EVIK 4 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 (изменено) EVIK, ну и зачем тебе зверек? Во первых, я проверю детектирование активного руткита на Windows 7 x64. Я выведу из строя компоненты NOD32, установлю Gaps и перезагружу ПК. А во вторых, можешь защитить семпл Gaps любым протектором, платным и самым новым(только чтобы потом файл работал), передать мне. Я запущу Gaps, а затем HIPS остановит выполнение Gaps в оперативной памяти, там где я захочу. NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит. P.S. SysInspector уже давно поддерживает Live Grid, эвристики. Но, он ещё в глубокой разработке, так что нечего его скриншотить. Он ешё потом и лечить наверное будет всё, сейчас лечит только Mebroot. Изменено 7 марта, 2013 пользователем EVIK Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 NOD32 моймает Gaps в оперативной памяти с точным вердиктом и удалит, Zero-day. ПК будет чистый, значит лечит. Говорили, балакали - сели и заплакали. Facepalm. Я тебе показал что каспер ловит дропера, а значит, по твоему, лечит, то скажи мне одно - зачем тогда ЛК добавляет сигнатуры и разрабатывает лечение на руткиты в памяти и в загрузочных секторах? Видать на работе аналитикам ЛК делать нечего, косынки уже с закрытыми глазами расскладывают, порнуху качать некуда, все компы в компании ею забиты, вот сидят бедняжки пишут сигнатуры на зараженные MBR/VBR и руткитовые драйвера. Что бы руткит стал активным, нужно после отработки дропера ребутнуть машину. Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 Я всё понимаю, защищай любым протектором Gaps. Проверь файл, чтобы он после протектора работал. И передавай мне, я всё проверю и посмотрю! Цитата Ссылка на сообщение Поделиться на другие сайты
Maratka 68 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 EVIK, ну и зачем тебе зверек? Что бы ты опять мне показал детект установщика буткита, а не реакцию на активный буткит который уже прописался в hidden sectors, а его потоки в процессах уже соединены с командными центрами ботсети.Ты в предыдущем посте описал как раз детект установщика, а не руткита в бут секторах. На скрине: каспер поймал дроппера буткита и запретил исполнение хипсом. Машина чистая. Ух какая з.....а! Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 (изменено) Вот какого это ***** нод не устанавливается? Доходит до установки драйверов и бац - "Откат изменений". Каспер без проблем устанавливается, нортон тоже, руткитов и прочего что может мешать установки нет. Так какого ******* появляется "Откат изменений"? Строгое предупреждение от модератора Roman_Five Напоминаю про п. 6 Правил. Изменено 7 марта, 2013 пользователем Roman_Five censored Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 Скачай удалялку, Касперского и ESET. Может ключи реестра или драйверы остались, если чего начудил. Цитата Ссылка на сообщение Поделиться на другие сайты
-=Kirill Strelets=- 179 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 Скачай удалялку, Касперского и ESET. Может ключи реестра или драйверы остались, если чего начудил. Точно, а ещё надо попробовать заново скачать дистрибутив ESET'a, вдруг он повредился при загрузке Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 Если действительная цифровая подпись есть, значит дистрибутив точно не поврежден. Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку. Цитата Ссылка на сообщение Поделиться на другие сайты
-=Kirill Strelets=- 179 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 Да всем пользовался, и удалялками есета и ЛК, и реестр после удалялок на всякий чистил, и папки оставшиеся искал - все без толку. А в безопасном режиме пробовал устанавливать? Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 Ладно, Виталь, скину я тебе CPD.B. Но отчет нарисовать следующим образом: 1. Отключение авера и заражение системы, аллерты хипса и прочую фигню на дроппер не показывать. 2. Ребутаешь тачку и скачиваешь gmer. В Gmer снимаешь все галочки, кроме Devices и нажимаешь кнопку Scan. Руткит после ребута системы ставит IRP обработчики: IRP_MJ_INTERNAL_DEVICE_CONTROL и IRP_MJ_DEVICE_CONTROL. Скрин активных руткитовых обработчиков показать. Отмазки типа "обработчиков не было", "руткит не дает установить gmer'у свой драйвер" не катят. Обработчики появляются всегда когда руткит активен, gmer'у руткит не мешает. 3. Делаешь проверку TDSSKiller'ом, что бы мы могли убедится что перехватчики поставил именно CPD, а не другой руткит. Скрин показать. 4. Делаешь проверку антивирусом. P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать. Цитата Ссылка на сообщение Поделиться на другие сайты
Maratka 68 Опубликовано 7 марта, 2013 Share Опубликовано 7 марта, 2013 P.S без скринов проверки Gmer, TDSSKiller и eset'ом результат можешь даже не писать. Неплохо бы добавить, что все скрины должны быть на одном экране. А лучше - на видео. Цитата Ссылка на сообщение Поделиться на другие сайты
sergey888 61 Опубликовано 8 марта, 2013 Share Опубликовано 8 марта, 2013 Неплохо бы добавить, что все скрины должны быть на одном экране.А лучше - на видео. Все равно это будет не доказательство, составить с двух скринов один или просто подредактировать скрин дело пары минут для любого кто хоть чуть чуть разбирается в фотошоп или подобной проге. С видио сложнее но думаю тоже не проблема. Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 8 марта, 2013 Share Опубликовано 8 марта, 2013 Виталь, ну и где все? Или это так трудно? Или нод не видит активный руткит? Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 8 марта, 2013 Share Опубликовано 8 марта, 2013 (изменено) Вот там скриншоты, XP и Windows 7 x64. Смотря в какой процесс инжект, тот и попытается записать в автозагрузку, получить прямой доступ к диску, установить службу и так далее. Процесс инфицирован Gaps - запретить. У меня автоматический режим с моими правилами, алертов очень мало. ПК остался чистым. Вероятность заражения такой поделкой равняется нулю - для меня, она даже UAC с синим алертом у меня не обойдет. Кстати, сам процесс CPD.exe тоже попался в оперативной памяти. А для активного Gaps, скоро выпустят новый модуль Anti-Stealth support module: 1039 (20130205), сейчас такой. Это Касперский, по быстрому из всяких там соплей слепит - непонятно чего, с любыми багами и тормозами, синими экранами, а на следующий день школьники в ЛК опять всё переделывают. А там, всё тщательно разрабатывают, качественно, фундаментально, потом всё проверяют и тестируют. Изменено 8 марта, 2013 пользователем EVIK Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.