Перейти к содержанию

KIS 2013 или ESET SS 6

Svetlana82

Автор Svetlana82
в Опросы

 Поделиться

Рекомендуемые сообщения

CatalystX

CatalystX

Опубликовано
Опубликовано
pguard_rxykeum.exe в автозагрузке, это дроппер Gapz и MD5 и другие хеши у них одинаковые/идентичные.

У моего "дроппера" хэш - e5b9295e0b147501f47e2fcba93deb6c.

У настоящего дроппера - 4768c3d2b522c8f42a2123594961dea3d531876aacd47fce626d70fe9eca0cd6.

А совпадающие CRC32 не более чем подделка.

  • Ответов 624
  • Создана
  • Последний ответ

Топ авторов темы

  • CatalystX

    137

  • EVIK

    125

  • Maratka

    47

  • Kapral

    44

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Yustas
Yustas

Поздравляю! И у нас скоро будет новая версия антивируса, ну и что с того? К чему этот спор? Зачем кому-то еще писать о том, что и так всем очевидно?

kmscom
kmscom

мне по барабану что ты пользователь НОД. я не расист, но говорить что один продукт релиз кандидат, а другой бета, это тоже самое что сказать на "одну палочку печенья шоколод льется вертикально, а на д

Yustas
Yustas

Бред полный. Вы хоть сами поняли, что написали? Кто тормозит, КИС? Я пользуюсь КИСом, начиная с 8й версии, на среднем железе - никогда тормозов не наблюдал. Нормально работает как с Windows XP так и

Изображения в теме

EVIK

EVIK

Опубликовано
Опубликовано (изменено)

МD5 одинаковые, прием.

https://www.virustotal.com/ru/file/4768c3d2...sis/1363787367/

pguard_rxykeum.exe

MD5: e5b9295e0b147501f47e2fcba93deb6c

C:\Documents and Settings\All Users\Application Data\PiracyGuard\pguard_xdnylpt.exe - Win32/Gapz.A trojan - cleaned by deleting - quarantined [1]

:)

Изменено пользователем EVIK
Maratka

Maratka

Опубликовано
Опубликовано

Виталик, если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

 

А раз не выносит - значит в автозагрузке его нет.

И потому этот файл - просто файл. Не опасный, т.к. поведенческая сигнатура для него под SW была написана еще в году мохнатом.

EVIK

EVIK

Опубликовано
Опубликовано

Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

:)

CatalystX

CatalystX

Опубликовано
Опубликовано (изменено)
МD5 одинаковые, прием.

MD5: e5b9295e0b147501f47e2fcba93deb6c

И че?

если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

А раз не выносит - значит в автозагрузке его нет.

КИС при скане CriticalAreasScan выносит pguard_rxykeum.exe и его ключ запуска, но сам экзешник создает лишь файл, в папке где находится, - info.dat, в котором только одна строчка - "V-|JQV-|JQ". Может это зашифрованный IP адрес ком.центра, а может идентификатор бота.

Для Виталика: pguard_rxykeum.exe хоть и имеет одинаковый хэш(по неизвестным причинам) с установщиком руткита, но pguard_rxykeum.exe заражение не восстанавливает. Это тоже самое что сделать дамп TDSS File System и орать что находящийся там файл tdl является драйвером TDL4, а значит что если его закинуть в автозагрузку(неважно куда), то руткит будет работать даже без заражения MBR.

Изменено пользователем CatalystX
Maratka

Maratka

Опубликовано
Опубликовано
Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

:)

Виталик, либо ты дурак, либо одно из двух.

 

Назови плих любую утилиту от Eset, равно как и от любого другого производителя, которая является исключительно сканером, т.к. не имеет монитора, но видит инжект. Или установку драйвера. Или изменение ключа автозагрузки. Или запуск процесса.

И на все это дело спрашивает: разрешить? Да/Нет.

 

А также назови пять причин, почему TDSS Killer должен детектить Gapz. Если нет возможности назвать пять - назови одну.

CatalystX

CatalystX

Опубликовано
Опубликовано

Из отчета разведки: плохой детект и лечение нодом руткитов, из-за того что, Саша Матросов и Женя Родионов пользуются только Kaspersky Internet Security :lol:

  • 2 недели спустя...
EVIK

EVIK

Опубликовано
Опубликовано (изменено)

Не, там Александр Гостев и Евгений Касперский пользуются NOD32. Я первый тут написал, не тыреть у меня! :)

 

А Касперский вирусы не ловит. :)

https://www.virustotal.com/ru/file/06401b44...sis/1365158005/

MD5: b20924d27288e5e59d1bd74ce25a8434

Operating memory » explorer.exe(2280) - a variant of Win32/Gapz.A trojan - unable to clean

 

05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

post-27165-1365158542_thumb.png

post-27165-1365158636_thumb.png

Изменено пользователем EVIK
CatalystX

CatalystX

Опубликовано
Опубликовано (изменено)
05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

А толк? Все равно у ЕSET детект по несколько дней добавляется.

