Тест Выявление ПО, несовместимого с SnS SysWatch, проверка и корректировка

Тема в разделе "Тестирование ПО", создана пользователем SNS-amigo, 22 июл 2013.

Статус темы:
Закрыта.
  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Открытая тема для сбора данных по НЕсовместимым или блокируемым программам.

    Критерии проверки НЕсовместимости простые:
    - НЕвозможность установки и работы программы;
    - НЕвозможность запуска программы после установки;
    - НЕкорректная установка и работа плагинов (если есть);
    - НЕкорректные процессы обновления;
    - ошибки в работе НЕсовместимой программы и её отдельных модулей.

    Что нужно указать и собирать?
    - название и версию программы;
    - URL-адрес, с которого загружали или офиц. сайт;
    - сохраняйте скриншоты ошибок, алертов и пр. пр.
    - не удаляйте логи SafenSoft, чтобы предоставить их по запросу.
     
    Kиpилл нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Прошу сообщать также:

    - о тех программах, установка/запуск/работа которых невозможны, т.к. блокируются SysWatch;
    - о тех программах, установка/запуск/работа которых возможны только в режиме глобальной установки.

    Эти программы должны быть выпущены не ранее 2012-го года, а лучше даже более новые.

    Будем изучать все подобные случаи.
     
    Kиpилл нравится это.
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    В этой версии по умолчанию неизвестные приложения блокируются. В результате большое количество программ блокируются.
    Приходится либо отключать защиту, либо переключаться в режим глобальной инсталляции. Что не очень хорошо.
    Почему бы не использовать по умолчанию режим установки после проверки?

    SysWath.png
    Самый оптимальный режим для домашнего пользователя.
    Что даёт ограниченный режим ???

    permission.png
    permission-denied.png
    С настройками по умолчанию многие программы просто блокируются. (оповещения только включены).

    default.png
    default1.png
     
    Последнее редактирование модератором: 18 мар 2014
    SNS-amigo и Kиpилл нравится это.
  4. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    adw.png
    adw-deny.png
    pavcl.png <-тут автообработка. Агент мэйл установился без вопросов. EMSI-kit.png
    Запустился в режиме установки, при ручном реагировании на инциденты.

    zoek-no.png
    Режим ограничения не работает ?!
    CureIt-.png
    CureIt-no.png
     
    SNS-amigo и Kиpилл нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    tdskiller - я увидел
    adwcleaner - я увидел
    emsisoft EK - я увидел
    scanner DrWeb - я увидел, но что это? CureIt?
    zoek.exe - что это?
     
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Как и сказал выше, все лечилки-сопелки-хотелки нет смысла устанавливать.
    Только сертифицированное защитное ПО от известных производителей антивирусного ПО.

    Сейчас буду проверять все по порядку.
     
  7. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Вы не об этом ?:cautious:
    Код (Text):
    restore;|C_Users_DoctorWeb_AppData_Roaming_sns|C:\Users\DoctorWeb\AppData\Roaming\sns
    restore;|C_Windows_System32_SET6A62.tmp.vir|C:\Windows\System32\SET6A62.tmp
    restore;|C_Windows_System32_SET8528.tmp.vir|C:\Windows\System32\SET8528.tmp
    restore;|C_Windows_System32_SET9F32.tmp.vir|C:\Windows\System32\SET9F32.tmp
     
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Нет, конечно, у нас нет таких файлов и не будет. :whistle:

    AppData\Roaming\sns ??? Что за восстановление?
    Счас уже сам проверю.
     
  9. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    это zoek взял на карантин.
    Код (Text):
    ==== Deleting Files \ Folders ======================

    C:\Windows\System32\SET6A62.tmp deleted
    C:\Windows\System32\SET8528.tmp deleted
    C:\Windows\System32\SET9F32.tmp deleted
    "C:\Users\DoctorWeb\AppData\Roaming\sns" deleted
    Ну и может восстановить.
     
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Кто это? А уж спрашивал выше.
     
