Закрытые темы - Страница 6 - Свободное общение - Форумы Anti-Malware.ru Перейти к содержанию
Maratka

Закрытые темы

Автор Maratka, в Свободное общение

Recommended Posts

Ingener    150

Ingener
Опубликовано

Чтож получается - hips KIS 2010, занявшего второе место в тесте Матоушека - пропустила эту фигульку и верь после этого тестам... Что такое - чем можно оправдать KIS 2010..? :lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Danilka    678

Danilka
Опубликовано
Лучше чем совершенствовать лечение - оттачивали бы движки и эвристику!!! Зачем лечить - лучше чтобы антивирус не пропускал (А если пропустил - всегда можно обратиться к хелперам). Так что функция лечения скорее второстепенная, а не главнейшая в антивирусах...

За движок не говорите- он очень как хорош в KIS и KAV. Эвристик- смотрите тесты 506 сборки KIS 2009 тут на портале- и это его не самые хорошие настройки(Марат ты в курсе о чем я...),а результат очень даже не плох.

Зачем лечить-а затем,что без лечения продукт пустышка и ничего более. Если он не лечит и не удаляет,то зачем он вообще нужен.. Можно и без помощи антивируса сидеть и не бояться "подхватить" что нибудь... Антивирус это прежде всего помошник в удалении зловредов,а уж потом защитник от них и то не главный,а главный защитник-это голова...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yen-Jasker    265

Yen-Jasker
Опубликовано
Ну и запрещай(жми -алерту сваю) у тебя вот такая штука сидить, (перегрузи пк на всяк случай) -MSIVXhwbenuprgoawadpuvhasbfokcfrbvsrm.sys

возьми гмер.

и две штуки вот типося таких

MSIVXptblirxtrlifpvjlxkjtgmossxypjgkb.dll

КИС УСЯ в штаны наложила вся обойдена и нечего не замечяеть и самозашита сказала Маратке -извини так страшно, так страшно, что я вся усикалася :lol:

Примечательно, что ESS4 437 видит rootkit(Win32/Rootkit.Agent.ODG, Win32/Agent.ODG , даже если не одного файла он не детектит, ещё примечательно что эту штуку вирусопесателям не обойти. И самозашита не усикалася.

И На вирус инфо-помогите куча потверждений-а скоко опыта у хелперов на эту тему- поинтересуйтесь :) да если-бы останавливала его хипс-99% узеров устанавливаюших кодек его установят :):lol:

Если полезть на по этой ссылке браузером, то КИС 2010 не выдает алерта, а просто рубит ссылку (сообщение в браузере).

А если полезть с виртуальной машины, то КИС на реальной машине выдает алерт. Но даже если разрешить, то IE на виртуальной машине ничего не качает (возможно что он и схватил вирус, там нет антивируса). Но в любом случае, КИС 2010 детектит этого зловреда так что тест не получится.

Нужно его где-то взять, кто смог скачать этого зловреда?

За движок не говорите- он очень как хорош в KIS. Эвристик- смотрите тесты 506 сборки KIS 2009 тут на портале- и это его не самые хорошие настройки(Марат ты в курсе о чем я...),а результат очень даже не плох.

Зачем лечить-а затем,что без лечения продукт пустышка и ничего более. Если он не лечит и не удаляет,то зачем он вообще нужен.. Можно и без помощи антивируса сидеть и не бояться "подхватить" что нибудь... Антивирус это прежде всего помошник в удалении зловредов,а уж потом защитник от них и то не главный,а главный защитник-это голова...

Поговорим о вирусе Avicodec.с (кажется так его звали), который заражал музыку (модифицировал файл) и КИС предлагал удалить музыку, хотя лечение было возможно :)?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest Просто_Юзер   

Guest Просто_Юзер
Опубликовано

А у меня по той ссылке вообще 404.Как и у Марата.

^^)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Danilka    678

Danilka
Опубликовано
Поговорим о вирусе Avicodec.с (кажется так его звали), который заражал музыку (модифицировал файл) и КИС предлагал удалить музыку, хотя лечение было возможно :)?

