Перейти к содержанию

KIS 2013 или ESET SS 6


Svetlana82

Рекомендуемые сообщения

pguard_rxykeum.exe в автозагрузке, это дроппер Gapz и MD5 и другие хеши у них одинаковые/идентичные.

У моего "дроппера" хэш - e5b9295e0b147501f47e2fcba93deb6c.

У настоящего дроппера - 4768c3d2b522c8f42a2123594961dea3d531876aacd47fce626d70fe9eca0cd6.

А совпадающие CRC32 не более чем подделка.

Ссылка на комментарий
Поделиться на другие сайты

МD5 одинаковые, прием.

https://www.virustotal.com/ru/file/4768c3d2...sis/1363787367/

pguard_rxykeum.exe

MD5: e5b9295e0b147501f47e2fcba93deb6c

C:\Documents and Settings\All Users\Application Data\PiracyGuard\pguard_xdnylpt.exe - Win32/Gapz.A trojan - cleaned by deleting - quarantined [1]

:)

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

Виталик, если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

 

А раз не выносит - значит в автозагрузке его нет.

И потому этот файл - просто файл. Не опасный, т.к. поведенческая сигнатура для него под SW была написана еще в году мохнатом.

Ссылка на комментарий
Поделиться на другие сайты

Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

:)

Ссылка на комментарий
Поделиться на другие сайты

МD5 одинаковые, прием.

MD5: e5b9295e0b147501f47e2fcba93deb6c

И че?

если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

А раз не выносит - значит в автозагрузке его нет.

КИС при скане CriticalAreasScan выносит pguard_rxykeum.exe и его ключ запуска, но сам экзешник создает лишь файл, в папке где находится, - info.dat, в котором только одна строчка - "V-|JQV-|JQ". Может это зашифрованный IP адрес ком.центра, а может идентификатор бота.

Для Виталика: pguard_rxykeum.exe хоть и имеет одинаковый хэш(по неизвестным причинам) с установщиком руткита, но pguard_rxykeum.exe заражение не восстанавливает. Это тоже самое что сделать дамп TDSS File System и орать что находящийся там файл tdl является драйвером TDL4, а значит что если его закинуть в автозагрузку(неважно куда), то руткит будет работать даже без заражения MBR.

Изменено пользователем CatalystX
Ссылка на комментарий
Поделиться на другие сайты

Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

:)

Виталик, либо ты дурак, либо одно из двух.

 

Назови плих любую утилиту от Eset, равно как и от любого другого производителя, которая является исключительно сканером, т.к. не имеет монитора, но видит инжект. Или установку драйвера. Или изменение ключа автозагрузки. Или запуск процесса.

И на все это дело спрашивает: разрешить? Да/Нет.

 

А также назови пять причин, почему TDSS Killer должен детектить Gapz. Если нет возможности назвать пять - назови одну.

Ссылка на комментарий
Поделиться на другие сайты

Из отчета разведки: плохой детект и лечение нодом руткитов, из-за того что, Саша Матросов и Женя Родионов пользуются только Kaspersky Internet Security :lol:

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Не, там Александр Гостев и Евгений Касперский пользуются NOD32. Я первый тут написал, не тыреть у меня! :)

 

А Касперский вирусы не ловит. :)

https://www.virustotal.com/ru/file/06401b44...sis/1365158005/

MD5: b20924d27288e5e59d1bd74ce25a8434

Operating memory » explorer.exe(2280) - a variant of Win32/Gapz.A trojan - unable to clean

 

05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

post-27165-1365158542_thumb.png

post-27165-1365158636_thumb.png

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

Eset на VirusTotal почему-то тоже не ловит :)

 

https://www.virustotal.com/ru/file/06401b44...sis/1365158005/

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

А толк? Все равно у ЕSET детект по несколько дней добавляется.

У каспера это реализовано намного лучше - подозрительный файл отправляется через КСН в ЛК, а через пару минут приходит UDS детект, а через пару часов - сигнатура. :)

Проверял с другом, с помощью трояна Зевс который был закриптован полиморфным криптором. Но не смотря на то, что у друга запускался чистый Зевс, Зевс все равно не смог установится - его поймал System Watcher - PDM.Trojan.Win32.Generic. Система осталась чистой и у каспера были настройки по умолчанию. А нод так умеет, при настройках по умолчанию? :)

Александр Гостев и Евгений Касперский пользуются NOD32

Они уж точно таким дер..ом не пользуются. Либо КИС, либо линукс. Третьего не дано.

Изменено пользователем CatalystX
Ссылка на комментарий
Поделиться на другие сайты

А у нас детектирует Zero Day с точным вердиктом и удаляет. А Gapz в следующие обновление добавили в базы.

:)

 

 

Почему-то дикий винлок заблокировал Касперского во втором ролике. :)

 

 

 

Не бывает такого упаковщика, протектора, который сможет обойти NOD32.

Heuristics – detection directly in memory

 

 

А у нас ещё есть:

Advanced heuristics on file execution

Internet heuristics

Heuristics

Advanced heuristics/DNA/Smart signatures

ThreatSense(is technology consists of many complex threat detection methods..)

Live Grid

IDS

HIPS(автоматический режим с моими правилами)

SysInspector Live Grid

 

Да и модули нам обновляют и улучшают постоянно.

 

Сегодня антивирус у меня сам обновился до новой версии 6.0.316.0, а потом обновится до 6.2, а далее до 7 версии. :good:

 

А Касперский до сих пор даже не умеет распаковывать протектор ENIGMA(уже 2 года не умеет!).

http://forum.drweb.com/index.php?showtopic...12&p=659732

 

А вот тут ещё 2 протектора, и дикий винлок:

http://forum.drweb.com/index.php?showtopic...12&p=659916

:ded:

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

Кто же тестирует на бета версии KIS? Виталик наверное не знал, то что Kaspersky Internet Security Technical Preview это бета версия антивируса. Также не понятно какие настройки использовались в бета версии KIS и был ли включен автоматический режим принятия решений? Вообщем баян :)

Изменено пользователем mike 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Во втором ролике релиз, все настройки KIS по умолчанию. :)

Тогда почему у тебя Kaspersky Internet Security Technical Preview? (Это бета версия антивируса) :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Камиль Махмутянов
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • LordKunsaid
      От LordKunsaid
      При сканировании выскочило окно уведомления о найденной проблеме. Но я не хочу лечить этот файл. Я хочу добавить его в исключения. Но там нет такого пункта. Почему? Это первый вопрос.
      Второй вопрос, как удалить это окно? Оно висит и висит на рабочем столе, мешает.

    • Андрей2029
      От Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


    • ska79
      От ska79
      Для создания скина были использованы фотографии и части фотографий из путешествия Евгения Валентиновича Касперского  https://forum.kasperskyclub.ru/index.php?showtopic=60297
       
      Для установки скина выполните:
      1 Отключите самозащиту и выгрузите продукт.
      2 Распакуйте архив на рабочий стол.
      3 Папку ru-RU из архива поместите в папку
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\skin\resources
      4 Запустите продукт и включите самозащиту.
       
       
       
      upd:
      версия 1.1 подогнал фотографию, покрасил светофоры, покрасил фон второстепееных окон (обновление и т.д.).
      Недоработки: в мониторинге программ.
      Камчаткаv1.1.zip
    • ArCtic
      От ArCtic
      Здравствуйте, перестал запускаться KIS, обновление тоже не выполняется.
      CollectionLog-2023.10.29-14.47.zip
×
×
  • Создать...