Rootkit.Win32.TDSS cleaner - Страница 2 - Бесплатные программы (freeware) - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Fixxxer®

Юрий, спасибо!

Касательно того кейса - действительно, похоже на ложное подозрение, связанное с эмулятором. При чём подозрение связано не с обсуждаемыми утилитами, а с КомбоФиксом. Нужно будет взять на заметку.

P.S.

Багрепорты --> dmitry@esagelab.ru.

не support@esagelabs.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
P.S.

не support@esagelabs.com

Странно, в readme.txt указан именно этот адрес. Продублировал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Win7 + TrueCrypt

Лог отправлен на support@esagelab.com

Продвинутый юзер-параноик (о чем свидетельствует шифрование системного раздела, имеющее место в данном случае), зараженный руткитом - это очень смешной курьез, по-моему. :lol:

Зашифрованные сторонним софтом системные разделы поддерживать не будем (т.к. кейс редкий), баг с листингом драйверов исправим.

Спасибо за фидбэк.

p.s. support@esagelab.com - общий фидбэк; явные баги и технические нюансы можно отправлять напрямую Диме (dmitry@esagelab.com)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Продвинутый юзер-параноик (о чем свидетельствует шифрование системного раздела, имеющее место в данном случае), зараженный руткитом - это очень смешной курьез, по-моему. :lol:

Хм... А мы таких встречали- причем к примеру Live CD в этом случае не поможет от Dr.Web...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

alisa_sh

Ваша утилита помогает не только в описанных случаях с TDSS-троянами, но есть один момент - в числе прочих она находит sys-файлы программ виртуализации дисков, например, таких как Deamon Tools.

Можно как-то отработать этот момент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
alisa_sh

Ваша утилита помогает не только в описанных случаях с TDSS-троянами, но есть один момент - в числе прочих она находит sys-файлы программ виртуализации дисков, например, таких как Deamon Tools.

Можно как-то отработать этот момент?

Привет.

Я не считаю правильным whitelist'ить приложение, которое проявляет себя как типичный руткит: прячет ключи, блокирует файлы и вызывает недовольство пользователей, учитывая что вайтлистинг создает огромную брешь в надежности детектора.

Добавила примечание в readme.txt. Если будет много жалоб от пользователей (пока не было не одной) - сделаем вывод предупреждения.

p.s. (updated)

Currently we are aware of the following false positives:

- Daemon Tools and Alcohol 120%: sptd.sys.

- Kaspersky Antivirus: fidbox*.*.

- Avast! antivirus: aswBoot.exe, AvastSS.scr, aswFsBlk.sys, aswMonFlt.sys,

aswRdr.sys, aswTdi.sys, aswSP.sys.

- Symantec Antivirus: S32EVNT1.DLL, SymNeti.dll, SymRedir.dll, co_mon.cat,

CO_Mon.inf, CO_Mon.sys, srtsp.cat, srtsp.inf, srtsp.sys, srtspl.cat,

srtspl.inf, srtspl.sys, srtspx.cat, srtspx.inf, srtspx.sys, symdns.sys,

SYMEVENT.CAT, SYMEVENT.INF, SYMEVENT.SYS, symfw.sys. symids.sys. SymIM.sys.

symndis.sys. symndisv.sys, SymRedir.cat. SymRedir.inf, symredrv.sys. symtdi.sys.

- Dr.Web antivirus: dwprot.sys.

- Outpost: sandbox.sys, afw.sys.

(все с вердиктом No Access)

Очевидно, практика внедрения бесполезных фич у производителей внутри одной отрасли заразна. Вендоры, АУ! В чем смысл блокировать свои файлы на чтение (именно это соответствует вердикту No Access)?

Если это защита от изучения кода - то глупая, т.к. файл можно скопировать (remover это умеет, значит, сумеет и кто-то другой, кто по самой специфике задачи обладает для этого достаточной квалификацией).

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ganek2010

TDSS Cleaner начинает проверку, находит несколько зараженных файлов и почти сразу вылетает в синий экран (не завершив проверку до конца, i.e.). Подскажите, в чем проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
    • santy
      RP55, есть у тебя ТГ?
    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
×