Перейти к содержанию
Danilka

TDSSKiller бесплатная утилита от ЛК для лечения Rootkit.Win32.TDSS

Recommended Posts

Danilka

Состоялся релиз утилиты от ЛК для лечения всех известных версий Rootkit.Win32.TDSS, включая Rootkit.Win32. TDSS третьего поколения (TDL3)

Страница утилиты:

http://support.kaspersky.ru/faq/?qid=208636926

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Обновилась утилита до версии 2.2.0

Список изменений:

- Улучшено детектирование и лечение руткитов TDSS второго поколения (TDL2) - теперь используется парсер реестра вместо снятия перехватов. Утилита требует меньшего взаимодействия с пользователем при лечении.

- Реализовано детектирование и лечение новых TDL3.21, TDL3.22.

- Улучшено лечение системных драйверов, зараженных руткитом - если есть возможность восстановить файл из резервной копии, он восстанавливается

вместо лечения зараженного содержимого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×