Перейти к содержанию

KIS 2013 или ESET SS 6


Svetlana82

Рекомендуемые сообщения

EVIK, ну и зачем тебе зверек?

 

Во первых, я проверю детектирование активного руткита на Windows 7 x64. Я выведу из строя компоненты NOD32, установлю Gaps и перезагружу ПК.

:)

 

 

А во вторых, можешь защитить семпл Gaps любым протектором, платным и самым новым(только чтобы потом файл работал), передать мне.

Я запущу Gaps, а затем HIPS остановит выполнение Gaps в оперативной памяти, там где я захочу. NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит.

:)

 

P.S.

SysInspector уже давно поддерживает Live Grid, эвристики. Но, он ещё в глубокой разработке, так что нечего его скриншотить. Он ешё потом и лечить наверное будет всё, сейчас лечит только Mebroot.

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит.

:)

Говорили, балакали - сели и заплакали. Facepalm.

Я тебе показал что каспер ловит дропера, а значит, по твоему, лечит, то скажи мне одно - зачем тогда ЛК добавляет сигнатуры и разрабатывает лечение на руткиты в памяти и в загрузочных секторах? Видать на работе аналитикам ЛК делать нечего, косынки уже с закрытыми глазами расскладывают, порнуху качать некуда, все компы в компании ею забиты, вот сидят бедняжки пишут сигнатуры на зараженные MBR/VBR и руткитовые драйвера.

Что бы руткит стал активным, нужно после отработки дропера ребутнуть машину.

Ссылка на комментарий
Поделиться на другие сайты

Я всё понимаю, защищай любым протектором Gaps. Проверь файл, чтобы он после протектора работал. И передавай мне, я всё проверю и посмотрю! :)

Ссылка на комментарий
Поделиться на другие сайты

EVIK, ну и зачем тебе зверек? Что бы ты опять мне показал детект установщика буткита, а не реакцию на активный буткит который уже прописался в hidden sectors, а его потоки в процессах уже соединены с командными центрами ботсети.

Ты в предыдущем посте описал как раз детект установщика, а не руткита в бут секторах.

На скрине: каспер поймал дроппера буткита и запретил исполнение хипсом. Машина чистая.

 

Ух какая з.....а!

Ссылка на комментарий
Поделиться на другие сайты

Вот какого это ***** нод не устанавливается? :) Доходит до установки драйверов и бац - "Откат изменений".

Каспер без проблем устанавливается, нортон тоже, руткитов и прочего что может мешать установки нет. Так какого ******* появляется "Откат изменений"?

 

Строгое предупреждение от модератора Roman_Five
Напоминаю про п. 6 Правил.
Изменено пользователем Roman_Five
censored
Ссылка на комментарий
Поделиться на другие сайты

Скачай удалялку, Касперского и ESET. Может ключи реестра или драйверы остались, если чего начудил. :)

Точно, а ещё надо попробовать заново скачать дистрибутив ESET'a, вдруг он повредился при загрузке

Ссылка на комментарий
Поделиться на другие сайты

Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку.

Ссылка на комментарий
Поделиться на другие сайты

Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку.

А в безопасном режиме пробовал устанавливать?

Ссылка на комментарий
Поделиться на другие сайты

Ладно, Виталь, скину я тебе CPD.B. Но отчет нарисовать следующим образом:

1. Отключение авера и заражение системы, аллерты хипса и прочую фигню на дроппер не показывать.

2. Ребутаешь тачку и скачиваешь gmer. В Gmer снимаешь все галочки, кроме Devices и нажимаешь кнопку Scan. Руткит после ребута системы ставит IRP обработчики: IRP_MJ_INTERNAL_DEVICE_CONTROL и IRP_MJ_DEVICE_CONTROL. Скрин активных руткитовых обработчиков показать. Отмазки типа "обработчиков не было", "руткит не дает установить gmer'у свой драйвер" не катят. Обработчики появляются всегда когда руткит активен, gmer'у руткит не мешает.

3. Делаешь проверку TDSSKiller'ом, что бы мы могли убедится что перехватчики поставил именно CPD, а не другой руткит. Скрин показать.

4. Делаешь проверку антивирусом.

P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать.

Ссылка на комментарий
Поделиться на другие сайты

P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать.

Неплохо бы добавить, что все скрины должны быть на одном экране.

А лучше - на видео. :)

Ссылка на комментарий
Поделиться на другие сайты

Неплохо бы добавить, что все скрины должны быть на одном экране.

А лучше - на видео. :)

 

Все равно это будет не доказательство, составить с двух скринов один или просто подредактировать скрин дело пары минут для любого кто хоть чуть чуть разбирается в фотошоп или подобной проге. С видио сложнее но думаю тоже не проблема. :)

Ссылка на комментарий
Поделиться на другие сайты

Вот там скриншоты, XP и Windows 7 x64. Смотря в какой процесс инжект, тот и попытается записать в автозагрузку, получить прямой доступ к диску, установить службу и так далее. Процесс инфицирован Gaps - запретить. У меня автоматический режим с моими правилами, алертов очень мало. ПК остался чистым.

 

Вероятность заражения такой поделкой равняется нулю - для меня, она даже UAC с синим алертом у меня не обойдет. :)

 

Кстати, сам процесс CPD.exe тоже попался в оперативной памяти.

 

А для активного Gaps, скоро выпустят новый модуль Anti-Stealth support module: 1039 (20130205), сейчас такой. Это Касперский, по быстрому из всяких там соплей слепит - непонятно чего, с любыми багами и тормозами, синими экранами, а на следующий день школьники в ЛК опять всё переделывают. А там, всё тщательно разрабатывают, качественно, фундаментально, потом всё проверяют и тестируют.

:lol:

post-27165-1362747635_thumb.png

post-27165-1362747652_thumb.png

post-27165-1362747841_thumb.png

post-27165-1362747852_thumb.png

post-27165-1362748056_thumb.png

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Камиль Махмутянов
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • LordKunsaid
      От LordKunsaid
      При сканировании выскочило окно уведомления о найденной проблеме. Но я не хочу лечить этот файл. Я хочу добавить его в исключения. Но там нет такого пункта. Почему? Это первый вопрос.
      Второй вопрос, как удалить это окно? Оно висит и висит на рабочем столе, мешает.

    • Андрей2029
      От Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


    • ska79
      От ska79
      Для создания скина были использованы фотографии и части фотографий из путешествия Евгения Валентиновича Касперского  https://forum.kasperskyclub.ru/index.php?showtopic=60297
       
      Для установки скина выполните:
      1 Отключите самозащиту и выгрузите продукт.
      2 Распакуйте архив на рабочий стол.
      3 Папку ru-RU из архива поместите в папку
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\skin\resources
      4 Запустите продукт и включите самозащиту.
       
       
       
      upd:
      версия 1.1 подогнал фотографию, покрасил светофоры, покрасил фон второстепееных окон (обновление и т.д.).
      Недоработки: в мониторинге программ.
      Камчаткаv1.1.zip
    • ArCtic
      От ArCtic
      Здравствуйте, перестал запускаться KIS, обновление тоже не выполняется.
      CollectionLog-2023.10.29-14.47.zip
×
×
  • Создать...