http://www.youtube.com/watch?v=ixu-kGx8BGs&list=UUynT28J-d911YHXfd35Ytjg&index=10&feature=plcp

Вот опять HIPS обновили, а что там исправили некто не знает. :)
HIPS support module: 1043P (20120214)

Не знаю, у меня не так часто службы и драйвера устанавливаются, или удаляются. :)

HIPS для продвинутых пользователей, этим все сказано. Настраивается очень хорошо. :)


На Windows 7 64 бит не разу не видел чтобы кто либо обходил прямой доступ к диску, видать там обойти очень тяжело, она у меня установлена я там все рабочие руткиты и буткиты проверяю.
32 битную Windows 7 только периодически тестирую - иногда, видел ещё давно новый Win32/Olmarik который обходит, так они всех обходят, тем более на ХР.

Но и HIPS обновляется, что-то правят:
HIPS support module: 1042 (20120213) - знаю точно в новых модулях могут добавлять правила для самозащиты.


У меня галочка Install global hook на 64 битной Windows 7 SP1  до сих пор не работает. А на 32 битной Windows 7 проверил, работает.
И мне почему-то кажется что пока не всё доделано.


А галочка Modify startup settings сейчас контролирует даже:
HKLM(сокращенно)\System\CurrentControlSet\Services\*\start
:)

Вот, а я уже испугался. Вылечить для меня не проблема, что угодно. :)

[B]santy[/B] :)

NOD32 видит в памяти и может детектировать с точным вердиктом любые дропперы, без добавления в базы. Это нельзя обойти защитой файла, [B]любым[/B] протектором, с измененным исходным кодом тоже ловятся, плюс сюда подключается Live Grid(не все так просто).

Вот если нам доделают расширенную эвристику запуска файла(которая давно уже как бы есть), [B]любая[/B] зверушка будит выносится в перед ногами ещё до того как она что либо выполнит.
:)
А другие пусть [B]безуспешно[/B] борются с ветряными мельницами! :)

МBР-VBR это всего лишь запись или [B]место автозапуска[/B], мы веть не лечим трояны удалением только сслылок на авто запуск в рееестре. Или не кричим что Касперский не видит, и не удаляет ключ реестра!!!
:)

[B]santy[/B] :)
внимательней нужно быть, этот Carberp загружается в процессы!!! В некоторые. [B]НЕТ ПРОЦЕССА нет Carberp в памяти. [/B]:)

[img]http://smages.com/images/65665.png[/img]

У меня на Windows 7 SP1 64 бит это так.
Virus signature database: 6884 (20120214)
Update module: 1037 (20110921)
Antivirus and antispyware scanner module: 1341 (20120209)
Advanced heuristics module: 1121 (20111208)
Archive support module: 1140 (20120210)
Cleaner module: 1053 (20120120)
Anti-Stealth support module: 1028P (20120109)
Personal firewall module: 1073 (20111221)
Antispam module: 1021 (20120124)
ESET SysInspector module: 1221B (20110623)
Self-defense support module: 1018 (20100812)
Real-time file system protection module: 1006 (20110921)
Translation support module: 1034 (20111214)
HIPS support module: 1042 (20120213)
Internet protection module: 1031 (20120123)
Web content filter module: 1009 (20110705)
Advanced antispam module: 1019 (20111202)
Database module: 1018 (20120203)
:)
[img]http://smages.com/images/55idi.png[/img]
[img]http://smages.com/images/500.png[/img]
[img]http://smages.com/images/88ulu.png[/img]
У меня не видит только когда в памяти нет процесса iexplore.exe. Потому-что Carberp некуда не загружается, в память. У меня видит, значит у всех видит, [B]даже если нет файла в базах.[/B]

Сам дроппер, детектируется [B]в памяти[/B] до перезагрузки ПК, [B]даже если файла нет в базах[/B]. Вот так:
[img]http://smages.com/images/4544565566.png[/img]

Да я уже сто раз протестировал COMODO Leaktests, уже HIPS support module: 1040P (20120130). Жду когда у меня заработает  галочка Install global hook на 64 битной Windows 7 Ultimate SP1, на 32 битной винде работает галочка Install global hook.
:)

Вот 64 битная винда:
COMODO Leaktests v.1.1.0.3
Interactive Mode: HIPS, Firwewall

Вот ещё к сведенью. :)
http://amatrosov.blogspot.com/2012/01/carberp-facebook-ddosplug.html

HIPS support module: 1038P (20120110)
Вот сегодня опять воспроизвелось, после игры ARMA 2,(не каждый день воспроизводится, но после любых полно-экранных игрушек или когда я отхожу от ПК)снял видео ролик, любых алертов HIPS нет, и записей в логи, всё просто блокируется. Только после перезагрузки вновь работает нормально.

Если что могу файл экспорта настроек в личку дать. Мне что делать нечего, перезагружать ПК. Они там знают, хотя-бы в новом билде это исправят?
:)

Pre-release updates
У меня вчера модули обновились:
Antivirus and antispyware scanner module: 1334 (20120110)
Anti-Stealth support module: 1028P (20120109)
HIPS support module: 1038P (20120110)
Database module: 1017 (20120110)

Галочка - Install global hook, на 64 битной Windows у меня так и не работает. На 32 битной Windows в виртуальной машине работает. :)

И ещё во всяком случае ранее, у меня именно после того как я включаю свои правила в HIPS, и после полно экранных приложений или если я отхожу от ПК, переставали вылетать алерты HIPS и в логи нечего не записывалось, получается всё просто блокировало, до перезагрузки ПК. Игровой режим отключал, не помогало. HIPS support module: 1034P это почти каждый день воспроизводилось, даже винду переустановил, сейчас буду наблюдать.

Virus signature database: 6785 (20120111)
Update module: 1037 (20110921)
Antivirus and antispyware scanner module: 1334 (20120110)
Advanced heuristics module: 1120 (20111207)
Archive support module: 1138 (20111214)
Cleaner module: 1052 (20111129)
Anti-Stealth support module: 1028P (20120109)
Personal firewall module: 1071 (20110912)
Antispam module: 1019 (20111213)
ESET SysInspector module: 1221B (20110623)
Self-defense support module: 1018 (20100812)
Real-time file system protection module: 1006 (20110921)
Translation support module: 1034 (20111214)
HIPS support module: 1038P (20120110)
Internet protection module: 1025 (20110929)
Web content filter module: 1003 (20110401)
Advanced antispam module: 1019 (20111202)
Database module: 1017 (20120110)
[img]http://smages.com/images/lvl.png[/img]

Что и требовалось доказать это не TDL4 был, а Win32/Olmasco - кстати проактивно обнаруживает и удаляет. :)

http://www.eset.com/download/utilities/

05.01.2012 1:09:46 C:\Users\VITALIVEAV\Desktop\EOlmarikTdl4Cleaner.exe Direct access to disk \\.\Harddisk0\DR0 allowed операции

05.01.2012 1:09:43 [System] Load driver C:\Windows\System32\drivers\OlmarikFixer.sys allowed операции

05.01.2012 1:09:39 [System] Load driver C:\Windows\System32\drivers\OlmarikFixer.sys allowed операции

05.01.2012 1:09:36 [System] Load driver C:\Windows\System32\drivers\OlmarikFixer.sys allowed операции

Кстати раньше вроде был подставной процесс, теперь свой драйвер. :)