Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1546 1547 1548 1549 1550 1551 1552 1553 1554 1555 1556 ... 1784 След.
[ Закрыто] Бета-версии 5 поколения продуктов ESET
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2011 23:06:20
достаточно хитрый обход защиты.
первоначально, видимо заражается userinit.exe, taskmgr.exe
поскольку правила HIPS я не сохранял для 22cc6c32.exe (не вполне корректно провел эксперимент), возможно локер прописался в реестр после перезагрузки, после запуска зараженного userinit.exe.
Изменено: santy - 23.05.2011 23:07:03
[ Как создать образ автозапуска? ]
Перейти
Виндовс заблокирован до получения оплаты за услугу...
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2011 22:28:00
необходимо,
скачать отсюда загрузочный образ winpe&uvS
http://dl.dropbox.com/u/23461204/winpe_x86%26uvs.iso
записать на чистой системе данный образ на диск CD-R,
далее, на зараженной системе при начальной загрузке зайти в BIOS (часто по клавише F2, в зависимости от типа BIOS)
в настройках BIOS установить приоритет загрузки с CD,
сохранить настройки,
вставить в CD-room загрузочный диск,
перегрузить систему,
далее, автоматически запустится uVS

вам необходимо создать образ автозапуска зараженной системы,
http://forum.esetnod32.ru/forum9/topic683/
применительно к случаю загрузки с Live.CD,
сохранить его на съемный носитель, например флэшку,
и передать файл образа автозапуска сюда, на форум.
Изменено: santy - 23.05.2011 22:34:07
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Бета-версии 5 поколения продуктов ESET
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2011 21:47:42
кстати, провел эксперимент с Winlock (vmware, XP SP3, ESS5). Отключил файловую защиту, HIPS включен в интерактивном режиме. Запускаю 22cc6c32.exe из папки, исключенной из проверки. HIPS перехватывает запуск, создание записи в реестре (ключ winlogon\shell)... запрещаю открытие процессов, запуск, изменение ключа в реестре... в итоге получаю блокирующий экран, перегружаю виртуальную машину - получаю блокирующий экран после авторизации пользователя (видимо все таки успел заразить_заменить userinit.exe)... загружаюсь с Winpe&uvs - в автозагрузке 22сс6с32.exe (стартует из Winlogon\shell), а так же пара зараженных файлов: userinit.exe, taskmgr.exe, которые находится благодаря сигнатуре 22сс6с32.exe.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Бета-версии 5 поколения продуктов ESET
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2011 18:02:42
диск рабочий, при наличие сети, антивирус, собранный на базе ESET NOD32 for Linux Desktop (ver 4.0.63) может обновить базы, в списке других установленных программ - firefox, запускается со стартовой страницей esetnod32.ru.
Вобщем инструмент полезный, будем рекомендовать при лечении файлового заражения.

Может имеет смысл сделать отдельную тему по ESET NOD32.LiveCd русской сборки?
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Бета-версии 5 поколения продуктов ESET
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2011 11:21:00
Цитата
Алексей пишет:
Заменяет значение userinit и shell на стандартные
тогда возможно следует учесть, что некоторые разновидности блокеров заменяют системные файлы userinit.exe, taskmgr.exe, т.е. предусмотреть каким то образом их замену.
(в uVS мы это можем сделать т.о., что в каталог STORE помещаем указанные системные файлы, и по команде "восстановить файлы из хранилища" uVS найдет нужные для данной ОС файлы для замены зараженных локерами.)
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Бета-версии 5 поколения продуктов ESET
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2011 10:31:41
Алексей, вопрос не совсем в тему, по Live.CD вот отсюда
http://www.esetnod32.ru/.download/livecd/
скачал пока iso, и посмотрел документацию, (протестирую только вечером) но любопытно наперед:
что за функция userinit_fix? какие действия она выполняет?
Цитата
По окончании сканирования запустите файл Userinit_fix, который находится на рабочем столе.
Следуйте указаниям, которые появятся в черном окне.
+ переместить букву н в нужном направлении из этого сообщения,  т.е. фразу надо бы усовершенствовать. :).
Цитата
Усовершеннствованый антиспам-модуль стал еще более мощным средством защиты от нежелательной почты и позволяет достичь более точного уровня обнаружения всех видов угроз.
отсюда. :).
http://www.esetnod32.ru/.download/beta/
[ Как создать образ автозапуска? ]
Перейти
Диагностика подключения клиентов к ERA, SS молча не подключается к ERA
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.05.2011 17:48:30
также,
проверьте возможность подключения клиентов к серверу ERA, поменяв в настройках администрирования сервер подключения:
указать либо DNS.name хоста где установлен сервер ERA,
указать IP хоста, где установлен сервер ERA.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Virut.NBP virus, ESET NOD32 Antivirus не лечит полиморфный вирус Virut.NBP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.05.2011 08:37:20
во-первых, мы так и не увидели журнал обнаруженных угроз, с компьютеров, которые подверглись атаке Virut,
во вторых, возможно в локальной сети - проходной двор для сетевых вирусов - расшарены ресурсы для записи, слабые админские пароли, благодаря чему Virut может подключиться через админские шары и заражать исполняемые файлы очень быстро, так что файловый монитор не успеет за ним излечивать заражение.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка обновления баз сигнатур, проблема с обновлением
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.05.2011 08:33:09
Цитата
id35200937 пишет:
Устарели базы сигнатур, так как не происходит обновление.
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic683/
[ Как создать образ автозапуска? ]
Перейти
Universal Virus Sniffer (uVS)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2011 10:14:07
Версия 3.62

Цитата
o Улучшена функция добавления в список плагинов браузеров Opera/Firefox.
(для "portable" версий браузеров).

o Новая горячая клавиша:
Alt+Enter - Открыть свойства файла.

o Оптимизирован альтернативный режим сканирования.

o Проверка на наличие каталогов для временных файлов.

o Расширен набор известных файлов принудительно добавляемых в список.

o Расширен список известных файлов при отсутствии которых в лог выдается предупреждение.

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=130829
Изменено: santy - 06.06.2011 08:08:43
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1546 1547 1548 1549 1550 1551 1552 1553 1554 1555 1556 ... 1784 След.