Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 17 18 19 20 21 ... 167 След.
как создавал загрузочный диск? в интерфейсе uVS или другим способом?
другим. сам все делал, вручную. uVS просто положил в папку с софтом
Правильно заданный вопрос - это уже половина ответа
Я вот по этой технологии собирал загрузочный образ
http://forum.esetnod32.ru/forum9/topic1881/

последнюю версию WinPe&uVS373 собирал с помощью uVS.
Проблем пока не было с цифровым каталогом.
Сделал все с нуля. Все работает. Плюс сделал копирование всего дистрибутива с uVS на диск С (как и в оригинальном образе с uVS). Сделал лайт версию - файловый менеджер, uVS, BootIce, различные мелкие утилиты для лечения (типа TDSSkiller, KidoKiller, пару расшифровщиков)

И обычную версию - с Нодом, антивирем от МакКафе (интересная кстати штука для лечения Zaccess и руткитов всяких), утилитами для работы с жестким диском, паролем пользователей и еще по мелочи
Правильно заданный вопрос - это уже половина ответа
а в чем смысл запуска с Live.CD подобных утилит:tdsskiller, kidokiller? они разве рассчитаны на запуск с Live.CD?
да, рассчитаны. практически все утилиты можно запускать с командами для проверки всех разделов. конечно если KidoKiller запустить в активной зараженной системой, то он быстро вычистил зловреда в памяти и будет его убивать, а так придется ждать окончания проверки раздела. с помощью того же TDSSkiller можно проверить загрузчики разделов на наличие того же Carberp. как им выполнить проверку всех разделов я так и не нашел. но это не главное - все утилиты весят не более 4-х мб.
лайт образ получился всего 155 мб (в него входит также папка STORE для uVS)
Правильно заданный вопрос - это уже половина ответа
загрузчики можно проверить и в uVS, а вот проверяет ли tdsskiller неактивный раздел (имею ввиду драйвера неактивной системы) - это вопрос. Вообще, спору нет, утилита полезная, одна из лучших у ЛК. (если не лучшая.)
т.е. смысла нет добавлять утилиты в Live.CD только потому что они небольшие. Должны выполнять задекларированные действия в неактивном разделе.
------------------
по Corkow.
проверяйте по описанию Corkow из энциклопедии ESET. Если файл явно не обнаружен в образе автозапуска. (Возможно, не проверяется данный ключ в реестре).

Цитата
The trojan may set the following Registry entries:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   lanmanserver\parameters]
   "ServiceDll" = "%commonprogramfiles%\microsoft
   shared\%variable1%.%variable2%"
   [HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\
   InprocServer32]

   "Default" = "%appdata%\Microsoft
   Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.

надо запросить у пользователя, значение параметра default для выделенного ключа.
если есть такой ключ в реестре, то проверить значение параметра на VT.
Изменено: santy - 19.01.2012 16:57:21
насчет Corkow в курсе :)
насчет TDSSKiller
Цитата
santy пишет:
загрузчики можно проверить и в uVS
разве мало было случаев когда Carberp был скрыт в загрузчике и uVS его не видел? да и доступ в сеть не всегда есть чтоб отправить загрузчик на анализ (а загрузчики программа проверяет всех разделов)
все утилиты из LiveCD можно использовать, все работоспособны. теперь думаю как бы там удобнее обновлять базы к Ноду, по ходу придется пересобирать образ каждое определенное время :)
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
разве мало было случаев когда Carberp был скрыт в загрузчике и uVS его не видел? да и доступ в сеть не всегда есть чтоб отправить загрузчик на анализ (а загрузчики программа проверяет всех разделов)
из под Live.CD в uVS может быть другая картина по загрузчикам.
+ еще ест ьвариант проверка на руткиты с помощью файла сверки. Если в активной системе изменение загрузчика скрыто от uVS, то по файлу сверки он обнаружит это. А значит, с большой уверенностью, без првоерки на VT можно сказать, что подменен загрузчик.
Цитата
Арвид пишет:
все утилиты из LiveCD можно использовать, все работоспособны. теперь думаю как бы там удобнее обновлять базы к Ноду, по ходу придется пересобирать образ каждое определенное время  

надоест каждый день пересобирать. А главное, выкладывать в сеть. К тому же есть eset_linux_rescue, с актуальными базами каждый день, и возможностью обновиться из сети.
Изменено: santy - 19.01.2012 17:07:57
с портативным антивирусом в сеть не собираюсь выкладывать - то для личного использования
eset_linux_rescue не подходит тем, что там только антивирус - а хочется поболее функционала с одной загрузочной флешки или диска
пересобирать в принципе не проблема - на это уходит не более одной минуты
Правильно заданный вопрос - это уже половина ответа
Пред. 1 ... 17 18 19 20 21 ... 167 След.
Читают тему