ESET против TDSS 4 , eset что нибудь предпримет

Мне вот интересно eset собирается бороться или нет

давайте проверим (поиск руткита по методу сверки) uVS vs TDSS 4

вот что получилось

Образ автозапуска, я так понимаю вы создали из активной системы

нужен по методу поиска руткитов.
---------
суть метода в следующем:
1. в нормальном режиме создается файл сверки.
2. далее, из под Live.CD запускается (на этой же системе) в uVS поиск скрытых файлов, и после завершения,
3. создается образ автозапуска.
-----
uVS должен найти все расхождения между объектами в активной и пассивной системах.
---
в том что tdsskiller что-то обнаружит- не сомневаемся, он на это из заточен.

печально, конечно, что ESET NOD32 не обнаруживает буткита.

но avast его видит значит и eset должен
вот

Спасибо за пример!
-----------------
1. из лога сравнения:

Цитата
(!) MBR id=6358BAE1[диск #0] отличается от сохраненного. MBR заражен бутктитом!

2. проверка загрузчика MBR#0 [20,0GB] на VT
результат
----------
пробуйте пролечить из под Live.CD таким скриптом.

Цитата
;uVS v3.73 script [http://dsrt.dyndns.org] fixmbr MBR#0 [20,0GB] restart

или т.о. выполнить в uVS (из под Live.CD) скрипт из приложенного файла

Скорее всего это более новыая версия, не чисто TDL4, там уже всякие Win32/Olmasco есть. Обновят Anti-Stealth support module: 1027P (20110916) и будит видить даже без добавления семпла в базы.

HIPS у меня настроена, я проверял на 64 битной системе. Сразу после запуска ловит вот тут, такой - то файл, по такому пути.  Direct access to disk \\.\Harddisk0\DR0
Потом много чего у меня в реестре заблокировано, HKEY_LOCAL_MACHINE\BCD00000000\* и так далее.  

это старая версия, и что интересно eset на windows xp справился с обнаружением и очисткой блестяще, а на windows 7 не может обнаружить.

тп преслала мне эту утелиту и всё исцелилось