Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 15 16 17 18 19 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.01.2012 14:26:14
RP55,
посмотри по образам кто прописан в производители.
Цитата
Производитель 1C
будем удалять все продукты с производителем 1с?
(и думаю, наименование производителя будет меняться... есть более глобальные критерии, например...
лишнее что входит в параметры userinit или shell.)
----
достаточно будет снять галку "проверенные" в списке ПОДОЗРИТЕЛЬНЫЕ.
или отменить все проверенные, и выполнить проверку по списку безопасных.
Предупреждение я написал, в том числе и для себя. Чтобы внимательнее просматривать образ автозапуска.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 15.01.2012 14:30:39
http://forum.esetnod32.ru/forum6/topic3610/
Я бы скрипт проверил. :(
MHPYIPP.EXE
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.01.2012 14:35:39
все верно замечено. потому и написал, что такое инфо надо сразу публиковать, раз обнаружена подобная хитрость со стороны разработчиков Spy.Shiz.
------
я так понимаю, мы сейчас впятером здесь работаем: значит эта инфо должно быть доступно всем.
Изменено: santy - 15.01.2012 14:38:16
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 15.01.2012 14:39:09
Цитата
santy пишет:
Будем удалять все продукты с производителем 1с?
Ну да...  :oops:
Значит предлагаем/Поддерживаем идею удалению по избранному параметру!  :D
В данном случае по левой цифровой подписи.  :(
Главное в идее это как раз удаление по любому из избранных параметров.
Главное это чётко задать критерии - во избежание ложного обнаружения/зачистки.
В общем - если идея нравиться - то самостоятельно, её продвигаем на Malwarebytes :)
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.01.2012 14:39:46
Если создавать критерии поиска по производителю (подписи серта), то все равно файл скрыт при активной галочке Скрыть проверенные, приходится убирать в любом случае.
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.01.2012 14:45:18
Цитата
RP55 RP55 пишет:
Значит предлагаем/Поддерживаем идею удалению по избранному параметру!    

В данном случае по левой цифровой подписи.    

Главное в идее это как раз удаление по любому из избранных параметров.

Главное это чётко задать критерии - во избежание ложного обнаружения/зачистки.

В общем - если идея нравиться - то самостоятельно, её продвигаем на Malwarebytes  
если будет реализована идея по селектированным, тогда можно будет думать, что делать дальше с селектированными. А так смысла нет писать новые предложения, если накопился уже достаточно большой список прежних предложений для новой версии.
-----
возможно, что-то придется менять по проверке на VT, или только у меня не работает сейчас проверка по VT из uVS?

по продвижению в МБАМ - не то что не интересно, но просто времени нет, и желания заниматься еще развитием mbam.

критерий по цифровой не сложно создать, но он, думаю, будет меняться,
и как правильно заметил Арвид, все равно запись останется в ПРОВЕРЕННЫХ. т.е. надо снимать галку, при просмотре образа.
Изменено: santy - 15.01.2012 14:46:07
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 15.01.2012 14:53:01
Цитата
Арвид пишет:
Если создавать критерии поиска по производителю (подписи серта), то все равно файл скрыт при активной галочке Скрыть проверенные, приходится убирать в любом случае.
Да !
Просто надписи типа: ?Вирус? маловразумительны.
Я предлагал расширить список комментариев, было - бы: ?Spy.Shiz?
И сразу легче ориентироваться...
Так, как файлов со статусом "Подозрит" и ?Вирус? может быть несколько десятков и как результат каша...
А, при поиске определённой угрозы это было бы поудобнее!  
Хотя конечно статус всё равно необходимо сбрасывать будет...

Да и инфу на Malwarebytes по левой цифровой подписи нужно дать.
+ Создать доступный список/перечень всех известных левых "Цифровых подписей" = Имя производителя"
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.01.2012 14:54:02
Цитата
RP55 RP55 пишет:
Главное в идее это как раз удаление по любому из избранных параметров.
сомневыаюсь, что на это пойдут разработчики антивирусных утилит, как и антивирусов.
Для них приоритет - сигнатуры.
Задетектил по правилам_критериям файлы (присвоил статус?ВИРУС?),
а далее,
или вручную прописывай удаление, или создавай сигнатуры.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.01.2012 14:55:51
Цитата
RP55 RP55 пишет:
Да и инфу на Malwarebytes по левой цифровой подписи нужно дать.
+ Создать доступный список/перечень всех известных левых "Цифровых подписей" = Имя производителя"
не обращал внимание в mbam, надо посмотреть.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.01.2012 15:03:00
Цитата
RP55 RP55 пишет:
Я предлагал расширить список комментариев, было - бы: ?Spy.Shiz?
RP55,
все равно в инфо видно же, по какому критерию отобрана эта запись,
единственно, что в списке по статусу будет видна СТЕПЕНЬ ОПАСНОСТИ данной записи.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 15 16 17 18 19 ... 167 След.
Читают тему