урон" и залочилась. В любом случае, потом после такого, всё равно делаю Secure Erase на диске с удалением EFI и ставлю заново - т.к гарантий без изучения ос и её слепка - нет никаких, а сама Ос на которой запускаю, с  обновленным и подписанным UEFI 2023 загрузчиком + в UEFI включён Secureboot с обновлённым .dbx , дабы ничего более печального не вышло.   

 Проблема в другом,  если превентивку переключить в "параноидальный" и запустить скрипт , нажать блокировать на запрос, скрипт всё равно успевает рестарт сделать, и убирает настройку UAC  -выключает его (запросы на запуск приложений). Это конечно можно вручную вернуть и не является деструктивным, но потенциально не желательным действием или потенциально опасным, что может упростить запуск чего либо после перезагрузки.

Но на мой взгляд, можно подумать как защищать UAC, от попытки его выключить на настройках по умолчанию, либо добавить в продукт с обновлением баз, новый профиль лечения, который бы откатывал действия этого батника.  Либо какая то другая система отката повреждений или логика обработки таких батников.  Что бы такого не происходило. А то формально в "параноидальном" режиме Доктор справился, но не на 100%.

Сообщение было изменено vladimir_murm: 14 Октябрь 2025 - 07:51

[vladimir_murm]

 

Всё, "тушканчика" "прибили"  . 

 

Спасибо вирлабе за оперативность!