Перейти к содержанию

Recommended Posts

Dmitriy K
Прикольно :). С реестром Дохтор не умеет работать и восстанавливать данный параметр в исходное состояние.

К примеру, это сделано в процедуре лечения Backdoor.Cycbot в продуктах Norton.

Это вот и есть "процедура лечения" - определение установщиком прокси-сервера в системе :huh:

Снимок_2011_10_07_14_41_22.png

post-4500-1317984126_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Это вот и есть "процедура лечения" - определение установщиком прокси-сервера в системе

Нет. Облегчу Вам задачу. Покажу скрин.

88.PNG

post-12086-1317987470_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

/offtop для отдельной темы

Нет. Облегчу Вам задачу. Покажу скрин.
Детекта нет. Осложню вам задачу. Покажу скрины (особенно "радует" третий):

pr.jpg

br.jpg

Снимок_2011_10_08_00_29_55.png

post-4500-1318020240_thumb.jpg

post-4500-1318020244_thumb.jpg

post-4500-1318020248_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Детекта нет. Осложню вам задачу. Покажу скрины (особенно "радует" третий):

1)Если не будет точного определения зловреда, то и лечения не будет, потому что Norton "не знает" в данном случае, что лечить и соответственно работать с реестром.

2)Версия NAV не старовата ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Тема о "Trojan.SkynetRef"

-------

1) сонар молчит - подозрительных действий ни на установщик, ни на сам процесс троянца не обнаружено

2) репутация обоих файлов - "хорошая"

3) НИС не определяет (в данном случае?) установку драйвера/службы

2)Версия NAV не старовата ли?

Новая версия тоже спит

Снимок_2011_10_08_15_44_21.png

post-4500-1318074296_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Новая версия тоже спит

Правда? А скачать не пробовали этот файл,а не подсовывать искусственно его из запароленного архивчика?

А теперь к теме: будет детект- будет и лечение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Правда? А скачать не пробовали этот файл,а не подсовывать искусственно его из запароленного архивчика?

А теперь к теме: будет детект- будет и лечение.

Правда. Я где-то говорил о запароленом архиве? <_< О лечении - проверю :)

Взял и скачал:

Снимок_2011_10_08_16_03_03.png

post-4500-1318075886.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
О лечении - проверю

Ваша проверка мне даром не нужна. Я итак знаю, что всё произойдёт, как я писал выше, а также подтвердил скрином.

Взял и скачал:

Ну, дайте что ли MD5 или ссылку на VT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Ваша проверка мне даром не нужна. Я итак знаю, что всё произойдёт, как я писал выше, а также подтвердил скрином.

Ну, дайте что ли MD5 или ссылку на VT.

:facepalm: Если моя проверка не нужна - ищи сам :)

Одно радует - если отключить автомат в фаерволе и включить агрессивный режим сонара, то начинает палится.

Но вот незадача - если заблокировать доступ в сеть процессу троянца, то страницы не открываются :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Причиной пропуска SONAR'ом наверное стала хорошая репутация. А вот здесь нужно выяснить почему у этого файла репутация похорошела

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Причиной пропуска SONAR'ом наверное стала хорошая репутация. А вот здесь нужно выяснить почему у этого файла репутация похорошела

Наверное, из-за источника распространения (загрузки) файла. http://safeweb.norton.com/report/show?url=...stall-19114.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Наверное, из-за источника распространения (загрузки) файла.

Источников :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Источников

Я говорил об одном :)

А вот кино тебе про лечение Cycbot'а с музыкальным сопровождением :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Явный флейм убрал. Просьба к местным модераторам - пожалуйста уберите из темы лишнее (что считаете нужным) и, если есть необходимость, поменяйте пожалуйста название темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×