Да я не про то что лечить,а не удалять,а про то что лечить вирусы,и удалять все остальные зловреды. Вот.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ego Dekker    110

Ego Dekker
Опубликовано

Я успел скачать этот Kryptik.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest Просто_Юзер   

Guest Просто_Юзер
Опубликовано
Я успел скачать этот Kryptik.

Киньте в ПМ.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Danilka    678

Danilka
Опубликовано

Потом добро пожаловать на ВИ.... :D Заодно NIS проверьте,как он с ним справляется.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yen-Jasker    265

Yen-Jasker
Опубликовано
Киньте в ПМ.

Ну и что там за зверюга :)?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Maratka    30

Maratka
Опубликовано
http://radikal.ru/F/s51.radikal.ru/i133/09...42aa10.jpg.html

Вот,"Дополнительные параметры".

Нашёл скриншот.

Выскочил алерт, но поздно.... активность я запретил, но это уже было вторичным:

NIS.png

лог Gmer:

Library C:\WINDOWS\system32\dll.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [496]

Вывод: NIS 2009 не способен противостоять этой угрозе

post-1077-1246388593_thumb.png

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Danilka    678

Danilka
Опубликовано

Марат,спасибо.... ^_^

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest Просто_Юзер   

Guest Просто_Юзер
Опубликовано
Ну и что там за зверюга ?

Мне ешё не скинули.

Потом добро пожаловать на ВИ.... Заодно NIS проверьте,как он с ним справляется.

Так и хочется почему-то послать,да нельзя.Офанатели до "Не могу".

Или я похож на блондинку?

Марат,спасибо....

Зря,Вы,Марат сделали это.

Просто сейчас начнётся обострение.:D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
Чтож получается - hips KIS 2010, занявшего второе место в тесте Матоушека - пропустила эту фигульку и верь после этого тестам... Что такое - чем можно оправдать KIS 2010..? laugh.gif

Меньше слушайте и верьте абы кому ;)

KIS2010 блокирует инсталляцию данного руткита. Впрочем -скрин сотрудник ЛК уже давал на предыдущей странице.

Так же добавлю - что один из вариантов данного руктита будет в тесте на лечение активного заражения - вот там и поглядим, кто спустя год распространения стал детектировать его наличие, а кто еще и лечить стал ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest Просто_Юзер   

Guest Просто_Юзер
Опубликовано

О,криптик получил.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Danilka    678

Danilka
Опубликовано

Простите за оф.топ:

IE8: см.скрин. Кстати,а NIS 2009 его как нибудь детектит при загрузке или переходе на эту страницу?

1.jpg

post-5261-1246389119_thumb.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yen-Jasker    265

Yen-Jasker
Опубликовано
Простите за оф.топ:

IE8: см.скрин. Кстати,а NIS 2009 его как нибудь детектит при загрузке или переходе на эту страницу?

Его даже IE8 ловит? Тогда это не проблема, а пук :).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest Просто_Юзер   

Guest Просто_Юзер
Опубликовано

Блин,ну почему нельзя было раньше?Я только SEP снёс,проверил бы его Анти-руткит Веритас.

Смогу проверить всё только завтра,т.к. у меня траффик не безлимитный.И дистрибутив НИС у меня валяется 16.0.0.125.

А на СЕП надо качать обновлений 25 мб.

Но,чувствую,что результат мне известен будет...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest MVRoot   

Guest MVRoot
Опубликовано

C:\WINDOWS\system32\dll.dll C:\WINDOWS\system32\spoolsv.exe Ну такое сразу посля установки -там модуль и процесс они тоже скрытые-sysinspector видить, перегрузи, будять как написано выше)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Maratka    30

Maratka
Опубликовано
Зря,Вы,Марат сделали это.

Просто сейчас начнётся обострение.:D

Каким образом интересно?

в NIS'е есть зародыши ХИПСа, но на этом и все. Это даже доказывать не нужно - аксиома. Что тут обострять?

