Перейти к содержанию

Recommended Posts

Umnik

Иван

Как я понял топикстартера - эта пустышка сожрала ему ОСь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Как я понял топикстартера - эта пустышка сожрала ему ОСь.

а мне чо-то нет, видимо повезло

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Да, сканер, встроенный в CureIt!, при своём запуске устанавливает в систему антируткит-драйвер Dr.Web Shield и удаляет его из системы, когда необходимость в этом отпадает.

То, что 8-ка этот драйвер пропускает - это хорошо. Но что вот будет, когда Dr.Web Shield в очередной раз обновится и существенно изменит свой алгоритм? :) Или 8-ка пропускает Shield по подписи?

Сканер по подписи добавляется в доверенные, а дальше уже хоть трава не расти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Иван

Как я понял топикстартера - эта пустышка сожрала ему ОСь.

и ему пришлось воспользоваться акронисом

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

ну что ж, живьём представителей ЛК я тут наверно не увижу..

а вам, уважаемые постараюсь ответить всем :)

4. Эта программа - фэйк. Систему она не заражает и не убивает.

моя система была заражена и убита вирусом, о котором я писал тут:

http://www.anti-malware.ru/forum/index.php...ost&p=41624

это загрузчик. из сети он скачивает что-то уже посерьёзней..

во время разрушения системы я конечно сделал необходимые записи о ключах реестра, библиотеках, сделал скрины, но потом уничтожил. я был очень расстроен работой КАВ.. прошу простить..

если коротко, то он создал в автозагрузке 8! ключей, три "неубиваемых" библиотеки в систем32 и генерировал бешеный исходящий траффик.

те кто мне отвечал "немного" ушли в сторону. меня не интересует БСОД. но пару слов скажу.

если вы настаиваете на конфликте драйверов Дока и КАВ то:

1 зачем было заморачиваться с сертификатом, если бесполезно (как оказалось)

2 уважаемый Valery Ledovskoy, покажите мне файл. я вам не верю.

меня интересует почему ЛК так погано отнеслась к своим пользователям?

в раздумьях глубоких, я немножко погуглил и выяснил, что вчера (нифига не) тов. Евгений Асеев отчитался по сабжу перед китайскими юзерами:

http://bbs.kafan.cn/viewthread.php?action=...&tid=284227 (во втором посту, человек привёл ответ аналитика)

а родная аудитория значит побоку?

я повторяю/уточняю свой вопрос ЛК:

почему имея ссылку вы не препарировали то, что оттуда качается? не интересно? нафих надо? понимаю...

гораздо проще: сайтик в БАНю, нет сайтика - нет проблемы. вы думали что решили вопрос? я вас расстрою чуть ниже

итак, моя система + Авира Премиум на борту:

http://scanner.shredder-scan.com/3/?advid=...83&&dfg

http://scanner.shredder-scan.com/3/?advid=...83&HTT&

http://scanner.shredder-scan.com/1/?advid=...4683&&h

ocDj8Ntlu3.jpg

качаем инсталятор загрузчика.

при запуске, зверёк очень вежливо просит отключить ВСЕ работающие приложения и соединиться с нэтом

Tc7e3hRmyG.jpg

попутно создаёт ключики запуска

CFbrTG28Mn.jpg

PC1rnd46VQ.jpg

не дождавшись сети, вываливается с ошибкой

QW28g3Gbwh.jpg

ну и на сладкое:

01kdU3yRD1.jpg

уж извините, продолжать я не стал (пока). мне компьтер нужен каждый день, а для дальнейшего эксперимента нужно время.

скажу только что Авира загрузчик не признаёт опасным. Доктор (базы за сегодня) тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
2 уважаемый Valery Ledovskoy, покажите мне файл. я вам не верю.

Какой файл Вам показать? Драйвер, который встроен в сканер? Я согласен на то, чтобы Вы мне не верили, чем тратить время на доказательство очевидного :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

очень трудно написать название файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
очень трудно написать название файла?

Оно каждый раз разное ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

спасибо.

почему-то именно от вас я ожидал нормальный ответ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

sceptic, самое удивительно, что всё, что я сказал в этом топике - чистейшая правда. Как я уже сказал, Вы можете мне не верить :)

А какой бы ответ Вас устроил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
что вчера (нифига не) тов. Евгений Асеев отчитался по сабжу перед китайскими юзерами:

http://bbs.kafan.cn/viewthread.php?action=...&tid=284227 (во втором посту, человек привёл ответ аналитика)

а родная аудитория значит побоку?

