Перейти к содержанию

Recommended Posts

Umnik

Иван

Как я понял топикстартера - эта пустышка сожрала ему ОСь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Как я понял топикстартера - эта пустышка сожрала ему ОСь.

а мне чо-то нет, видимо повезло

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Да, сканер, встроенный в CureIt!, при своём запуске устанавливает в систему антируткит-драйвер Dr.Web Shield и удаляет его из системы, когда необходимость в этом отпадает.

То, что 8-ка этот драйвер пропускает - это хорошо. Но что вот будет, когда Dr.Web Shield в очередной раз обновится и существенно изменит свой алгоритм? :) Или 8-ка пропускает Shield по подписи?

Сканер по подписи добавляется в доверенные, а дальше уже хоть трава не расти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Иван

Как я понял топикстартера - эта пустышка сожрала ему ОСь.

и ему пришлось воспользоваться акронисом

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

ну что ж, живьём представителей ЛК я тут наверно не увижу..

а вам, уважаемые постараюсь ответить всем :)

4. Эта программа - фэйк. Систему она не заражает и не убивает.

моя система была заражена и убита вирусом, о котором я писал тут:

http://www.anti-malware.ru/forum/index.php...ost&p=41624

это загрузчик. из сети он скачивает что-то уже посерьёзней..

во время разрушения системы я конечно сделал необходимые записи о ключах реестра, библиотеках, сделал скрины, но потом уничтожил. я был очень расстроен работой КАВ.. прошу простить..

если коротко, то он создал в автозагрузке 8! ключей, три "неубиваемых" библиотеки в систем32 и генерировал бешеный исходящий траффик.

те кто мне отвечал "немного" ушли в сторону. меня не интересует БСОД. но пару слов скажу.

если вы настаиваете на конфликте драйверов Дока и КАВ то:

1 зачем было заморачиваться с сертификатом, если бесполезно (как оказалось)

2 уважаемый Valery Ledovskoy, покажите мне файл. я вам не верю.

меня интересует почему ЛК так погано отнеслась к своим пользователям?

в раздумьях глубоких, я немножко погуглил и выяснил, что вчера (нифига не) тов. Евгений Асеев отчитался по сабжу перед китайскими юзерами:

http://bbs.kafan.cn/viewthread.php?action=...&tid=284227 (во втором посту, человек привёл ответ аналитика)

а родная аудитория значит побоку?

я повторяю/уточняю свой вопрос ЛК:

почему имея ссылку вы не препарировали то, что оттуда качается? не интересно? нафих надо? понимаю...

гораздо проще: сайтик в БАНю, нет сайтика - нет проблемы. вы думали что решили вопрос? я вас расстрою чуть ниже

итак, моя система + Авира Премиум на борту:

http://scanner.shredder-scan.com/3/?advid=...83&&dfg

http://scanner.shredder-scan.com/3/?advid=...83&HTT&

http://scanner.shredder-scan.com/1/?advid=...4683&&h

ocDj8Ntlu3.jpg

качаем инсталятор загрузчика.

при запуске, зверёк очень вежливо просит отключить ВСЕ работающие приложения и соединиться с нэтом

Tc7e3hRmyG.jpg

попутно создаёт ключики запуска

CFbrTG28Mn.jpg

PC1rnd46VQ.jpg

не дождавшись сети, вываливается с ошибкой

QW28g3Gbwh.jpg

ну и на сладкое:

01kdU3yRD1.jpg

уж извините, продолжать я не стал (пока). мне компьтер нужен каждый день, а для дальнейшего эксперимента нужно время.

скажу только что Авира загрузчик не признаёт опасным. Доктор (базы за сегодня) тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
2 уважаемый Valery Ledovskoy, покажите мне файл. я вам не верю.

Какой файл Вам показать? Драйвер, который встроен в сканер? Я согласен на то, чтобы Вы мне не верили, чем тратить время на доказательство очевидного :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

очень трудно написать название файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
очень трудно написать название файла?

Оно каждый раз разное ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

спасибо.

почему-то именно от вас я ожидал нормальный ответ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

sceptic, самое удивительно, что всё, что я сказал в этом топике - чистейшая правда. Как я уже сказал, Вы можете мне не верить :)

А какой бы ответ Вас устроил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
что вчера (нифига не) тов. Евгений Асеев отчитался по сабжу перед китайскими юзерами:

http://bbs.kafan.cn/viewthread.php?action=...&tid=284227 (во втором посту, человек привёл ответ аналитика)

а родная аудитория значит побоку?

