Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 36 37 38 39 40 ... 167 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.02.2012 22:16:08
Да, но на (загрузчик) в памяти Carberp.A был всегда детект. хоть и без лечения.
[ Как создать образ автозапуска? ]
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 14.02.2012 22:52:25
МBР-VBR это всего лишь запись или место автозапуска, мы веть не лечим трояны удалением только сслылок на авто запуск в рееестре. Или не кричим что Касперский не видит, и не удаляет ключ реестра!!!
:)

santy :)  
внимательней нужно быть, этот Carberp загружается в процессы!!! В некоторые. НЕТ ПРОЦЕССА нет Carberp в памяти. :)



У меня на Windows 7 SP1 64 бит это так.
Virus signature database: 6884 (20120214)
Update module: 1037 (20110921)
Antivirus and antispyware scanner module: 1341 (20120209)
Advanced heuristics module: 1121 (20111208)
Archive support module: 1140 (20120210)
Cleaner module: 1053 (20120120)
Anti-Stealth support module: 1028P (20120109)
Personal firewall module: 1073 (20111221)
Antispam module: 1021 (20120124)
ESET SysInspector module: 1221B (20110623)
Self-defense support module: 1018 (20100812)
Real-time file system protection module: 1006 (20110921)
Translation support module: 1034 (20111214)
HIPS support module: 1042 (20120213)
Internet protection module: 1031 (20120123)
Web content filter module: 1009 (20110705)
Advanced antispam module: 1019 (20111202)
Database module: 1018 (20120203)
:)



У меня не видит только когда в памяти нет процесса iexplore.exe. Потому-что Carberp некуда не загружается, в память. У меня видит, значит у всех видит, даже если нет файла в базах.

Сам дроппер, детектируется в памяти до перезагрузки ПК, даже если файла нет в базах. Вот так:
Изменено: EVE N - 16.02.2012 17:28:24
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 14.02.2012 22:55:08
И какая система лечения будет наиболее правильной ?   :o
Будет ли в связи с этим модернизирован uVS ...
Если TDSS и VBA32 лечат - значит такая возможность есть.  :)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.02.2012 23:10:02
по uVS. такая возможность всегда есть. пролечить с WinPe&uVS.
по браузерам: Firefox с ошибкой о перемещении user32.dll в памяти.
Картинка после запуска IE:
согласен, есть детект в памяти.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.02.2012 23:11:33
Scan Log
Цитата
Version of virus signature database: 6884 (20120214)
Date: 15.02.2012  Time: 1:05:59
Scanned disks, folders and files: Operating memory
Operating memory » iexplore.exe(2224) - a variant of Win32/PSW.Papras.CA trojan - unable to clean
Number of scanned objects: 359
Number of threats found: 1
Number of cleaned objects: 0
Time of completion: 1:06:24  Total scanning time: 25 sec (00:00:25)
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 14.02.2012 23:15:12
Цитата
santy пишет:
по uVS. такая возможность всегда есть. пролечить с WinPe&uVS.
Да... но TDSS для лечения Live CD ненужен...
Вот бы uVS подтянуть.  :cry:  :)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.02.2012 23:20:46
Цитата
RP55 RP55 пишет:
Если TDSS и VBA32 лечат - значит такая возможность есть.  
TDsskiller, vba32arkit - это специализированные антируткиты, они заточены на лечение руткитов_буткитов из активной системы.
[ Как создать образ автозапуска? ]
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 14.02.2012 23:31:13
Вот, а я уже испугался. Вылечить для меня не проблема, что угодно. :)

santy :)

NOD32 видит в памяти и может детектировать с точным вердиктом любые дропперы, без добавления в базы. Это нельзя обойти защитой файла, любым протектором, с измененным исходным кодом тоже ловятся, плюс сюда подключается Live Grid(не все так просто).

Вот если нам доделают расширенную эвристику запуска файла(которая давно уже как бы есть), любая зверушка будит выносится в перед ногами ещё до того как она что либо выполнит.
:)
А другие пусть безуспешно борются с ветряными мельницами! :)
Изменено: EVE N - 16.02.2012 17:29:27
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.02.2012 06:12:29
посмотрю сегодня систему по методу поиска руткитов в uVS, может еще будут какие  то нюансы замечены.
Изменено: santy - 15.02.2012 20:32:36
[ Как создать образ автозапуска? ]
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.02.2012 14:42:18
Цитата
EVE N пишет:
NOD32 видит в памяти и может детектировать с точным вердиктом любые дропперы, без добавления в базы.
да, тоже хотелось бы понять твою логику. что значит видит дроперы в памяти? и долго они там висят? если бы видел, то не давал бы исполниться зловредному коду. дропер запускается, кидает библиотеку в систему (или другой файл), делает в реестре свое дело и все, на этом его работа окончена. дропер - это тот же контейнер для виря. вирус может не меняться, но меняется код контейнера, чтоб антивирусы не ругались.
Правильно заданный вопрос - это уже половина ответа
 
Пред. 1 ... 36 37 38 39 40 ... 167 След.
Читают тему