http://forum.esetnod32.ru Новое в теме Баннер в контакте форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Mon, 20 Apr 2026 01:22:28 +0300 Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:
Заметил - только был вопрос в плане контроля со стороны руководящего состава компании - и в целом отношение руководства.

=============
Мы с Di не входим в руководящий состав компании, поэтому не можем выразить отношение руководства компании по этому поводу. Наша задача сейчас - оперативная помощь пользователям в лечение заражения, тестирование инструментов защиты, повышение компьютерной грамотности пользователей за счет рекомендаций по безопасности, изучение новых угроз, предоставление сэмплов вирлабу для оперативного выпуска антивирусных баз.
25.01.2011 21:41:46, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12307/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12307/ Tue, 25 Jan 2011 21:41:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате.
=============
выдержка из документации о виртуализации

====quote====
Суть:
1. Как правило защита зловреда не распространяется на копии ключей, соотв. вы можете спокойно
  очищать реестр от зловредов не подозревающих о вашей "злонамеренной" деятельности.
  (Вы работаете с копиями SYSTEM и SOFTWARE, а не с реальным реестром)
2. Некоторые руткиты скрывающие свои ключи могут проявиться в списке uVS при виртуализации.
3. После завершения очистки необходимо актуализировать реестр и это можно сделать двумя способами:
  а) Выбрать в меню "Реестр" соотв. пункт.
  б) В этом случае вы просто выходите из uVS и загружаетесь в recover console.
     (Например если зловред блокирует подмену реестра)
     Файлы именуются SYSTEM.2 и SOFTWARE.2 и создаются в обычном для реестра месте.
=============
предполагается, что виртуализированный реестр содержит ключи, которые не отслеживает руткит, следовательно они должны быть доступны для просмотра в списке uVS...

те же ключи с руткитом, которые не попали в список, соответственно не попадут в актуализированный реестр, и после перезагрузки руткит возможно будет неактивный. Механизм актуализации состоит видимо в методе подмены реестра системы на виртуализированную копию.

т.е. если применить данные команды : sreg, areg можно понаблюдать засветится ли скрываемый в системе руткит.
25.01.2011 21:33:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12306/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12306/ Tue, 25 Jan 2011 21:33:44 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате.
=============

25.01.2011 21:10:28, Виктор.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12304/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12304/ Tue, 25 Jan 2011 21:10:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
если вы заметили, мы в теме заражения оказываем помощь всем, даже пользователям других антивирусов, поскольку считаем, что оперативный сбор свежих сэмплов для вирлаба - это вещь полезная и в интересах всех пользователей Есета.
=============

Заметил - только был вопрос в плане контроля со стороны руководящего состава компании - и в целом отношение руководства.


====quote====
Виктор пишет:
По поводу скриптов...
=============

Что с breg sreg areg срипты пробовали ?

Что изменилось после их выполнения ?
25.01.2011 21:05:56, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12303/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12303/ Tue, 25 Jan 2011 21:05:56 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
Отправил: virusesnod32@gmail.com
=============

smss.exe - Win32/LockScreen.ACD trojan


25.01.2011 15:54:29, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12285/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12285/ Tue, 25 Jan 2011 15:54:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Вешает комп, вешает Safe mode и даже с поддержкой командной строки, лечиться переименованием в txt.
Починил программкой ERD записав на диск, с ее помощью зашел в реестр поискал userinit и shell, после нашел изменение в пути shell. Прошел по этому пути и переименновал в txt и значение шелл вернул на explorer.exe. ГОТОВО!!!
У меня сидел в C:\Program Files\Common Files\Sonic\
=============

Отправил: virusesnod32@gmail.com
25.01.2011 11:55:13, Виктор.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12269/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12269/ Tue, 25 Jan 2011 11:55:13 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:

Вот давно хочу предложить сделать страницу взаимопомощи.
Очевидно - Официально компания не может оказывать помощь в подобных случаях - однако данное ограничение не касается  пользователей/посетителей форума.
Соответственно - речь в данном случае идёт о взаимопомощи.
Выгода компании: Получение архивов с тем лечения и добавление новых сигнатур в базу антивируса.

