Размещено 24.01.2011 18:28:39
Подозрение на рукит. Прикрепил лог uVS
Изменено: Виктор - 24.01.2011 18:30:41
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Баннер в контакте
Ответы
Размещено 25.01.2011 21:05:56
| Цитата |
|---|
| santy пишет: если вы заметили, мы в теме заражения оказываем помощь всем, даже пользователям других антивирусов, поскольку считаем, что оперативный сбор свежих сэмплов для вирлаба - это вещь полезная и в интересах всех пользователей Есета. |
Заметил - только был вопрос в плане контроля со стороны руководящего состава компании - и в целом отношение руководства.
| Цитата |
|---|
| Виктор пишет: По поводу скриптов... |
Что с breg sreg areg срипты пробовали ?
Что изменилось после их выполнения ?
Размещено 25.01.2011 21:10:28
| Цитата |
|---|
| С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате. |
Размещено 25.01.2011 21:33:44
| Цитата |
|---|
| Виктор пишет: С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате. |
| Цитата |
|---|
| Суть: 1. Как правило защита зловреда не распространяется на копии ключей, соотв. вы можете спокойно очищать реестр от зловредов не подозревающих о вашей "злонамеренной" деятельности. (Вы работаете с копиями SYSTEM и SOFTWARE, а не с реальным реестром) 2. Некоторые руткиты скрывающие свои ключи могут проявиться в списке uVS при виртуализации. 3. После завершения очистки необходимо актуализировать реестр и это можно сделать двумя способами: а) Выбрать в меню "Реестр" соотв. пункт. б) В этом случае вы просто выходите из uVS и загружаетесь в recover console. (Например если зловред блокирует подмену реестра) Файлы именуются SYSTEM.2 и SOFTWARE.2 и создаются в обычном для реестра месте. |
те же ключи с руткитом, которые не попали в список, соответственно не попадут в актуализированный реестр, и после перезагрузки руткит возможно будет неактивный. Механизм актуализации состоит видимо в методе подмены реестра системы на виртуализированную копию.
т.е. если применить данные команды : sreg, areg можно понаблюдать засветится ли скрываемый в системе руткит.
Изменено: santy - 25.01.2011 21:35:46
Размещено 25.01.2011 21:41:46
| Цитата |
|---|
| RP55 RP55 пишет: Заметил - только был вопрос в плане контроля со стороны руководящего состава компании - и в целом отношение руководства. |
Читают тему