Перейти к содержанию

KIS 2013 или ESET SS 6


Svetlana82

Рекомендуемые сообщения

EVIK

Это вы кого пытаетесь уговорить что Нод лучше нас или себя? :happybirth:

Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу :)

Изменено пользователем sergey888
Ссылка на комментарий
Поделиться на другие сайты

Только не на виртуал боксе, ладушки?

Да нормально он там работает, на реальной машине было бы то-же самое. Как разработчики сделали лечение TDL3.273, так он и там на виртуальной машине стал лечить. Только через 3-6 месяцев.

:rolleyes:

 

EVIK

Это вы кого пытаетесь уговорить что Нод лучше нас или себя? :happybirth:

Если нас, то у вас слишком жидкие доказательства, если себя то продолжайте в том же духе, мы не будем мешать молиться вам вашему идолу :)

Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование.

-_-

 

http://www.eset.com/download/utilities/

http://kb.eset.com/esetkb/index?page=content&id=SOLN2372

+ ESET SysRescue, да и потом SysInspectot будит всё лечить, и что они потом будут говорить, это модуль антивируса. :)

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

Нет, просто они говорят что Касперский всё лечит, а лечит он не всё и не сразу, новые руткиты даже не видит, на всякий новый руткит разработчикам Касперского нужно делать лечение, и обноружение/детектирование.

:rolleyes:

 

Понятно что касперский не все лечит и вполне может что-то не увидеть, тут даже спору нет. И все же между каспер и нод я выбираю первый :)

И кстати я еще не видел форумов антивирусов где бы были одни положительные отзывы и все же анализируя отзывы, тесты и вообще общую информацию я выбрал именно касперский :happybirth:

Ссылка на комментарий
Поделиться на другие сайты

А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского нет.

:happybirth:

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

А я после Касперского выбрал именно NOD32, покупаю с версии 2.7. Так как он лучше, и причин чтобы выбирать/юзать Касперского у меня нет.

 

Лучше уж тогда совсем не ставь антивирь

Или ставь MSE - он хоть бесплатный в отличие от NOD32 - и походу даже лучше чем NOD

Ссылка на комментарий
Поделиться на другие сайты

Похоже, начался банальный холивар. Топикстартер еще две страницы назад перестал появляться

в теме, а споры до сих пор не утихают. Не пора-ли закрыть эту, изначально холиварную тему? ;(

Ссылка на комментарий
Поделиться на другие сайты

Виталик, не понимаю что ты хочешь доказать? То что нод умеет лечить Stoned Bootkit? Так Стонед был показан в 2005 году, в рамках исследовательского проекта eEye который был призван показать возможность заражения MBR и в среде Windows. Стонед в системе ничего не делает, его детектировать это тоже самое что сейчас детекить MS-DOS'овские вирусы.

Olmarik.TL(это не TDL2 или 3)

А кто тогда? TDL1? Называй нормальное имя руткита, а не дебильный детект ESET.

Хотя же ясно видно что это TDL2, неужели ESET SS 6 научился лечить руткит четырехлетней давности? Вау, такими темпами к 2016 году ESET сможет лечить TDL4, а к 2020 году SST.B.

Будут новые руткиты, KIS 2013 проверю.

Следует читать так: руткиты уже есть, но ЕСЕТ их даже не видит, а КИС даже лечит.

Виталь, проведи-ка тест на х64. Я даже сэмпл дам, называется SST.B.

Изменено пользователем CatalystX
Ссылка на комментарий
Поделиться на другие сайты

Там на скриншоте видно, что лечит SysRescue. Второе, ЛК на создателя Stoned Bootkit подала в суд, нечего не знаю, но KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах.

:happybirth:

Давай уже семпл, посмотрю. :)

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

KIS не видела драйверов, MBR, и вообще нечего, а судя по ВТ, всё это было давно в базах.

Не путай детект дроппера с детектом загрузчика и драйвера. :happybirth:

Stoned не детектится даже антируткитами, так как ничего аномального в его поведении в системе нет. Но видимо ЕСЕТу очень хочется показать что хоть какой-то буткит они лечат.

Ссылка на комментарий
Поделиться на другие сайты

Вот даже детектирует и лечит одна и таже улита. OlmarikTDL4 / Olmasco Cleaner

http://www.eset.com/download/utilities/

Даже названия похожие. :happybirth:

Почитай блог:

http://amatrosov.blogspot.ru/

Вот чего интересно было-бы позапускать, сразу после того как он появился:

http://blog.eset.com/2012/12/27/win32gapz-steps-of-evolution

http://blog.eset.com/2012/12/27/win32gapz-...otkit-technique

Так как этот руткит давно есть в сети, а ЛК нужно время(много), чтобы сделать детектирование, лечение. :)

 

Теперь про твой семпл:

А у меня получилось запустить под виртуальной машиной, хотя он там не хотел работать. Сейчас и на реальной Windows 7 x64 всё проверю. Мне нужно время, чтобы посмотреть всё на виртуальной машине, а потом и на реальной.