У каспера это реализовано намного лучше - подозрительный файл отправляется через КСН в ЛК, а через пару минут приходит UDS детект, а через пару часов - сигнатура. :)

Проверял с другом, с помощью трояна Зевс который был закриптован полиморфным криптором. Но не смотря на то, что у друга запускался чистый Зевс, Зевс все равно не смог установится - его поймал System Watcher - PDM.Trojan.Win32.Generic. Система осталась чистой и у каспера были настройки по умолчанию. А нод так умеет, при настройках по умолчанию? :)

Александр Гостев и Евгений Касперский пользуются NOD32

Они уж точно таким дер..ом не пользуются. Либо КИС, либо линукс. Третьего не дано.

Изменено пользователем CatalystX
EVIK

EVIK

Опубликовано
Опубликовано (изменено)

А у нас детектирует Zero Day с точным вердиктом и удаляет. А Gapz в следующие обновление добавили в базы.

:)

 

 

Почему-то дикий винлок заблокировал Касперского во втором ролике. :)

 

 

 

Не бывает такого упаковщика, протектора, который сможет обойти NOD32.

Heuristics – detection directly in memory

 

 

А у нас ещё есть:

Advanced heuristics on file execution

Internet heuristics

Heuristics

Advanced heuristics/DNA/Smart signatures

ThreatSense(is technology consists of many complex threat detection methods..)

Live Grid

IDS

HIPS(автоматический режим с моими правилами)

SysInspector Live Grid

 

Да и модули нам обновляют и улучшают постоянно.

 

Сегодня антивирус у меня сам обновился до новой версии 6.0.316.0, а потом обновится до 6.2, а далее до 7 версии. :good:

 

А Касперский до сих пор даже не умеет распаковывать протектор ENIGMA(уже 2 года не умеет!).

http://forum.drweb.com/index.php?showtopic...12&p=659732

 

А вот тут ещё 2 протектора, и дикий винлок:

http://forum.drweb.com/index.php?showtopic...12&p=659916

:ded:

Изменено пользователем EVIK
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Кто же тестирует на бета версии KIS? Виталик наверное не знал, то что Kaspersky Internet Security Technical Preview это бета версия антивируса. Также не понятно какие настройки использовались в бета версии KIS и был ли включен автоматический режим принятия решений? Вообщем баян :)

Изменено пользователем mike 1
  • Согласен 1
mike 1

mike 1

Опубликовано
Опубликовано
Во втором ролике релиз, все настройки KIS по умолчанию. :)

Тогда почему у тебя Kaspersky Internet Security Technical Preview? (Это бета версия антивируса) :)

skril

skril

Опубликовано
Опубликовано

А кто пробовал Emsisoft Emergency Kit он даже после Касперыча пару штук находит......

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ArCtic
      Не запускается KIS
      Автор ArCtic
      Здравствуйте, перестал запускаться KIS, обновление тоже не выполняется.
      CollectionLog-2023.10.29-14.47.zip
    • ska79
      Камчатка для KIS 20.0.14.1085
      Автор ska79
      Для создания скина были использованы фотографии и части фотографий из путешествия Евгения Валентиновича Касперского  https://forum.kasperskyclub.ru/index.php?showtopic=60297
       
      Для установки скина выполните:
      1 Отключите самозащиту и выгрузите продукт.
      2 Распакуйте архив на рабочий стол.
      3 Папку ru-RU из архива поместите в папку
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\skin\resources
      4 Запустите продукт и включите самозащиту.
       
       
       
      upd:
      версия 1.1 подогнал фотографию, покрасил светофоры, покрасил фон второстепееных окон (обновление и т.д.).
      Недоработки: в мониторинге программ.
      Камчаткаv1.1.zip
    • сергей 14
      переход с KIS на Standard
      Автор сергей 14
      У меня стоит KIS на 2 устройство-на ноутбуке и на телефоне Андроид, хотел перейти вручную на Стандарт, но прочитал, что приложения Андроид недоступны (см.скриншот). Я правильно пониамю. что есля перейду вручную на телефоне Андроид останется KIS, а на ноутбуке будет Стандарт? И когда KIS автоматически  обновится до Kaspersky Standard , то и на Андроиде будет доступен? Или как-то по-другому, разъясните.пожалуйста.

    • Vladimir77
      KIS, проблема с avpui.exe
      Автор Vladimir77
      KIS последней версии 391(k). Windows 10 (22h2-19045.4170) В диспетчере задач процесс - avpui.exe*32, сразу после загрузки начинает судорожно потреблять память по кругу. Т.е. стартует с минимального размера в несколько сотен килобайт, затем в течении нескольких минут постоянно растет, докатывается до нескольких сотен мегов и снова падает до минимального размера. Так по кругу вплоть до завершения работы компа. Все это происходит на ничем не нагруженной системе, и каспер тоже ничего в этот момент не делает. Проверил на ноуте, с такой же 10-кой / KIS, эффект тот же.
      Это нормально?
    • CBUAleksandrK
      Trojan.Multi.Agent.gen KIS требуется помощь
      Автор CBUAleksandrK
      Добрый день! Знакомая, с ее слов, скачала книгу в формате doc/docx (Ворд, конкретно формат не знаю, к сожалению, она тоже, т.к. не понимает в этом), сейчас у нее KIS ругается на троян в оперативной памяти, лечение с перезагрузкой, к сожалению, не помогает, тот же самый троян после перезагрузки машины KIS видит вновь. Логи с Автологгера и скрин из KIS прикладываю, надеюсь все корректно оформил. Заранее спасибо!

      CollectionLog-2025.05.13-16.38.zip
×
×
  • Создать...