Перейти к содержанию
Dmitriy K

Лечение Backdoor.Cycbot Нортоном

Автор Dmitriy K, в Вопросы по персональным продуктам Norton

Recommended Posts

Dmitriy K    603

Dmitriy K
Опубликовано
Прикольно :). С реестром Дохтор не умеет работать и восстанавливать данный параметр в исходное состояние.

К примеру, это сделано в процедуре лечения Backdoor.Cycbot в продуктах Norton.

Это вот и есть "процедура лечения" - определение установщиком прокси-сервера в системе :huh:

Снимок_2011_10_07_14_41_22.png

post-4500-1317984126_thumb.png

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Это вот и есть "процедура лечения" - определение установщиком прокси-сервера в системе

Нет. Облегчу Вам задачу. Покажу скрин.

88.PNG

post-12086-1317987470_thumb.png

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано

/offtop для отдельной темы

Нет. Облегчу Вам задачу. Покажу скрин.
Детекта нет. Осложню вам задачу. Покажу скрины (особенно "радует" третий):

pr.jpg

br.jpg

Снимок_2011_10_08_00_29_55.png

post-4500-1318020240_thumb.jpg

post-4500-1318020244_thumb.jpg

post-4500-1318020248_thumb.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Детекта нет. Осложню вам задачу. Покажу скрины (особенно "радует" третий):

1)Если не будет точного определения зловреда, то и лечения не будет, потому что Norton "не знает" в данном случае, что лечить и соответственно работать с реестром.

2)Версия NAV не старовата ли?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано

Тема о "Trojan.SkynetRef"

-------

1) сонар молчит - подозрительных действий ни на установщик, ни на сам процесс троянца не обнаружено

2) репутация обоих файлов - "хорошая"

3) НИС не определяет (в данном случае?) установку драйвера/службы

2)Версия NAV не старовата ли?

Новая версия тоже спит

Снимок_2011_10_08_15_44_21.png

post-4500-1318074296_thumb.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Новая версия тоже спит

Правда? А скачать не пробовали этот файл,а не подсовывать искусственно его из запароленного архивчика?

А теперь к теме: будет детект- будет и лечение.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано
Правда? А скачать не пробовали этот файл,а не подсовывать искусственно его из запароленного архивчика?

А теперь к теме: будет детект- будет и лечение.

Правда. Я где-то говорил о запароленом архиве? <_< О лечении - проверю :)

Взял и скачал:

Снимок_2011_10_08_16_03_03.png

post-4500-1318075886.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
О лечении - проверю

Ваша проверка мне даром не нужна. Я итак знаю, что всё произойдёт, как я писал выше, а также подтвердил скрином.

Взял и скачал:

Ну, дайте что ли MD5 или ссылку на VT.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано
Ваша проверка мне даром не нужна. Я итак знаю, что всё произойдёт, как я писал выше, а также подтвердил скрином.

Ну, дайте что ли MD5 или ссылку на VT.

:facepalm: Если моя проверка не нужна - ищи сам :)

Одно радует - если отключить автомат в фаерволе и включить агрессивный режим сонара, то начинает палится.

Но вот незадача - если заблокировать доступ в сеть процессу троянца, то страницы не открываются :(

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано

Причиной пропуска SONAR'ом наверное стала хорошая репутация. А вот здесь нужно выяснить почему у этого файла репутация похорошела

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Причиной пропуска SONAR'ом наверное стала хорошая репутация. А вот здесь нужно выяснить почему у этого файла репутация похорошела

Наверное, из-за источника распространения (загрузки) файла. http://safeweb.norton.com/report/show?url=...stall-19114.exe

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано
Наверное, из-за источника распространения (загрузки) файла.

Источников :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Источников

Я говорил об одном :)

А вот кино тебе про лечение Cycbot'а с музыкальным сопровождением :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Mr. Justice    771

Mr. Justice
Опубликовано

Явный флейм убрал. Просьба к местным модераторам - пожалуйста уберите из темы лишнее (что считаете нужным) и, если есть необходимость, поменяйте пожалуйста название темы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Вопросы по персональным продуктам Norton

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отдых сейчас

      От SemenovaI · Опубликовано

      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Бани

      От Зотов Тимур · Опубликовано

      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×