Перейти к содержанию
Skorpion

Скорость работы вирлаба ESET

Recommended Posts

Skorpion

Первый раз отправил два дня назад "экзотический" вирус, но вирлаб не торопится его добавлять.

Так всегда или мой случай редкость?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Если вирлаб не отвечает больше 2 дня, то нужно отправить повторное письмо но уже с указанием даты отправки предыдущего. Возможно у них просто еще руки не дошли к етому файлу. Кстате пароль к архиву нужно писать в теле письма обьязательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

так и делал, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Я бы рекомендовал отправлять образцы по адресу: support@esetnod32.ru по правилам.

Отредактировал Ego Dekker

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Да кстати адрес отправки вирусов: samples@eset.com или любой региональный.

В письме обьязательно нужно указать пароль к архиву, а в теме причину по которой отсылается вирус.

Пример:

1) Тема "False-Positive:Probably a variant of Win32/Adware.Gen Trojan"

2) Пароль к архиву "infected"(без кавычек, хотя в принцыпе пароль можно давать любой, но при этом обьязательно писать его в теле письма)

3) В теле письма помимо пароля нужно описать почему именно Вы видите/не видите в этом образце вредоносное ПО.

а)Если это вредонос то как можно подробнее описать его действия или их последствия.

б)Если это просто ложное срабативание то можно максимально описать что это за файл, от куда он скачан, что делает, и.т.п

Эта информация значительно ускоряет процесс добавления новых сэмплов/исключений в обновления антивирусного движка.

PS как пример на мое письмо ответили через 9 минут. Добавили трояна в следующий апдейт.

Отредактировал DaTa

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это не нормально. Я пользователь продукта. Я отправляю семпл и требую результата в течении 48 часов. Хорошо, в сложных ситуациях я подожду, но отсчитываться не должен. Уж тем более не должен заниматься работой вирлаба.

А вирлаб не должен принимать слова пользователя на веру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Боже мой...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Отправил 2 штуки вирусов в support@esetnod32.ru и через сам нод. И вообще как нужно отправлять? Один кряк, другай dll-ка к проге одной.. Сам нод не видит их, но на VT ругаеться более 10 антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Отправил 2 штуки вирусов в support@esetnod32.ru и через сам нод. И вообще как нужно отправлять? Один кряк, другай dll-ка к проге одной.. Сам нод не видит их, но на VT ругаеться более 10 антивирусов.

Если Вы пользователь продуктов компании Eset, то можно и через дополнительную функция продукта... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
а)Если это вредонос то как можно подробнее описать его действия или их последствия.

Т.е распаковать зловреда, дизассемблить и описать им все его действия? А листинг до компилируемого вида в masm32 им не обточить?

;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Через сам антивирус я отправлял, но, во-первых, он не всегда отправляет (это определяется по журналу событий), а во-вторых, после отсылки реагируют долго. На случаи ложного срабатывания реагируют быстрее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Т.е распаковать зловреда, дизассемблить и описать им все его действия? А листинг до компилируемого вида в masm32 им не обточить?

;)

ех сарказм, сарказм... B) Нет конечно, ну например у Вас есть подозрение что в системе именно "эта" dll делает вирусоподобные действия. Вот можно описать какие именно действия делаються, или что случилось у вас на ПК когда вы обнаружили "подозоительный" файл. Это как раз имелось в ввиду, а дизасемблинг и прочие "пляски с бубном" это уже дело вирлаба естественно.

Кстати у ESET SysInspector есть такая штуковина как ServiceScript при помощи которого можно удалять "подозрительные" сервисы, dll-ки, драйверы, ключи реестра и.т.п короче производить очистку системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
ех сарказм, сарказм... B) Нет конечно, ну например у Вас есть подозрение что в системе именно "эта" dll делает вирусоподобные действия. Вот можно описать какие именно действия делаються, или что случилось у вас на ПК когда вы обнаружили "подозоительный" файл. Это как раз имелось в ввиду, а дизасемблинг и прочие "пляски с бубном" это уже дело вирлаба естественно.

