Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 53 54 55 56 57 ... 167 След.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 25.03.2012 22:12:45
Вчера обсуждалась возможность поиска в реестре.
А, что, если искать в реестре не по имени, а по пути.

%SystemRoot%\APPPATCH\NUINICY.EXE
%SystemDrive%\SYSTEMHOST\24FC2AE3DDB.EXE

В приведённом примере это "значение содержит": APPPATCH ; SYSTEMHOST
т.е. Не просто поиск, а добавление найденных объектов в категорию "Добавлены вручную" = Образ.
В uVS закладывается поисковый алгоритм и осуществляется поиск.
Это будет на порядок быстрее.

Мнение ?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 25.03.2012 22:15:21
Например есть проверка Winlogon - Userinit.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 25.03.2012 22:38:05
Цитата
RP55 RP55 пишет:
%SystemDrive%\SYSTEMHOST\24FC2AE3DDB.EXE
новые модификации Spy.Eye сидят в произвольной папке корня диска. SYSTEMHOST становится не актуальным
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.03.2012 05:44:57
Цитата
RP55 RP55 пишет:
Мнение ?
RP55, думаю, надо отталкиваться от другой мысли. Какие из актуальных зловредов не попадают в образ автозапуска, или не могут быть удалены в разных режимах работы: в активном режиме, из под Live.CD, в безопасном режиме.
-------
проводить исследования, и находить зацепки и закономерности.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.03.2012 09:40:04
маячок в восьмерке
Цитата
uVS v3.74: Windows 8 Consumer Preview x86 (NT v6.2) build 8250 [C:\WINDOWS]
http://pchelpforum.ru/f26/t92063/
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 26.03.2012 23:22:49
Как лечить это? :D
Взял пару свежих экземпляров. Что интересно - если запустить Spy.Eye который взят с другой системы - он тупо не запускается в отличии от других зловредов.
Эти 2 вируса что на скрине сигнатурно не определяются, Нод видит их только в памяти, удалить никак. Этот чертов Netprotocol лог свой ведет - какие окна открыты, что я ввожу и сразу же отправляет данные, сволочь
image_048.png (24.51 КБ)
Правильно заданный вопрос - это уже половина ответа
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 27.03.2012 00:34:53
Цитата
Арвид пишет:
Эти 2 вируса что на скрине сигнатурно не определяются, Нод видит их только в памяти, удалить никак. Этот чертов Netprotocol лог свой ведет - какие окна открыты, что я ввожу и сразу же отправляет данные, сволочь
А HIPS в интерактивном режиме все их действия перехватывает? Можно из-под них запустить его вообще запустить, или блокируют?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 27.03.2012 00:40:36
ну перехватывает конечно если в интерактивном стоит. но там миллион запросов разных
плюс еще фаер реагирует на вирусы - они пытаются соединиться со своими серверами через explorer.exe (Spy.Shiz в него внедрился), а netprotocol сам по себе работает
Правильно заданный вопрос - это уже половина ответа
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 27.03.2012 00:46:38
обновился антивирус до 7001, но вирусы все равно не детектятся и не удаляются :(
Правильно заданный вопрос - это уже половина ответа
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 27.03.2012 10:46:54
А на Windows 64 бит если проверить, тут тоже файла в базах не было, реальная машина. :)

Скриншот октябрь 2011 года.
kgk.png (87.85 КБ)
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
Пред. 1 ... 53 54 55 56 57 ... 167 След.
Читают тему