Vba32 AntiRootkit 3.12.5 beta - Страница 8 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
sergey ulasen

Vba32 AntiRootkit 3.12.5 beta

Автор sergey ulasen, в Выбор домашних средств защиты

Recommended Posts

amid525    67

amid525
Опубликовано

Отправил save zipped log.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitry Varshavsky    65

Dmitry Varshavsky
Опубликовано
Отправил save zipped log.

Посмотрел ваш лог. Комментарии следующие:

1. У вас модифицированная загрузочная запись, а оригинальный загрузочный код лежит в 22м секторе и подсовывается пользовательским приложениям. Этим безобразием занимается драйвер Shield.sys от Horizon DataSys, причём они даже не удосужились его подписать. Видимо, вы используете их продукт RollBack Rx PC ( или аналогичный ). Моё мнение по данного рода продуктам резко негативное. Тут расписано подробно.

2. Куча красных записей в процесс листе связана с продуктом от Emsisoft Anti-Malware, чьи .dll грузятся практически во все процессы. По логу однозначно сказать нельзя, но одно из двух - либо продукт недавно обновился и поэтому .dll на диске не успела обновится ( обновилась только в кеше файловой системы ), что маловероятно, либо это связано с механизмом работы ( самозащиты ) продукта Anti-Malware.

3. Несколько смущают следующие файлы:

C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

Их надо смотреть отдельно. Флеш плеер в этот день не обновлялся?

4. Не могли ли вы сделать лог ещё раз для сравнения? Некоторые вопросы бы отпали.

Да, и пришлите пожалуйста дамп, для того чтобы исправить вылет. Я так понимаю он проходит только на выделенном рабочем столе ?

Спасибо.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано
Моё мнение по данного рода продуктам резко негативное. Тут расписано подробно.
Он самый RollBack Rx. Прочел вашу ссылку. Опасения "в теории" понятны. Но тут как - лучше в лес не ходить, ведь там волки бывают, вдруг съедят. ) Есть разве достойная и надежная альтернатива?

Но а выручает эта программа меня(и знакомых)регулярно. Не знаю, сколько-бы мне без нее раз, пришлось винду переустанавливать :facepalm: , когда нечаянно что нибудь испорчу, удалю не то(люблю эксперементировать, и разный софт ставить..) Когда и в безопасный режим уже не возможно загрузиться.. А тут рестарт с выбором точки отката, и все впорядке, как ни в чем не бывало.. Но это мое имхо о ее плюсах и минусе виртуальном..

3. Несколько смущают следующие файлы:

C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

Их надо смотреть отдельно. Флеш плеер в этот день не обновлялся?

Сообщении ни каких не замечал. :unsure:
4. Не могли ли вы сделать лог ещё раз для сравнения? Некоторые вопросы бы отпали.

Высылаю.

Да, и пришлите пожалуйста дамп, для того чтобы исправить вылет. Я так понимаю он проходит только на выделенном рабочем столе ?
Да. Но Подкачка у меня отключена, дампа нет как понимаю...?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Groft    65

Groft
Опубликовано
Он самый RollBack Rx. Прочел вашу ссылку. Опасения "в теории" понятны. Но тут как - лучше в лес не ходить, ведь там волки бывают, вдруг съедят. ) Есть разве достойная и надежная альтернатива?

Но а выручает эта программа меня(и знакомых)регулярно. Не знаю, сколько-бы мне без нее раз, пришлось винду переустанавливать :facepalm: , когда нечаянно что нибудь испорчу, удалю не то(люблю эксперементировать, и разный софт ставить..) Когда и в безопасный режим уже не возможно загрузиться.. А тут рестарт с выбором точки отката, и все впорядке, как ни в чем не бывало.. Но это мое имхо о ее плюсах и минусе виртуальном..

Acronis True Image

Сообщении ни каких не замечал. :unsure:

У Adobe в настройках скорей всего стоит режим "тихих обновлений". Это значит, что для пользователя обновления до новой версии флеш плеера проходят незаметно. После перезагрузки системы статус "Forged" должен пропасть (завтро проверим Ваш фаел отчета).

Да. Но Подкачка у меня отключена, дампа нет как понимаю...?

Требуется включить файл подкачки. Тут можно прочитать как.

После включения файла подкачки нужно воспроизвести "синий экран". После перезагрузки в C:\windows\ образуется дамп под названием "MEMORY.DMP", который нужно заархивировать и выслать нам для исправления падения нашего продукта.

Спасибо!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitry Varshavsky    65

Dmitry Varshavsky
Опубликовано
Да. Но Подкачка у меня отключена, дампа нет как понимаю...?

Минидамп должен был сгенерироваться в любом случае. Обычно лежит в %SystemRoot%\Minidump. Для лучшего анализа, конечно, нужен кернел дамп.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано
Acronis True Image

Делаю и им образ раз в пол года на съемный диск, на всякий случай(поломки винчестера например). Постоянно пользоваться им - неудобно и долго..

RollBack Rx - делает каждое утро снимок автоматом, что гораздо удобнее.

Требуется включить файл подкачки. Тут можно прочитать как.
Как включить я знаю. Отключил для лучшего быстродействия системы. )
После включения файла подкачки нужно воспроизвести "синий экран". После перезагрузки в C:\windows\ образуется дамп под названием "MEMORY.DMP", который нужно заархивировать и выслать нам для исправления падения нашего продукта.

Спасибо!

Хорошо, попробую.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано

Включил подкачку, просканировал в усиленном режиме, и как ни странно, в синий не выпал п.к. Может совпадение... :rolleyes:

высылаю новый дамп.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Groft    65

Groft
Опубликовано
Включил подкачку, просканировал в усиленном режиме, и как ни странно, в синий не выпал п.к. Может совпадение... :rolleyes:

высылаю новый дамп.

Попробуйте поработать пару часиков за своим компьютером и потом запустить антируткит в усиленном режиме. Если в течении нескольких дней "синий экран" не повторится, то спишем на совпадение. К слову говоря, еще не факт, что именно из-за нас система падала в "синий экран". Точный вердикт можно поставить только посмотрев дамп, которого, к сожалению, получить не удалось.

Что касается лога, то по нашему мнению антируткит выдает верную информацию по "Forged" файлам. У Вас стоит много сторонних антируткит утилит, 2 антивирусных продукта и куча всякой всячины. Кто "виноват" в таком подозрительном логе трудно сказать. Как вариант, то можно сдампить нашим антируткитом "Forged" файлы из "Process Manager" и заслать выбранный Вами вирлаб.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор домашних средств защиты

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST  т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить  информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик.

      ---------------------------------------------------------
       4.99.12
      ---------------------------------------------------------
      o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
         поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
         посредников.
         (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
         (!) то удаление исключений возможно лишь при использовании виртуализации реестра
         (!) ИЛИ при приостановке защиты этого антивируса.
         (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
         (!) и лишь существенно замедляет и усложняет процесс лечения.

       o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
         (Доступно для Windows Vista+)

       o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
         к мерам противодействия поиску.

       o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
         которой в этой системе нет.

       o Антисплайсинг: расширен список контролируемых функций.

       
×