Кстати у ESET SysInspector есть такая штуковина как ServiceScript при помощи которого можно удалять "подозрительные" сервисы, dll-ки, драйверы, ключи реестра и.т.п короче производить очистку системы.

где бы раздабыть команды для ServiceScript ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
где бы раздабыть команды для ServiceScript ?

Их не нужно ниоткуда брать. Пока у ServiceScript все просто. Приведу пример, у Вас появилось подозрение на драйвер umz8k4z.sys, который в свою очередь зарегистрировал скрытый сервис. Для того чтобы удалить зловреда Вам нужно выполнить следующее:

1. Обновить базы антивируса(смешно конечно, но вдруг файл уже был класифицырован вирусными аналитиками как вредоносный).

2. Провести Smart-сканирование винчестера(относится к пунтку 1)

3. Запустить ESET SysInspector и зделать полный лог системы.

3. Перейти в ветку "Drivers" и удостовериться что "зараженый" обьект находится именно там, тоже самое зделать с веткой "Services".

4. После того, как Вы удостоверились что даные файлы существуют, зделайте следующее:

  • а) При помощи нажатой кнопки Ctrl выделите 2 елемента(Drivers и Services);

б) Потом в контекстном меню (которое открывается по правому щелчку) выберите пункт "Export .. to ServiceScript"

в) В диалоговом окне сохранения файла скрипта укажите удобное имья файла и место для сохранения( стандартный путь для пользователей Windows XP "X:\Documents and Settings\All Users\Application Data\Eset\SysInspector", для пользователей Windows Vista/Windows 7 "X:\ProgramData\Eset\SysInspector" (где Х: буква диска на котором стоит система))

г) Откройте файл скрипта при помощи Notepad или любого другого текстового редактора и найдите интересующие вас пункты( напоминаю что нам интересен драйвер umz8k4z.sys, а также его сервис), когда найдете то вместо символа "-" поставте символ "+" для тех обьектов которые Вы хотите удалить и сохраните скрипт.(Помните ESET SysInspector дает только приблизительный евристический анализ файлов, тоесть если уровень риска для файла "6"(отмечен красным) то это не значит что файл 100% вредоносный. Если у Вас недостаточно знаний и опыта чтобы определить вредносный файл или нет, то лучше его не трогать, а проконсультироватся с представителем Технической поддержки ESET!!! Так как удаленные системные файлы/сервисы/ключи реестра Windows - причина нестабильносты или отказа работы системы!

д) Перейдите в окно открытого ESET SysInspector и в меню "File" выберите пункт "Run ServiceScript" и укажите имья ранее сохраненного Вами файла скрипта.

5. После удаления вредоносных обьектов необходимо провести перезагрузку ПК после чего зделать повторный лог чтобы удостовериться что интересующие Вас обьекты успешно удалены.

Вот в принципе и все что нужно зделать. Дерзайте ;)

Отредактировал DaTa
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EzzO
Один кряк, другай dll-ка к проге одной.. Сам нод не видит их, но на VT ругаеться более 10 антивирусов.

Имхо, это не правильно что антивири заносят в свои базы детекты на кряки, кейгены и т.п. А потом говорят мол смотри Нод круче всех, после такогото антивиря нашел 10 вирусов, а по настоящему это не вири, а безобидные кряки, кейгены и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Имхо, это не правильно что антивири заносят в свои базы детекты на кряки, кейгены и т.п. А потом говорят мол смотри Нод круче всех, после такогото антивиря нашел 10 вирусов, а по настоящему это не вири, а безобидные кряки, кейгены и т.п.

Я же сказал наоборот что нод их не видит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Я же сказал наоборот что нод их не видит

А надо что бы он их видел( кейген)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
А надо что бы он их видел( кейген)?

Если он чист, то нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×