Размещено 24.01.2011 18:28:39
Подозрение на рукит. Прикрепил лог uVS
Изменено: Виктор - 24.01.2011 18:30:41
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
Баннер в контакте
Ответы
Размещено 25.01.2011 21:05:56
| Цитата |
|---|
| santy пишет: если вы заметили, мы в теме заражения оказываем помощь всем, даже пользователям других антивирусов, поскольку считаем, что оперативный сбор свежих сэмплов для вирлаба - это вещь полезная и в интересах всех пользователей Есета. |
Заметил - только был вопрос в плане контроля со стороны руководящего состава компании - и в целом отношение руководства.
| Цитата |
|---|
| Виктор пишет: По поводу скриптов... |
Что с breg sreg areg срипты пробовали ?
Что изменилось после их выполнения ?
Размещено 25.01.2011 21:10:28
| Цитата |
|---|
| С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате. |
Размещено 25.01.2011 21:33:44
| Цитата |
|---|
| Виктор пишет: С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате. |
| Цитата |
|---|
| Суть: 1. Как правило защита зловреда не распространяется на копии ключей, соотв. вы можете спокойно очищать реестр от зловредов не подозревающих о вашей "злонамеренной" деятельности. (Вы работаете с копиями SYSTEM и SOFTWARE, а не с реальным реестром) 2. Некоторые руткиты скрывающие свои ключи могут проявиться в списке uVS при виртуализации. 3. После завершения очистки необходимо актуализировать реестр и это можно сделать двумя способами: а) Выбрать в меню "Реестр" соотв. пункт. б) В этом случае вы просто выходите из uVS и загружаетесь в recover console. (Например если зловред блокирует подмену реестра) Файлы именуются SYSTEM.2 и SOFTWARE.2 и создаются в обычном для реестра месте. |
те же ключи с руткитом, которые не попали в список, соответственно не попадут в актуализированный реестр, и после перезагрузки руткит возможно будет неактивный. Механизм актуализации состоит видимо в методе подмены реестра системы на виртуализированную копию.
т.е. если применить данные команды : sreg, areg можно понаблюдать засветится ли скрываемый в системе руткит.
Изменено: santy - 25.01.2011 21:35:46
Размещено 25.01.2011 21:41:46
| Цитата |
|---|
| RP55 RP55 пишет: Заметил - только был вопрос в плане контроля со стороны руководящего состава компании - и в целом отношение руководства. |
Читают тему