  11. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Да это лечилка.. хелперская. Похожа на combofix hijackthis.nl/smeenk
     
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Я прогнал почти все эти программы на XP Mode Virtual PC (чтобы не засорять тестовую систему мусором) - каспера, доктора, мбамбу и лишний раз убедился в том, что сейчас написал в краткой инструкции в посте №5. Некоторые из них, например, KVRT устанавливаются и работают без ГРИ, но остальным он нужен, т.к. они протягивают свои длиннючие руки туда, куда доступ закрыт нашей защитой, потому...

    Не вижу никакого смысла в использовании утилит, предназначенных для кюринга и фиксинга системы, когда в системе уже стоит SafenSoft Syswatch.
    Если кто-то из нас хочет таким образом убедиться в присутствии или отсутствии вредоносов в системе, то его знания и умения далеко неполны.
    Чтобы самому выстроить защиту и добиться от неё необходимого уровня стабильности и непробиваемости, сначала нужно понять принципы и технологии SafenSoft SysWatch.

    Скриншоты тоже наделал и посмеялся над дурошлёпским переводом МБАМбы на русский язык. :D:ROFLMAO::D Посмотрите и посмейтесь тоже, что они там напереводили.

    Зуйка запустил прямо в активной 7-ке. М-да, браузер IE сказал о нем то, что я и предполагал. Неподписанный и несертифицированный самопал не приветствуется. Блокировался и будет блокироваться всем, начиная от IE и кончая комплексными средствами антивирусной защиты.
    --- Объединённое сообщение, 18 мар 2014, Дата первоначального сообщения: 18 мар 2014 ---
    В очередной раз поражаюсь тому, как продуты ЛК демонстрируют неуважение к пользователю. Открыто заявляют о том, что они будут собирать о пользователе всю подноготную, вплоть до всех его предпочтений, а также после того как он загрузил только что новую версию, предлагают загрузить еще более новую, большего размера, как будто у всех безлимитный тарифный план и скорость 1000 м/с. Отвратно... (n)
     

    Вложения:

  13. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    С настройками по умолчанию IE 10 загружает зуйка в zip и rar, exe вообще не загружает.
    Для чего тогда V.I.P.O. ? (то есть ограниченный режим)
    1. Запуск неизвестного приложения >>>
    - Запуск в режиме установки:
    Приложение выполняется, при этом все модули приложения попадают в доверенную зону.
    - Запуск в ограниченной среде:
    Приложение выполняется в изолированной среде ("песочнице") без назначения учётной записи либо под учётной записью пользователя «V.I.P.O.» с ограниченными правами. Приложение может загружать дополнительные модули, не вошедшие в профиль системы. Даже если такое приложение является вредоносным и выполнит установку каких-либо дополнительных компонентов в системе, все они могут выполняться только до перезагрузки ОС, поскольку они не включены в профиль системы и их последующая загрузка будет предотвращена.
    - Запрет запуска (по умолчанию):
    Запуск приложения полностью блокируется.
    vipo.png
    Код (Text):
    18.03.2014 22:05:06        >>>>>>>>>>     ERROR: WARNING: [NON-RETAIL WARNING]: AccessControl::Initialize() - default ACL is empty.

    18.03.2014 22:05:06        >>>>>>>>>>     ERROR: ERROR: ProcessEntity::wl_Attach() - Unable to obtain the process handle.

    18.03.2014 22:06:12        >>>>>>>>>>     ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.
    Он не работает..
     
    Последнее редактирование: 18 мар 2014
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Phoenix, опять же путаница с названиями и понятиями. Да, понимаю, трудно после привычного пользовательского режима работы на ПК, когда всем управляет антивирус и говорит, что есть хорошо, и что есть плохо, т.е. диктует свои правила, или когда это делают узкоспециальные утилиты, начать брать власть в свои руки. :)

    А вроде бы все написано...
    Приложение выполняется в изолированной среде ("песочнице") без назначения учётной записи либо под учётной записью пользователя «V.I.P.O.» с ограниченными правами.
    Чтобы стать полноправным владельцем и задать ограниченного пользователя на приложение, в данном случае IE, надо, применив технологию VIPO, защитить его от манипуляций извне и предотвратить использование его уязвимостей вредоносными программами. А вы это сделали? Нет, конечно. А ведь это все есть в справке. Что ж, завтра постараюсь написать, если будет время.
     
