sceptic

история одного вируса

В этой теме 119 сообщений

Иван

Как я понял топикстартера - эта пустышка сожрала ему ОСь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как я понял топикстартера - эта пустышка сожрала ему ОСь.

а мне чо-то нет, видимо повезло

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, сканер, встроенный в CureIt!, при своём запуске устанавливает в систему антируткит-драйвер Dr.Web Shield и удаляет его из системы, когда необходимость в этом отпадает.

То, что 8-ка этот драйвер пропускает - это хорошо. Но что вот будет, когда Dr.Web Shield в очередной раз обновится и существенно изменит свой алгоритм? :) Или 8-ка пропускает Shield по подписи?

Сканер по подписи добавляется в доверенные, а дальше уже хоть трава не расти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Как я понял топикстартера - эта пустышка сожрала ему ОСь.

и ему пришлось воспользоваться акронисом

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну что ж, живьём представителей ЛК я тут наверно не увижу..

а вам, уважаемые постараюсь ответить всем :)

4. Эта программа - фэйк. Систему она не заражает и не убивает.

моя система была заражена и убита вирусом, о котором я писал тут:

http://www.anti-malware.ru/forum/index.php...ost&p=41624

это загрузчик. из сети он скачивает что-то уже посерьёзней..

во время разрушения системы я конечно сделал необходимые записи о ключах реестра, библиотеках, сделал скрины, но потом уничтожил. я был очень расстроен работой КАВ.. прошу простить..

если коротко, то он создал в автозагрузке 8! ключей, три "неубиваемых" библиотеки в систем32 и генерировал бешеный исходящий траффик.

те кто мне отвечал "немного" ушли в сторону. меня не интересует БСОД. но пару слов скажу.

если вы настаиваете на конфликте драйверов Дока и КАВ то:

1 зачем было заморачиваться с сертификатом, если бесполезно (как оказалось)

2 уважаемый Valery Ledovskoy, покажите мне файл. я вам не верю.

меня интересует почему ЛК так погано отнеслась к своим пользователям?

в раздумьях глубоких, я немножко погуглил и выяснил, что вчера (нифига не) тов. Евгений Асеев отчитался по сабжу перед китайскими юзерами:

http://bbs.kafan.cn/viewthread.php?action=...&tid=284227 (во втором посту, человек привёл ответ аналитика)

а родная аудитория значит побоку?

я повторяю/уточняю свой вопрос ЛК:

почему имея ссылку вы не препарировали то, что оттуда качается? не интересно? нафих надо? понимаю...

гораздо проще: сайтик в БАНю, нет сайтика - нет проблемы. вы думали что решили вопрос? я вас расстрою чуть ниже

итак, моя система + Авира Премиум на борту:

http://scanner.shredder-scan.com/3/?advid=...83&&dfg

http://scanner.shredder-scan.com/3/?advid=...83&HTT&

http://scanner.shredder-scan.com/1/?advid=...4683&&h

ocDj8Ntlu3.jpg

качаем инсталятор загрузчика.

при запуске, зверёк очень вежливо просит отключить ВСЕ работающие приложения и соединиться с нэтом

Tc7e3hRmyG.jpg

попутно создаёт ключики запуска

CFbrTG28Mn.jpg

PC1rnd46VQ.jpg

не дождавшись сети, вываливается с ошибкой

QW28g3Gbwh.jpg

ну и на сладкое:

01kdU3yRD1.jpg

уж извините, продолжать я не стал (пока). мне компьтер нужен каждый день, а для дальнейшего эксперимента нужно время.

скажу только что Авира загрузчик не признаёт опасным. Доктор (базы за сегодня) тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 уважаемый Valery Ledovskoy, покажите мне файл. я вам не верю.

Какой файл Вам показать? Драйвер, который встроен в сканер? Я согласен на то, чтобы Вы мне не верили, чем тратить время на доказательство очевидного :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

очень трудно написать название файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
очень трудно написать название файла?

Оно каждый раз разное ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

спасибо.

почему-то именно от вас я ожидал нормальный ответ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

sceptic, самое удивительно, что всё, что я сказал в этом топике - чистейшая правда. Как я уже сказал, Вы можете мне не верить :)

А какой бы ответ Вас устроил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что вчера (нифига не) тов. Евгений Асеев отчитался по сабжу перед китайскими юзерами:

http://bbs.kafan.cn/viewthread.php?action=...&tid=284227 (во втором посту, человек привёл ответ аналитика)

а родная аудитория значит побоку?

бредите? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
спасибо.

почему-то именно от вас я ожидал нормальный ответ...

Драйвер действительно каждый раз "сбрасывается" в систему под случайно сгенерированным именем - для противодействия малварям, которые могли бы попытаться его ловить и убивать по имени в процессе загрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне как автору шилда очень смешно, продолжайте пожалуйста, тут еще многое можно обсудить :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне как автору шилда очень смешно, продолжайте пожалуйста, тут еще многое можно обсудить laugh.gif

Угу, вот Виталик мне в личку скинул доказательство, что у нас нет драйвера. Доказательство проводилось в 64-битной системе, для которой у нас действительно пока в релизе нет соответствующего драйвера. Давайте, под unix-образными ОС ещё поищем :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы еще понимаете, о чем речь? Я уже запутался во всем :(

sceptic

1. Какая малвара убила ОСь. Все тот же антивирусхр2008?

