Rootkit.Win32.TDSS cleaner

[Fixxxer® 65]

Юрий, спасибо!

Касательно того кейса - действительно, похоже на ложное подозрение, связанное с эмулятором. При чём подозрение связано не с обсуждаемыми утилитами, а с КомбоФиксом. Нужно будет взять на заметку.

P.S.

Багрепорты --> dmitry@esagelab.ru.

не support@esagelabs.com

[Юрий Паршин 330]

P.S.

не support@esagelabs.com

Странно, в readme.txt указан именно этот адрес. Продублировал.

[alisa_sh 35]

Win7 + TrueCrypt

Лог отправлен на support@esagelab.com

Продвинутый юзер-параноик (о чем свидетельствует шифрование системного раздела, имеющее место в данном случае), зараженный руткитом - это очень смешной курьез, по-моему.

Зашифрованные сторонним софтом системные разделы поддерживать не будем (т.к. кейс редкий), баг с листингом драйверов исправим.

Спасибо за фидбэк.

p.s. support@esagelab.com - общий фидбэк; явные баги и технические нюансы можно отправлять напрямую Диме (dmitry@esagelab.com)

[Danilka 678]

Продвинутый юзер-параноик (о чем свидетельствует шифрование системного раздела, имеющее место в данном случае), зараженный руткитом - это очень смешной курьез, по-моему.

Хм... А мы таких встречали- причем к примеру Live CD в этом случае не поможет от Dr.Web...

[Андрей-001 1099]

alisa_sh

Ваша утилита помогает не только в описанных случаях с TDSS-троянами, но есть один момент - в числе прочих она находит sys-файлы программ виртуализации дисков, например, таких как Deamon Tools.

Можно как-то отработать этот момент?

[alisa_sh 35]

alisa_sh

Ваша утилита помогает не только в описанных случаях с TDSS-троянами, но есть один момент - в числе прочих она находит sys-файлы программ виртуализации дисков, например, таких как Deamon Tools.

Можно как-то отработать этот момент?

Привет.

Я не считаю правильным whitelist'ить приложение, которое проявляет себя как типичный руткит: прячет ключи, блокирует файлы и вызывает недовольство пользователей, учитывая что вайтлистинг создает огромную брешь в надежности детектора.

Добавила примечание в readme.txt. Если будет много жалоб от пользователей (пока не было не одной) - сделаем вывод предупреждения.

p.s. (updated)

Currently we are aware of the following false positives:

- Daemon Tools and Alcohol 120%: sptd.sys.

- Kaspersky Antivirus: fidbox*.*.

- Avast! antivirus: aswBoot.exe, AvastSS.scr, aswFsBlk.sys, aswMonFlt.sys,

aswRdr.sys, aswTdi.sys, aswSP.sys.

- Symantec Antivirus: S32EVNT1.DLL, SymNeti.dll, SymRedir.dll, co_mon.cat,

CO_Mon.inf, CO_Mon.sys, srtsp.cat, srtsp.inf, srtsp.sys, srtspl.cat,

srtspl.inf, srtspl.sys, srtspx.cat, srtspx.inf, srtspx.sys, symdns.sys,

SYMEVENT.CAT, SYMEVENT.INF, SYMEVENT.SYS, symfw.sys. symids.sys. SymIM.sys.

symndis.sys. symndisv.sys, SymRedir.cat. SymRedir.inf, symredrv.sys. symtdi.sys.

- Dr.Web antivirus: dwprot.sys.

- Outpost: sandbox.sys, afw.sys.

(все с вердиктом No Access)

Очевидно, практика внедрения бесполезных фич у производителей внутри одной отрасли заразна. Вендоры, АУ! В чем смысл блокировать свои файлы на чтение (именно это соответствует вердикту No Access)?

Если это защита от изучения кода - то глупая, т.к. файл можно скопировать (remover это умеет, значит, сумеет и кто-то другой, кто по самой специфике задачи обладает для этого достаточной квалификацией).

[ganek2010 0]

TDSS Cleaner начинает проверку, находит несколько зараженных файлов и почти сразу вылетает в синий экран (не завершив проверку до конца, i.e.). Подскажите, в чем проблема?