  15. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    Код (Text):

    19.03.2014 1:33:08    Запуск известного приложения.

                Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\WINCONT.EXE PID: 2564 Процесс родитель: SAFENSEC.EXE PPID: 1944

                Командная строка:  -mode:alert "-name:I:\VIRUSES\SAMPLES-DRWEB8\693.EXE" -acet:12 -acnt:0 "-adst:I:\VIRUSES\SAMPLES-DRWEB8\693.EXE" -adcn:2 -time:300

                Пользователь: DoctorWeb-PC\sns

                Зона: Доверенные.

                Статус: Разрешен.
    19.03.2014 1:33:14    Запуск известного приложения.

                Процесс: C:\PROGRAM FILES\SNS SOFT\SAFE'N'SEC CLIENT\RUNASEX.EXE PID: 2188 Процесс родитель: SAFENSEC.EXE PPID: 1944

                Командная строка: "C:\Program Files\SnS Soft\Safe'n'Sec Client\RunAsEx.exe" "V.I.P.O ®" "0651-CC351640" 13211587838060 "I:\VIRUSES\SAMPLES-DRWEB8\693.EXE" "I:\VIRUSES\SAMPLES-drweb8\693.exe"

                Пользователь: DoctorWeb-PC\sns

                Зона: Доверенные.

                Статус: Разрешен.
    19.03.2014 1:35:41    Запуск неизвестного инсталлятора без ЦП.

                Процесс: I:\VIRUSES\SAMPLES-DRWEB8\693.EXE PID: 1772 Процесс родитель: EXPLORER.EXE PPID: 1924

                Командная строка: "I:\VIRUSES\SAMPLES-drweb8\693.exe"

                Пользователь: V.I.P.O ®

                Зона: По умолчанию.

                Статус: Запрещен.
    Ну вот из ограниченной учётки запуск вируса. Вроде так..
    На самом деле не вирус :unsure:
    --- Объединённое сообщение, 19 мар 2014, Дата первоначального сообщения: 18 мар 2014 ---
    SNS-amigo, если есть желание проверь пожалуйста http://www.cloudantivirus.com/ru/ - два раза ставил, они не совместимы по моему. Зависает ПК.
     
    Последнее редактирование: 19 мар 2014
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Всё прекрасно работает. Иначе и не могло быть. Panda, как и DrWeb, BD, ЛК - давние партнеры SafenSoft по совместным решениям в прошлом. Уж наверное по привычке их изначально проверяют. :D
    Перезагрузка, сканирование (Панда нашла два куки-файла, да это крутой детект!), обновление, удаление. Скриншоты во вложении.
     

    Вложения:

  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Я не вижу запуска самого файла, не вижу, что он мог или не мог сделать в системе или реестре.
    Под у/з VIPO он запускается в назначенной ему зоне, это всего лишь имитация запуска.
    Да и фраза "Запуск известного приложения" неспроста.
     
  18. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    693.png 693taskmgr.png 693taskmgr-vipo.png 693-block.png
     
    SNS-amigo нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Phoenix, издатель - Microsoft.
    Кто-то считает его вирусом? По каким критериям?
    В трее не вижу нашего значка. a2 EAM его амкнул?
    Файлик надо бы мне на просмотр. Счас уезжаю. До вечера.
     
  20. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.857
    Симпатии:
    1.842
    https://www.virustotal.com/ru/file/...a14d76df3208a521f06aaf34/analysis/1395180037/ - никто. это msn модуль от xp, вероятно пролеченный.
    В процессах есть snsods и safensec, snsmcon надо с ярлыка запускать.
     

    Вложения:

    • 693.zip
      Размер файла:
      31,9 КБ
      Просмотров:
      1
Статус темы:
Закрыта.

Поделиться этой страницей