:rolleyes:

 

Как бы первые результаты, но не всё:

 

C:\Documents and Settings\XPMUser\Local Settings\Temp\audiosrv.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1]

C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2]

C:\RECYCLER\S-1-5-21-3933808753-4193843292-1711198871-1003\Dc1.exe - Win32/Olmasco.W trojan - cleaned by deleting - quarantined [1]

Scan terminated by user.

 

На один файл F5.tmp два вердикта:

1. C:\Documents and Settings\XPMUser\Local Settings\Temp\F5.tmp - Win32/Olmasco.W

2. Operating memory » C:\DOCUME~1\XPMUser\LOCALS~1\Temp\F5.tmp - a variant of Win32/Olmasco.W trojan - cleaned by deleting (after the next restart) - quarantined [1,2]

То есть, он ловится Zero day. -_- Если даже файла не будет в базах, остановлю процесс с помощью HIPS или UAC, на реальной машине, NOD32 поймает с точным вердиктом и удалит.

:)

post-27165-1357145220_thumb.png

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

EVIK, насмешил.

Сэмпл не работает под виртуалками. Дроппер распаковывает tmp файл в temp папку и на этом все заканчивается. Все что ты показал это банальный детект и удаление дроппера, а не руткита.

ЛК нужно время(много), чтобы сделать детектирование, лечение

Не так уж и много. Всего требуется разобрать драйвер руткита, что бы обновить qscan и чуть дольше времени что бы написать дженерик детект перехватов для MARK. На все про все часов 12 уйдет.

Изменено пользователем CatalystX
Ссылка на комментарий
Поделиться на другие сайты

Это как-бы пока ещё не всё! :happybirth:

Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать?

 

Некаким протектором, защитой файла, антивирус не обойти. :)

 

Вот реальная машина Windows 7 Ultimate 64 бит:

 

Тоже самое будет с Win32/Olmasco

:rolleyes:

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

Это как-бы пока ещё не всё! :happybirth:

Я говорю, что на реальной машине, я остановлю процесс/дроппер/Olmasco с помощью HIPS или UAC, и антивирус поймает его с точным вердиктом в оперативной памяти, машина останется чистой. Чего лечить/детектировать?

Не остановишь. SST устанавливается так же как и TDL4, через службу печати, а значит ему плевать на UAC и на дырявый ХИПС нода. Tmp файл в установке не участвует, он просто проверяет окружение.

Ссылка на комментарий
Поделиться на другие сайты

Нет, у меня будет куча алертов HIPS, в том числе и на всe службы, и на то что эти службы делают(устанавливают ключи реестра, драйверы, получают доступ к диску или выполняют другие операции). Я даже HIPS спалю/заблокирую любой инжект в процессы, службы.

TDL4 HIPS везде ловит - у меня на реальной машине Windows 7 64 bit, и Win32/Olmasco точно поймает. :nea:

 

 

Это у Касперского контроль программ дырявый. Он даже в моих роликах не видил установку TDL3, рейтинг опасности ноль для самого файла, а на доверенные приложения ему вообще до лампочки. А вот у Касперского все службы это доверенные приложения, KSN и все такое. :)

 

Контроль программ даже сами вредоносные службы разрешит установить, которых у него нет в доверенных. Вот смотри видео ролик:

http://tempfile.ru/file/2627848

:)

 

А это установка TDL3, смотрим работу контроля программ:

Алерт был на Dr.Web, бага, скорей всего исправили.

:)

Изменено пользователем EVIK
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Камиль Махмутянов
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • LordKunsaid
      От LordKunsaid
      При сканировании выскочило окно уведомления о найденной проблеме. Но я не хочу лечить этот файл. Я хочу добавить его в исключения. Но там нет такого пункта. Почему? Это первый вопрос.
      Второй вопрос, как удалить это окно? Оно висит и висит на рабочем столе, мешает.

    • Андрей2029
      От Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


    • Tina-xm
      От Tina-xm
      Что нового KIS 21.3.10.391 патч (L)  --- ???

    • Drinkins
      От Drinkins
      Здравствуйте! Хотелось бы уточнить, нормально ли это, когда в KIS пытаешься изменить свой пароль, а там автоматически с разницей в 2-3 секунды проставляется знак "=" ??? То есть пароль поменять весьма проблематично. Переустановка Касперского не помогает. Пробовал даже другую сборку устанавливать онлайн - бесполезно.  Всеми возможными утилитами и антивирусами проходил - ничего не находит.
      Из других проблем: 
      1) на панели задач при наведении на проводник не держатся миниатюры эскизов - сворачиваются сами через долю секунды, нельзя даже папку выбрать (Aero включено); 
      2) подозрительные названия папок в папке с портативным Cent Browser;
      3) При заходе на сайт rutor.info появляется маленькое пустое окошко about:blank в краю экрана. На других сайтах подобного не замечено.
      CollectionLog-2022.08.06-02.37.zip
×
×
  • Создать...