2. Что не нравится с сертификатом? Технология сработала верно.

3. Не думаю, что стоит спорить с sww. Рискуете умереть от сахарного диабета или быть закормленным печеньками. :)

4. Ответов сотрудников Доктора Веба мало? Не верите им, в том числе разработчику?

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что касается Доктора, то Евгений Гладких наблюдает и даже дает сюда ссылки на форуме компании.

вот это абсолютно НОРМАЛЬНО. Я думаю, что представители любого вендора так или иначе следят за форумом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Угу, вот Виталик мне в личку скинул доказательство, что у нас нет драйвера. Доказательство проводилось в 64-битной системе, для которой у нас действительно пока в релизе нет соответствующего драйвера.

Как только под x64 появятся руткиты, отключающие PatchGuard, то сразу же появится и 64-битный шилд, я обещаю ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. dot_sent, спасибо. Валерий, например вирус Neshtа, до сих пор мешает запуску Куре Ит. Утилита запускается только после ручного убития svchost.com и удаления модифицированного ключа запуска файлов .ехе. Мои слова: "я вам не верю", пусть вас не обижают. Я просто хочу выяснить механизм работы утилиты.

2. sww, Куре Ит не раз меня выручала. Спасибо вам. Прочтите ещё раз название темы. К вам у меня нет претензий.

3. Умник, систему убил второй мод "for Vistа". Если с сертификатом "нет проблемы", откуда БСОД?

4. Иван, тема создана для указания ЛК недостатков, а не для обсирания КАВ. Хотите диалог? Тогда прекратите свои "глубокомысленные" изречения.

5. Всем. Господа, довольно теории. Повторю, БСОД меня не волнует. Кроме меня и Умника, кто нибудь проверил КАВ на сабже? Сам факт пропуска вируса КАВ все почему то игнорируют. Прокомментировать работу аналитика тоже никто не желает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

dr_dizel, благодарю. Это почти то что я хотел. Утилиткой не поделитесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Валерий, например вирус Neshtа, до сих пор мешает запуску Куре Ит.

Вполне вероятно. Но это не доказывает того, что в сканере нет встроенного драйвера. Если вирус не даёт CureIt! взлететь, то, естественно и драйвер Dr.Web Shield некому поставить в систему. Только и всего. Кстати, как называется у Вас файл дистрибутива CureIt! ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

sww, если не затруднит, можете посмотреть, имеет ли указанный (по ссылкам) "зловред" деструктивные функции? У меня он даже не запустился.

sceptic

Проблемы с сертификатом не было. Ибо сертификат позволил CureIT установить свой драйвер без проблем. А дальше... Драйверы двух вендоров в системе, в общем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Валерий, отвечу через 4 часа.

Умник, почему вы мне доказываете что черное - это белое? Не понимаю.. Смотрите скрины.

Далее, ссылка с ТЕМ вирусом уже мертвая. Очень жалею что я его удалил у себя... Кто желает зарегистрироваться на китайском форуме и скачать его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Умник, почему вы мне доказываете что черное - это белое? Не понимаю.. Смотрите скрины.

Потому что Вы намешали самые разные вопросы сюда:

1. Конфликт драйверов

2. Проверку на семплах, которые в вирлаб ЛК не отправляли, а что отправляли - это пустышка

3. Работу КАВ/КИС, которая ориентируется на сертификаты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel, благодарю. Это почти то что я хотел. Утилиткой не поделитесь?

Ммм... Этим что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Лола
      Я сижу с прокси-сервером https://advanced.name/.../u5 При помощи такого быстрого прокси-сервера страницы стали загружаться с одного клика, а заблокированные сайты стали доступными.
    • PR55.RP55
      1) Чаще всего такое сообщение появляется, если не верно установлено системное время. Если на PC 2025 год то самые актуальные обновления будут устаревшими. 2) Malwarebytes при наличие в системе антивируса _нужно устанавливать в режиме сканера. т.е. с отключённой защитой в реальном времени - во избежание конфликта. ---------- Форум: anti-malware.ru практически склеил ласты. Хотите получить ответ пишите на:  comss.ru
    • ratus
      Доброго времени суток! У меня следующая проблема. На информационной панели malwarebytes Следующие сообщение: "Ваши обновления не являются актуальными", При этом, с интернетом все в порядке Не помогает и обновление при помощи скаченных в ручную баз. Я подозреваю, что это могло произойти из-за установки антивируса поверх уже существующего. Но после последнего описанного события я переустановил программу корректно. Может причина в том, что антивирус не обновлен до premium версии.  
    • AM_Bot
      Алексей Андрияшин, технический директор Fortinet в России, поделился своим взглядом на тенденции информационной безопасности, а также рассказал, как защищать организацию с помощью экосистемы Fortinet. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 10.1.245.1.