Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
Что называется: полиция все видела, но промолчала) Так бывало и со старым нодом (когда нет других специальных утилит): угроза детектировалась, а вирус уже успевал внедриться в систему. Ясное дело, должна сразу осуществляться блокировка соответствующих файлов и ключей, пока пользователь не принял решение.
Есть у меня такой блокер Прямо в автоматическом режиме создал правило в HIPS(посмотрел лог SysInspector куда прописывается, ещё он в папку C:\ProgramData копирует себя - можно и для неё наверно наделать правил )
Цитата
Лог HIPS: 23.05.2011 23:36:26 C:\Users\vitalik\Desktop\xxx_video.exe set value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit blocked правио 23.05.2011 23:36:26 C:\Users\vitalik\Desktop\xxx_video.exe set value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell blocked правио
Перезагрузка и реестр чист:
Так или иначе в интер-активном, без правила, блокировщик прописался в реестр, правда после перезагрузки интер-активный режим у меня ещё и в автоматический сам переключался.
Ещё ща испытаю это правило, когда установленно спросить! Я ещё и англиский не понимаю, пока действую интуитивно. А так мне нужен хороший перевод и подробная инструкция с примерами.
А ещё когда я создавал правило для HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon без ключей Userinit/Shell блокировщик прописывался в реестр!!!
В интерактивном режиме я алертов HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\ с продолжением Shell или Userinit не видел, так что я думаю вот тут и ОШИБКА, и если в моё правило установить спросить меня, блокировщик в реестр не пропишется!!!
Проверил, изменил моё правило не блокировать, а спросить меня - HIPS установлен в автоматический режим. Запустил блокировшик, алерт HIPS(на моё правило) и я не успеваю нечего нажать, экран заблокирован. Но после перезагрузки реестр ЧИСТЫЙ. Так что ОШИБКА в интер-активном режиме!!!
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
у меня тоже ask не сработал в правиле Winlock, возможно кроме блока ключей реестра, следует еще и запретить перезапись файлов (предполагаю что это changing image), по крайней мере userinit.exe не был заражен (после перезагрузки) при данном правиле, хотя и получил lock рабочего стола при запуске... проверяем дальше.
Я себе HIPSой в автоматическом режиме уже пол ПК, защитил. Вот сам процесс egui.exe защищён от завершения, а его авто-загрузка нет, наверно для тех кто захочет убрать интерфейс из авто-загрузки. Теперь авто-загрузка egui.exe у меня защищена.
Правильно, так и должно быть. Но эти правила должны быть по умолчанию. Там должно быть с десяток уже предопределенных правил на изменение/удаление файлов самого нода, важнейших системных файлов, веток реестра, хостс и т.д.
Вот сам процесс egui.exe защищён от завершения, а его авто-загрузка нет, наверно для тех кто захочет убрать интерфейс из авто-загрузки.