бредите? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
спасибо.

почему-то именно от вас я ожидал нормальный ответ...

Драйвер действительно каждый раз "сбрасывается" в систему под случайно сгенерированным именем - для противодействия малварям, которые могли бы попытаться его ловить и убивать по имени в процессе загрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Мне как автору шилда очень смешно, продолжайте пожалуйста, тут еще многое можно обсудить :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Мне как автору шилда очень смешно, продолжайте пожалуйста, тут еще многое можно обсудить laugh.gif

Угу, вот Виталик мне в личку скинул доказательство, что у нас нет драйвера. Доказательство проводилось в 64-битной системе, для которой у нас действительно пока в релизе нет соответствующего драйвера. Давайте, под unix-образными ОС ещё поищем :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вы еще понимаете, о чем речь? Я уже запутался во всем :(

sceptic

1. Какая малвара убила ОСь. Все тот же антивирусхр2008?

2. Что не нравится с сертификатом? Технология сработала верно.

3. Не думаю, что стоит спорить с sww. Рискуете умереть от сахарного диабета или быть закормленным печеньками. :)

4. Ответов сотрудников Доктора Веба мало? Не верите им, в том числе разработчику?

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Что касается Доктора, то Евгений Гладких наблюдает и даже дает сюда ссылки на форуме компании.

вот это абсолютно НОРМАЛЬНО. Я думаю, что представители любого вендора так или иначе следят за форумом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Угу, вот Виталик мне в личку скинул доказательство, что у нас нет драйвера. Доказательство проводилось в 64-битной системе, для которой у нас действительно пока в релизе нет соответствующего драйвера.

Как только под x64 появятся руткиты, отключающие PatchGuard, то сразу же появится и 64-битный шилд, я обещаю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
очень трудно написать название файла?

Например, вот тут видно какое может быть в temp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

1. dot_sent, спасибо. Валерий, например вирус Neshtа, до сих пор мешает запуску Куре Ит. Утилита запускается только после ручного убития svchost.com и удаления модифицированного ключа запуска файлов .ехе. Мои слова: "я вам не верю", пусть вас не обижают. Я просто хочу выяснить механизм работы утилиты.

2. sww, Куре Ит не раз меня выручала. Спасибо вам. Прочтите ещё раз название темы. К вам у меня нет претензий.

3. Умник, систему убил второй мод "for Vistа". Если с сертификатом "нет проблемы", откуда БСОД?

4. Иван, тема создана для указания ЛК недостатков, а не для обсирания КАВ. Хотите диалог? Тогда прекратите свои "глубокомысленные" изречения.

5. Всем. Господа, довольно теории. Повторю, БСОД меня не волнует. Кроме меня и Умника, кто нибудь проверил КАВ на сабже? Сам факт пропуска вируса КАВ все почему то игнорируют. Прокомментировать работу аналитика тоже никто не желает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

dr_dizel, благодарю. Это почти то что я хотел. Утилиткой не поделитесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, например вирус Neshtа, до сих пор мешает запуску Куре Ит.

Вполне вероятно. Но это не доказывает того, что в сканере нет встроенного драйвера. Если вирус не даёт CureIt! взлететь, то, естественно и драйвер Dr.Web Shield некому поставить в систему. Только и всего. Кстати, как называется у Вас файл дистрибутива CureIt! ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sww, если не затруднит, можете посмотреть, имеет ли указанный (по ссылкам) "зловред" деструктивные функции? У меня он даже не запустился.

sceptic

Проблемы с сертификатом не было. Ибо сертификат позволил CureIT установить свой драйвер без проблем. А дальше... Драйверы двух вендоров в системе, в общем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

Валерий, отвечу через 4 часа.

Умник, почему вы мне доказываете что черное - это белое? Не понимаю.. Смотрите скрины.

Далее, ссылка с ТЕМ вирусом уже мертвая. Очень жалею что я его удалил у себя... Кто желает зарегистрироваться на китайском форуме и скачать его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Умник, почему вы мне доказываете что черное - это белое? Не понимаю.. Смотрите скрины.

Потому что Вы намешали самые разные вопросы сюда:

1. Конфликт драйверов

2. Проверку на семплах, которые в вирлаб ЛК не отправляли, а что отправляли - это пустышка

3. Работу КАВ/КИС, которая ориентируется на сертификаты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr_dizel, благодарю. Это почти то что я хотел. Утилиткой не поделитесь?

Ммм... Этим что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×