=============
если вы заметили, мы в теме заражения оказываем помощь всем, даже пользователям других антивирусов, поскольку считаем, что оперативный сбор свежих сэмплов для вирлаба - это вещь полезная и в интересах всех пользователей Есета.
25.01.2011 07:36:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12256/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12256/ Tue, 25 Jan 2011 07:36:42 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
Предлагаю создать несколько самых простых стандартных скриптов    
=============
простых стандартных скриптов полным полно в темах заражения - другое дело, что в каждом случае скрипт может быть уникален - разные сигнатуры, разные имена вредоносных программ, стандартная часть здесь только -

блок удаления и ZOO
...
chklst
delvir
...
зачистка
delnfr
deltmp
...
твики
...
czoo
restart
25.01.2011 07:29:28, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12254/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12254/ Tue, 25 Jan 2011 07:29:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Блин, короче, можно кису 2011 поставить и проверить? если чё винду может другую поставлю.
=============
Повторные логи так и не кинул

По поводу скриптов, исключаем те, что я ему присылал, и получается:
то что это руткит - несомненно. Посмотрите информацию об этом объекте.
HKLM\System\CurrentControlSet\Services\mkdrv\Image­Path
regt 20 - Восстановить испорченные значения ImagePath - с этого надо было мне начать

addsgn 4AEE779A556522B204BA66309C95190BC58579897405E07880C7C0B851D6­704C2613C6533F559C492E84819B471648FA78DBED7654DAB12C2873A12B­C6062370 8 mkdrv_vir_ever
chklst - проверка всего списка
delvir - удаление всех опознанных вирусов
regt 1 - Разблокировать диспетчер задач
regt 2 - Разблокировать редактор реестра
regt 5 - Отключить автозапуск для всех пользователей
regt 6 - Отключить восстановление системы
regt 13 - Удалить все Persistent routes
regt 18 - Снять ограничения на запуск приложений в Exlporer-е

breg - Бэкап реестра
sreg - безопасная виртуализация SYSTEM и SOFTWARE (Например плюс в том что в виртуальных ветках изначально отсутствуют
  ключи автозапуска скрытые руткитом, т.е. после актуализации реестра руткит получит проблемы
  с загрузкой уже только из-за своего стремления скрывать свой автозапуск.)
С виртуализацией я не очень поянл..

Предлагаю создать несколько самых простых стандартных скриптов
25.01.2011 04:27:50, Виктор.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12252/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12252/ Tue, 25 Jan 2011 04:27:50 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
отлично, продолжаем офтоп,
потому что к темам открываемым Виктором,
я отношусь не как к необходимости оказать оперативную помощь, а как к учебным вариантам
=============
Вот давно хочу предложить сделать страницу взаимопомощи.

Многие пользователи имея на машине пиратскую версию NOD32 - Отказываются от обращения за помощью на форум ESET.
( По вполне понятным причинам )
Также это относиться к пиратам использующим другие антивирусные решения.
В тоже время компания ESET и её легальные пользователи должны оперативно получать сведения о новых угрозах.
Например о том же - SGOPE.SYS  
По ряду оценок количество пиратов ничуть не меньше числа легальных пользователей.
Соответственно - и число заражений машин примерно одинаково ( у пиратов оно процентов на 15-20% выше за счёт использования
модифицированных продуктов и их устаревших версий )
Очевидно - Официально компания не может оказывать помощь в подобных случаях - однако данное ограничение не касается
пользователей/посетителей форума.
Соответственно - речь в данном случае идёт о взаимопомощи.
Выгода компании: Получение архивов с тем лечения и добавление новых сигнатур в базу антивируса.
*О массовых случаях речь понятно не идёт - но 2 обращения в день вполне реально отработать.
** Другой вопрос насколько подобная помощь будет эффективна.
24.01.2011 23:57:27, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12246/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12246/ Mon, 24 Jan 2011 23:57:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
Немного офпота
Файл будет добавлен как
SGOPE.SYS - Win32/Rootkit.Qhost.I trojan

=============
отлично, продолжаем офтоп,
потому что к темам открываемым Виктором,
я отношусь не как к необходимости оказать оперативную помощь, а как к учебным вариантам .

Мне вот сигнатура от ev er помогла задетектить этот драйвер.
script.txt
24.01.2011 22:18:55, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12242/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12242/ Mon, 24 Jan 2011 22:18:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.
Немного офпота
Файл будет добавлен как

SGOPE.SYS - Win32/Rootkit.Qhost.I trojan


24.01.2011 22:15:01, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12240/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12240/ Mon, 24 Jan 2011 22:15:01 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
А смысл в таком скрипте?
=============

Это так сказать - каркас.

