EVIK Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 (изменено) EVIK, ну и зачем тебе зверек? Во первых, я проверю детектирование активного руткита на Windows 7 x64. Я выведу из строя компоненты NOD32, установлю Gaps и перезагружу ПК. А во вторых, можешь защитить семпл Gaps любым протектором, платным и самым новым(только чтобы потом файл работал), передать мне. Я запущу Gaps, а затем HIPS остановит выполнение Gaps в оперативной памяти, там где я захочу. NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит. P.S. SysInspector уже давно поддерживает Live Grid, эвристики. Но, он ещё в глубокой разработке, так что нечего его скриншотить. Он ешё потом и лечить наверное будет всё, сейчас лечит только Mebroot. Изменено 7 марта, 2013 пользователем EVIK Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит. Говорили, балакали - сели и заплакали. Facepalm. Я тебе показал что каспер ловит дропера, а значит, по твоему, лечит, то скажи мне одно - зачем тогда ЛК добавляет сигнатуры и разрабатывает лечение на руткиты в памяти и в загрузочных секторах? Видать на работе аналитикам ЛК делать нечего, косынки уже с закрытыми глазами расскладывают, порнуху качать некуда, все компы в компании ею забиты, вот сидят бедняжки пишут сигнатуры на зараженные MBR/VBR и руткитовые драйвера. Что бы руткит стал активным, нужно после отработки дропера ребутнуть машину. Ссылка на комментарий Поделиться на другие сайты Поделиться
EVIK Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 Я всё понимаю, защищай любым протектором Gaps. Проверь файл, чтобы он после протектора работал. И передавай мне, я всё проверю и посмотрю! Ссылка на комментарий Поделиться на другие сайты Поделиться
Maratka Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 EVIK, ну и зачем тебе зверек? Что бы ты опять мне показал детект установщика буткита, а не реакцию на активный буткит который уже прописался в hidden sectors, а его потоки в процессах уже соединены с командными центрами ботсети.Ты в предыдущем посте описал как раз детект установщика, а не руткита в бут секторах. На скрине: каспер поймал дроппера буткита и запретил исполнение хипсом. Машина чистая. Ух какая з.....а! Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 (изменено) Вот какого это ***** нод не устанавливается? Доходит до установки драйверов и бац - "Откат изменений". Каспер без проблем устанавливается, нортон тоже, руткитов и прочего что может мешать установки нет. Так какого ******* появляется "Откат изменений"? Строгое предупреждение от модератора Roman_Five Напоминаю про п. 6 Правил. Изменено 7 марта, 2013 пользователем Roman_Five censored Ссылка на комментарий Поделиться на другие сайты Поделиться
EVIK Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 Скачай удалялку, Касперского и ESET. Может ключи реестра или драйверы остались, если чего начудил. Ссылка на комментарий Поделиться на другие сайты Поделиться
-=Kirill Strelets=- Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 Скачай удалялку, Касперского и ESET. Может ключи реестра или драйверы остались, если чего начудил. Точно, а ещё надо попробовать заново скачать дистрибутив ESET'a, вдруг он повредился при загрузке Ссылка на комментарий Поделиться на другие сайты Поделиться
EVIK Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 Если действительная цифровая подпись есть, значит дистрибутив точно не поврежден. Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку. Ссылка на комментарий Поделиться на другие сайты Поделиться
-=Kirill Strelets=- Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку. А в безопасном режиме пробовал устанавливать? Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 Ладно, Виталь, скину я тебе CPD.B. Но отчет нарисовать следующим образом: 1. Отключение авера и заражение системы, аллерты хипса и прочую фигню на дроппер не показывать. 2. Ребутаешь тачку и скачиваешь gmer. В Gmer снимаешь все галочки, кроме Devices и нажимаешь кнопку Scan. Руткит после ребута системы ставит IRP обработчики: IRP_MJ_INTERNAL_DEVICE_CONTROL и IRP_MJ_DEVICE_CONTROL. Скрин активных руткитовых обработчиков показать. Отмазки типа "обработчиков не было", "руткит не дает установить gmer'у свой драйвер" не катят. Обработчики появляются всегда когда руткит активен, gmer'у руткит не мешает. 3. Делаешь проверку TDSSKiller'ом, что бы мы могли убедится что перехватчики поставил именно CPD, а не другой руткит. Скрин показать. 4. Делаешь проверку антивирусом. P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maratka Опубликовано 7 марта, 2013 Поделиться Опубликовано 7 марта, 2013 P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать. Неплохо бы добавить, что все скрины должны быть на одном экране. А лучше - на видео. Ссылка на комментарий Поделиться на другие сайты Поделиться
sergey888 Опубликовано 8 марта, 2013 Поделиться Опубликовано 8 марта, 2013 Неплохо бы добавить, что все скрины должны быть на одном экране.А лучше - на видео. Все равно это будет не доказательство, составить с двух скринов один или просто подредактировать скрин дело пары минут для любого кто хоть чуть чуть разбирается в фотошоп или подобной проге. С видио сложнее но думаю тоже не проблема. Ссылка на комментарий Поделиться на другие сайты Поделиться
CatalystX Опубликовано 8 марта, 2013 Поделиться Опубликовано 8 марта, 2013 Виталь, ну и где все? Или это так трудно? Или нод не видит активный руткит? Ссылка на комментарий Поделиться на другие сайты Поделиться
EVIK Опубликовано 8 марта, 2013 Поделиться Опубликовано 8 марта, 2013 (изменено) Вот там скриншоты, XP и Windows 7 x64. Смотря в какой процесс инжект, тот и попытается записать в автозагрузку, получить прямой доступ к диску, установить службу и так далее. Процесс инфицирован Gaps - запретить. У меня автоматический режим с моими правилами, алертов очень мало. ПК остался чистым. Вероятность заражения такой поделкой равняется нулю - для меня, она даже UAC с синим алертом у меня не обойдет. Кстати, сам процесс CPD.exe тоже попался в оперативной памяти. А для активного Gaps, скоро выпустят новый модуль Anti-Stealth support module: 1039 (20130205), сейчас такой. Это Касперский, по быстрому из всяких там соплей слепит - непонятно чего, с любыми багами и тормозами, синими экранами, а на следующий день школьники в ЛК опять всё переделывают. А там, всё тщательно разрабатывают, качественно, фундаментально, потом всё проверяют и тестируют. Изменено 8 марта, 2013 пользователем EVIK Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти