Перейти к содержанию

Recommended Posts

Fixxxer®

Юрий, спасибо!

Касательно того кейса - действительно, похоже на ложное подозрение, связанное с эмулятором. При чём подозрение связано не с обсуждаемыми утилитами, а с КомбоФиксом. Нужно будет взять на заметку.

P.S.

Багрепорты --> [email protected]

не [email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Странно, в readme.txt указан именно этот адрес. Продублировал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Win7 + TrueCrypt

Лог отправлен на [email protected]

Продвинутый юзер-параноик (о чем свидетельствует шифрование системного раздела, имеющее место в данном случае), зараженный руткитом - это очень смешной курьез, по-моему. :lol:

Зашифрованные сторонним софтом системные разделы поддерживать не будем (т.к. кейс редкий), баг с листингом драйверов исправим.

Спасибо за фидбэк.

p.s. [email protected] - общий фидбэк; явные баги и технические нюансы можно отправлять напрямую Диме ([email protected])

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Продвинутый юзер-параноик (о чем свидетельствует шифрование системного раздела, имеющее место в данном случае), зараженный руткитом - это очень смешной курьез, по-моему. :lol:

Хм... А мы таких встречали- причем к примеру Live CD в этом случае не поможет от Dr.Web...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

alisa_sh

Ваша утилита помогает не только в описанных случаях с TDSS-троянами, но есть один момент - в числе прочих она находит sys-файлы программ виртуализации дисков, например, таких как Deamon Tools.

Можно как-то отработать этот момент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
alisa_sh

Ваша утилита помогает не только в описанных случаях с TDSS-троянами, но есть один момент - в числе прочих она находит sys-файлы программ виртуализации дисков, например, таких как Deamon Tools.

Можно как-то отработать этот момент?

Привет.

Я не считаю правильным whitelist'ить приложение, которое проявляет себя как типичный руткит: прячет ключи, блокирует файлы и вызывает недовольство пользователей, учитывая что вайтлистинг создает огромную брешь в надежности детектора.

Добавила примечание в readme.txt. Если будет много жалоб от пользователей (пока не было не одной) - сделаем вывод предупреждения.

p.s. (updated)

Currently we are aware of the following false positives:

- Daemon Tools and Alcohol 120%: sptd.sys.

- Kaspersky Antivirus: fidbox*.*.

- Avast! antivirus: aswBoot.exe, AvastSS.scr, aswFsBlk.sys, aswMonFlt.sys,

aswRdr.sys, aswTdi.sys, aswSP.sys.

- Symantec Antivirus: S32EVNT1.DLL, SymNeti.dll, SymRedir.dll, co_mon.cat,

CO_Mon.inf, CO_Mon.sys, srtsp.cat, srtsp.inf, srtsp.sys, srtspl.cat,

srtspl.inf, srtspl.sys, srtspx.cat, srtspx.inf, srtspx.sys, symdns.sys,

SYMEVENT.CAT, SYMEVENT.INF, SYMEVENT.SYS, symfw.sys. symids.sys. SymIM.sys.

symndis.sys. symndisv.sys, SymRedir.cat. SymRedir.inf, symredrv.sys. symtdi.sys.

- Dr.Web antivirus: dwprot.sys.

- Outpost: sandbox.sys, afw.sys.

(все с вердиктом No Access)

Очевидно, практика внедрения бесполезных фич у производителей внутри одной отрасли заразна. Вендоры, АУ! В чем смысл блокировать свои файлы на чтение (именно это соответствует вердикту No Access)?

Если это защита от изучения кода - то глупая, т.к. файл можно скопировать (remover это умеет, значит, сумеет и кто-то другой, кто по самой специфике задачи обладает для этого достаточной квалификацией).

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ganek2010

TDSS Cleaner начинает проверку, находит несколько зараженных файлов и почти сразу вылетает в синий экран (не завершив проверку до конца, i.e.). Подскажите, в чем проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×