бредите? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
спасибо.

почему-то именно от вас я ожидал нормальный ответ...

Драйвер действительно каждый раз "сбрасывается" в систему под случайно сгенерированным именем - для противодействия малварям, которые могли бы попытаться его ловить и убивать по имени в процессе загрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Мне как автору шилда очень смешно, продолжайте пожалуйста, тут еще многое можно обсудить :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Мне как автору шилда очень смешно, продолжайте пожалуйста, тут еще многое можно обсудить laugh.gif

Угу, вот Виталик мне в личку скинул доказательство, что у нас нет драйвера. Доказательство проводилось в 64-битной системе, для которой у нас действительно пока в релизе нет соответствующего драйвера. Давайте, под unix-образными ОС ещё поищем :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вы еще понимаете, о чем речь? Я уже запутался во всем :(

sceptic

1. Какая малвара убила ОСь. Все тот же антивирусхр2008?

2. Что не нравится с сертификатом? Технология сработала верно.

3. Не думаю, что стоит спорить с sww. Рискуете умереть от сахарного диабета или быть закормленным печеньками. :)

4. Ответов сотрудников Доктора Веба мало? Не верите им, в том числе разработчику?

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Что касается Доктора, то Евгений Гладких наблюдает и даже дает сюда ссылки на форуме компании.

вот это абсолютно НОРМАЛЬНО. Я думаю, что представители любого вендора так или иначе следят за форумом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Угу, вот Виталик мне в личку скинул доказательство, что у нас нет драйвера. Доказательство проводилось в 64-битной системе, для которой у нас действительно пока в релизе нет соответствующего драйвера.

Как только под x64 появятся руткиты, отключающие PatchGuard, то сразу же появится и 64-битный шилд, я обещаю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
очень трудно написать название файла?

Например, вот тут видно какое может быть в temp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

1. dot_sent, спасибо. Валерий, например вирус Neshtа, до сих пор мешает запуску Куре Ит. Утилита запускается только после ручного убития svchost.com и удаления модифицированного ключа запуска файлов .ехе. Мои слова: "я вам не верю", пусть вас не обижают. Я просто хочу выяснить механизм работы утилиты.

2. sww, Куре Ит не раз меня выручала. Спасибо вам. Прочтите ещё раз название темы. К вам у меня нет претензий.

3. Умник, систему убил второй мод "for Vistа". Если с сертификатом "нет проблемы", откуда БСОД?

4. Иван, тема создана для указания ЛК недостатков, а не для обсирания КАВ. Хотите диалог? Тогда прекратите свои "глубокомысленные" изречения.

5. Всем. Господа, довольно теории. Повторю, БСОД меня не волнует. Кроме меня и Умника, кто нибудь проверил КАВ на сабже? Сам факт пропуска вируса КАВ все почему то игнорируют. Прокомментировать работу аналитика тоже никто не желает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

dr_dizel, благодарю. Это почти то что я хотел. Утилиткой не поделитесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, например вирус Neshtа, до сих пор мешает запуску Куре Ит.

Вполне вероятно. Но это не доказывает того, что в сканере нет встроенного драйвера. Если вирус не даёт CureIt! взлететь, то, естественно и драйвер Dr.Web Shield некому поставить в систему. Только и всего. Кстати, как называется у Вас файл дистрибутива CureIt! ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sww, если не затруднит, можете посмотреть, имеет ли указанный (по ссылкам) "зловред" деструктивные функции? У меня он даже не запустился.

sceptic

Проблемы с сертификатом не было. Ибо сертификат позволил CureIT установить свой драйвер без проблем. А дальше... Драйверы двух вендоров в системе, в общем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

Валерий, отвечу через 4 часа.

Умник, почему вы мне доказываете что черное - это белое? Не понимаю.. Смотрите скрины.

Далее, ссылка с ТЕМ вирусом уже мертвая. Очень жалею что я его удалил у себя... Кто желает зарегистрироваться на китайском форуме и скачать его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Умник, почему вы мне доказываете что черное - это белое? Не понимаю.. Смотрите скрины.

Потому что Вы намешали самые разные вопросы сюда:

1. Конфликт драйверов

2. Проверку на семплах, которые в вирлаб ЛК не отправляли, а что отправляли - это пустышка

3. Работу КАВ/КИС, которая ориентируется на сертификаты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr_dizel, благодарю. Это почти то что я хотел. Утилиткой не поделитесь?

Ммм... Этим что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×