Можно ведь и так сделать:

;uVS v3.45 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo %SystemRoot%\SGOPE.SYS
zoo %SystemDrive%\DOCUME~1\8AD5~1\LOCALS~1\TEMP\9UFP7IN2.SYS
breg
sreg
delref %SystemRoot%\SGOPE.SYS
delref %SystemDrive%\DOCUME~1\8AD5~1\LOCALS~1\TEMP\9UFP7IN2.SYS
delnfr
areg
24.01.2011 21:35:00, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12239/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12239/ Mon, 24 Jan 2011 21:35:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:
Скрипт будет у нас такой.
=============
а смысл в таком скрипте? файл руткита остается в системе, хотя может и неактивен, в вирлаб соответственно данный сэмпл не попадает, и пользователи (ДРУГИЕ да и этот же) снова будут продолжать заражаться этим руткитом.
24.01.2011 21:19:28, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12238/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12238/ Mon, 24 Jan 2011 21:19:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.
Аналогичные скрипты я выполнял как на XP так и Win 7.

Система работает после выполнения нормально.
24.01.2011 21:09:29, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12235/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12235/ Mon, 24 Jan 2011 21:09:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт будет у нас такой.
Скипит и срипит.txt
24.01.2011 21:04:27, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12234/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12234/ Mon, 24 Jan 2011 21:04:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
Каспер признает как рукит, может ложное.
От DrWeb пришло письмо - Угроза: Trojan.PWS.Banker.53079
=============

то что это руткит - несомненно. Посмотрите информацию об этом объекте.

HKLM\System\CurrentControlSet\Services\mkdrv\ImagePath
24.01.2011 20:39:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12228/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12228/ Mon, 24 Jan 2011 20:39:12 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.
я предлагаю добавить еще свой скрипт - все смешать в один, и выполнить в безопасном режиме с поддержкой командной строки.
здесь ключевое слово - выполнить в безопасном режиме.
вот. вот еще пусть RP55 тоже напишет. .
24.01.2011 20:34:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12227/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12227/ Mon, 24 Jan 2011 20:34:41 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.
либо у веба детект сбился, либо это новый мод драйвера SGOPE.SYS
http://www.virustotal.com/file-scan/report.html?id=91b47add1a6dc0f3f07e900d4f725897b0cb30362c32ae4a88efd4096­84df3ff-1295888254
скорее всего второе, потому что он попал на мою сигнатуру, но совпадение неполное, а по 12 байтам из 64.
так что, обязательно отправить на адрес, указанный ZloyDi.
24.01.2011 20:29:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12226/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12226/ Mon, 24 Jan 2011 20:29:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
Не помогает.
=============

Повторите новый лог UVS и лог программы
http://forum.esetnod32.ru/forum9/topic53/

Спасибо.
24.01.2011 20:08:41, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12222/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12222/ Mon, 24 Jan 2011 20:08:41 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
http://esetnod32.ru/.support/knowledge_base/new_virus/
=============

К этому я отношения не имею, по этому и указываю свою почту.

Спасибо.  
24.01.2011 19:32:38, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12217/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12217/ Mon, 24 Jan 2011 19:32:38 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну Вы пишите что отправили в вирлаб когда я отправляю на virusesnod32@gmail.com
Вот и решил сразу так отправить http://esetnod32.ru/.support/knowledge_base/new_virus/

Без проблем буду отправлять на virusesnod32@gmail.com
И подписываю я для себя, не намекая на "кто быстрее"
24.01.2011 19:25:24, Виктор.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12216/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12216/ Mon, 24 Jan 2011 19:25:24 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
Я отправлял %SystemRoot%\SGOPE.SYS Каспер признает как рукит, может ложное.
=============


====quote====
Виктор пишет:
Я отправлял %SystemRoot%\SGOPE.SYS
=============

Мне больше интересует было ли отправлено на virusesnod32@gmail.com
Детект других антивирусов меня не интересует.

Мы и так его вечером ловить будем, возможно новый вариант.
24.01.2011 19:19:25, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12215/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12215/ Mon, 24 Jan 2011 19:19:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Виктор пишет:
Подозрение на рукит. Прикрепил лог uVS
=============

Выполнить скрипт в безопасном режиме.
Карантин пришлите на известную почту.

После перезагрузки повторить новый лог UVS
1.txt
24.01.2011 18:51:25, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12213/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12213/ Mon, 24 Jan 2011 18:51:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Баннер в контакте в форуме Обнаружение вредоносного кода и ложные срабатывания.
Подозрение на рукит. Прикрепил лог uVS
uvs_sailars.rar

24.01.2011 18:28:39, Виктор.]]> http://forum.esetnod32.ru/messages/forum6/topic1468/message12212/ http://forum.esetnod32.ru/messages/forum6/topic1468/message12212/ Mon, 24 Jan 2011 18:28:39 +0300 Обнаружение вредоносного кода и ложные срабатывания