Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

Нашествие Carberp напоминает прошлогоднюю атаку Spy.Shiz

RSS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2011 18:22:01
С чем связан такой всплеск активности Carberp и количество пропусков (или пост_детектов) ESET NOD32?
[ Как создать образ автозапуска? ]

Ответы

Пред. 1 2 3 След.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 18.11.2011 00:14:50
Цитата
santy пишет:
Опять же, его можно достать только через Live.CD если он там есть.
Ну...
Если, там ничего нет - то, что - то же там должно быть?

Должен же он быть в вир.лабе.
Если NOD его определяет ?
Если пушистого зверя нет в России - то!
Запад нам Поможет !  :(

Была теоретическая мысль, что зверь может прописать загрузчик на съёмный носитель, например USB.
Подключили флешку...
Перезагрузили PC вместе с ней, и = " Гуляй Поле ".
Но, пака вируса - писатели до этого не додумались, видимо.  ;)

*В принципе тело вируса, можно найти при работе с Live CD + добавление файлов каталогов.
Изменено: RP55 RP55 - 18.11.2011 00:16:09
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 18.11.2011 00:53:13
Цитата
RP55 RP55 пишет:
зверь может прописать загрузчик на съёмный носитель, например USB
для этого приоритет загрузки в биосе сменить надо для начала. просто воткнутая флешка с таким вирем ничего не сделает при загрузке
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 18.11.2011 01:15:00
Цитата
Арвид пишет:
для этого приоритет загрузки в биосе сменить надо для начала. просто воткнутая флешка с таким вирем ничего не сделает при загрузке

На некоторых Нетбуках/ноутбуках так и есть.
Когда систему с usb ставят, часто забывают сбросить настройку.
Но в принципе - это больше теоретический аспект.  ;)

Сделать может и не сделает - но прописаться может.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 06:15:14
Цитата
RP55 RP55 пишет:
*В принципе тело вируса, можно найти при работе с Live CD + добавление файлов каталогов.
все остальное - от лукавого.
---------
пока есть две (известные) материальные причины присутствия Carberp в оперативной памяти:
1. IGFXTRAY.EXE стартует из папки автозапуска
2. зараженный IPL, в котором (сигнатурами и проверкой на VT) определяется в uVS как Rt.Cidox, который ESET принимает за Carberp в оперативной памяти, т.е. после перезаписи VBR в uVS симптом в оперативной памяти исчезает.
--
Изменено: santy - 18.11.2011 07:29:14
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 18.11.2011 12:47:40
Это нормально, что при входе в эту тему антивирус ругается?
Правильно заданный вопрос - это уже половина ответа
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 18.11.2011 12:59:11
Цитата
Арвид пишет:
Это нормально, что при входе в эту тему антивирус ругается?
Да. Это происходит из-за наличия ссылок на заблокированный сайт.
ESET Technical Support
 
vir
vir
Пользователь
Сообщений: 138
Баллов: 110
Регистрация: 16.03.2010
Размещено 29.11.2011 20:18:29
Здравствуйте. почему на форумах др вёба и касперского на порядок меньше обращений чем у есет?Они что лучше защищают? Почему файервол пропускает? И зачем вы собираете зараженные файлы после лечения?


dura lex, sed lex
закон суров, но это - закон
 
Digital
Digital
Пользователь
Сообщений: 164
Баллов: 131
Регистрация: 20.01.2011
Размещено 29.11.2011 20:27:43
Цитата
vir пишет:
Здравствуйте. почему на форумах др вёба и касперского на порядок меньше обращений чем у есет?Они что лучше защищают? Почему файервол пропускает?
Про Dr.Web - у него популярность гораздо меньше, чем у ESET или Касперского.
Касперский тоже пропускает, у них обращений меньше, т.к. их перенесли на другой форум.
Фаерволл не пропускает! Поставьте интерактивный режим в настройках.
Цитата
И зачем вы собираете зараженные файлы после лечения?
Любая антивирусная компания это делает, после того, как вылечит компьютер клиента.
Windows 7 x64 SP1, Google Chrome, ESET Smart Security 5.2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.11.2011 20:47:39
судя по темам заражений на разных форумах: либо ДрВеб и Касперский оперативнее обновляют базы по Carberp, либо слабее его детектируют.
[ Как создать образ автозапуска? ]
 
vir
vir
Пользователь
Сообщений: 138
Баллов: 110
Регистрация: 16.03.2010
Размещено 29.11.2011 21:08:49
дело не в детекте а в том почему нод не может его удалить? что это очистка невозможна? почему malwarebytes удаляет а нод нет?


dura lex, sed lex
закон суров, но это - закон
 
Пред. 1 2 3 След.
Читают тему