KIS 2013 или ESET SS 6

[EVIK]

EVIK, ну и зачем тебе зверек?

 

Во первых, я проверю детектирование активного руткита на Windows 7 x64. Я выведу из строя компоненты NOD32, установлю Gaps и перезагружу ПК.

 

 

А во вторых, можешь защитить семпл Gaps любым протектором, платным и самым новым(только чтобы потом файл работал), передать мне.

Я запущу Gaps, а затем HIPS остановит выполнение Gaps в оперативной памяти, там где я захочу. NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит.

 

P.S.

SysInspector уже давно поддерживает Live Grid, эвристики. Но, он ещё в глубокой разработке, так что нечего его скриншотить. Он ешё потом и лечить наверное будет всё, сейчас лечит только Mebroot.

Изменено 7 марта, 2013 пользователем EVIK

[CatalystX]

NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит.

Говорили, балакали - сели и заплакали. Facepalm.

Я тебе показал что каспер ловит дропера, а значит, по твоему, лечит, то скажи мне одно - зачем тогда ЛК добавляет сигнатуры и разрабатывает лечение на руткиты в памяти и в загрузочных секторах? Видать на работе аналитикам ЛК делать нечего, косынки уже с закрытыми глазами расскладывают, порнуху качать некуда, все компы в компании ею забиты, вот сидят бедняжки пишут сигнатуры на зараженные MBR/VBR и руткитовые драйвера.

Что бы руткит стал активным, нужно после отработки дропера ребутнуть машину.

[EVIK]

Я всё понимаю, защищай любым протектором Gaps. Проверь файл, чтобы он после протектора работал. И передавай мне, я всё проверю и посмотрю!

[Maratka]

EVIK, ну и зачем тебе зверек? Что бы ты опять мне показал детект установщика буткита, а не реакцию на активный буткит который уже прописался в hidden sectors, а его потоки в процессах уже соединены с командными центрами ботсети.

Ты в предыдущем посте описал как раз детект установщика, а не руткита в бут секторах.

На скрине: каспер поймал дроппера буткита и запретил исполнение хипсом. Машина чистая.

 

Ух какая з.....а!

[CatalystX]

Вот какого это ***** нод не устанавливается? Доходит до установки драйверов и бац - "Откат изменений".

Каспер без проблем устанавливается, нортон тоже, руткитов и прочего что может мешать установки нет. Так какого ******* появляется "Откат изменений"?

 

Строгое предупреждение от модератора Roman_Five

Напоминаю про п. 6 Правил.

Изменено 7 марта, 2013 пользователем Roman_Five
censored

[EVIK]

Скачай удалялку, Касперского и ESET. Может ключи реестра или драйверы остались, если чего начудил.

[-=Kirill Strelets=-]

Скачай удалялку, Касперского и ESET. Может ключи реестра или драйверы остались, если чего начудил.

Точно, а ещё надо попробовать заново скачать дистрибутив ESET'a, вдруг он повредился при загрузке

[EVIK]

Если действительная цифровая подпись есть, значит дистрибутив точно не поврежден.

[CatalystX]

Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку.

[-=Kirill Strelets=-]

Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку.

А в безопасном режиме пробовал устанавливать?

[CatalystX]

Ладно, Виталь, скину я тебе CPD.B. Но отчет нарисовать следующим образом:

1. Отключение авера и заражение системы, аллерты хипса и прочую фигню на дроппер не показывать.

2. Ребутаешь тачку и скачиваешь gmer. В Gmer снимаешь все галочки, кроме Devices и нажимаешь кнопку Scan. Руткит после ребута системы ставит IRP обработчики: IRP_MJ_INTERNAL_DEVICE_CONTROL и IRP_MJ_DEVICE_CONTROL. Скрин активных руткитовых обработчиков показать. Отмазки типа "обработчиков не было", "руткит не дает установить gmer'у свой драйвер" не катят. Обработчики появляются всегда когда руткит активен, gmer'у руткит не мешает.

3. Делаешь проверку TDSSKiller'ом, что бы мы могли убедится что перехватчики поставил именно CPD, а не другой руткит. Скрин показать.

4. Делаешь проверку антивирусом.

P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать.

[Maratka]

P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать.

Неплохо бы добавить, что все скрины должны быть на одном экране.

А лучше - на видео.

[sergey888]

Неплохо бы добавить, что все скрины должны быть на одном экране.

А лучше - на видео.

 

Все равно это будет не доказательство, составить с двух скринов один или просто подредактировать скрин дело пары минут для любого кто хоть чуть чуть разбирается в фотошоп или подобной проге. С видио сложнее но думаю тоже не проблема.

[CatalystX]

Виталь, ну и где все? Или это так трудно? Или нод не видит активный руткит?

[EVIK]

Вот там скриншоты, XP и Windows 7 x64. Смотря в какой процесс инжект, тот и попытается записать в автозагрузку, получить прямой доступ к диску, установить службу и так далее. Процесс инфицирован Gaps - запретить. У меня автоматический режим с моими правилами, алертов очень мало. ПК остался чистым.

 

Вероятность заражения такой поделкой равняется нулю - для меня, она даже UAC с синим алертом у меня не обойдет.

 

Кстати, сам процесс CPD.exe тоже попался в оперативной памяти.

 

А для активного Gaps, скоро выпустят новый модуль Anti-Stealth support module: 1039 (20130205), сейчас такой. Это Касперский, по быстрому из всяких там соплей слепит - непонятно чего, с любыми багами и тормозами, синими экранами, а на следующий день школьники в ЛК опять всё переделывают. А там, всё тщательно разрабатывают, качественно, фундаментально, потом всё проверяют и тестируют.

Изменено 8 марта, 2013 пользователем EVIK