Так же как и вчера я писал, что в КИС2009 ХИПС есть, но по тесту Матусика (или как там его транслитировать по русски) он набирает всего 82%, что конечно же лучше 66% у мирового лидера NIS2009, но явно мало, как для нас самих.

Потому в 2010 версии ХИПС был изрядно улучшен - результат Вы могли видеть чуть выше...

http://www.anti-malware.ru/forum/index.php...ost&p=71098

C:\WINDOWS\system32\dll.dll C:\WINDOWS\system32\spoolsv.exe Ну такое сразу посля установки -там модуль и процесс они тоже скрытые-sysinspector видить, перегрузи, будять как написано выше)

а какой смысл в этих деталях?

главное уже сделано- зловред сидит активно в системе.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ingener    150

Ingener
Опубликовано
Меньше слушайте и верьте абы кому ;)

KIS2010 блокирует инсталляцию данного руткита. Впрочем -скрин сотрудник ЛК уже давал на предыдущей странице.

Так же добавлю - что один из вариантов данного руктита будет в тесте на лечение активного заражения - вот там и поглядим, кто спустя год распространения стал детектировать его наличие, а кто еще и лечить стал ;)

Так вот это он блокирует или нет:

Ну и запрещай(жми -алерту сваю) у тебя вот такая штука сидить, (перегрузи пк на всяк случай) -MSIVXhwbenuprgoawadpuvhasbfokcfrbvsrm.sys

возьми гмер.

и две штуки вот типося таких

MSIVXptblirxtrlifpvjlxkjtgmossxypjgkb.dll

КИС УСЯ в штаны наложила вся обойдена и нечего не замечяеть и самозашита сказала Маратке -извини так страшно, так страшно, что я вся усикалася :lol:

Примечательно, что ESS4 437 видит rootkit(Win32/Rootkit.Agent.ODG, Win32/Agent.ODG , даже если не одного файла он не детектит, ещё примечательно что эту штуку вирусопесателям не обойти. И самозашита не усикалася.

И На вирус инфо-помогите куча потверждений-а скоко опыта у хелперов на эту тему- поинтересуйтесь :) да если-бы останавливала его хипс-99% узеров устанавливаюших кодек его установят :):lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest Просто_Юзер   

Guest Просто_Юзер
Опубликовано
Каким образом интересно?

в NIS'е есть зародыши ХИПСа, но на этом и все. Это даже доказывать не нужно - аксиома. Что тут обострять?

Так же как и вчера я писал, что в КИС2009 ХИПС есть, но по тесту Матусика (или как там его транслитировать по русски) он набирает всего 82%, что конечно же лучше 66% у мирового лидера NIS2009, но явно мало, как для нас самих.

Потому в 2010 версии ХИПС был изрядно улучшен - результат Вы могли видеть чуть выше...

http://www.anti-malware.ru/forum/index.php...ost&p=71098

Я говорил о обострении фанатства от КИС.:)

Но я ошибся,пока что тишина.:)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Yen-Jasker    265

Yen-Jasker
Опубликовано

Дайте мне в ПМ этого зловреда.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
а какой смысл в этих деталях?

главное уже сделано- зловред сидит активно в системе.

Судя по скрину - NIS заблокировал обмен сетью процессу спулера. Стало быть - с конкретно этим вариантом руткита после ребута активного в системе ничего не будет ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest MVRoot   

Guest MVRoot
Опубликовано
Его даже IE8 ловит? Тогда это не проблема, а пук :).

этот сампл известин майкрософт, и ссылка -вот и блочат, только зайти, можно и другим браузером и скачнуть по другому.

Потом у вирусо песателей 5 мельонов и одна ссылки и они все меняются :), а сами файлы криптуются по 10 раз на дню, на самом деле такое базами и даже эвристикой можно брать только случайно. Когда это качает народ на вирус тотале нули, и майкрософт ещё не чего не знает.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
Так вот это он блокирует или нет:

Дубль два: этого не будет, т.к. инсталляция руктита будет заблокирована без алертов в любых режимах работы антивируса.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Перейти к списку тем Свободное общение

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×