Skorpion

Скорость работы вирлаба ESET

В этой теме 19 сообщений

Первый раз отправил два дня назад "экзотический" вирус, но вирлаб не торопится его добавлять.

Так всегда или мой случай редкость?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если вирлаб не отвечает больше 2 дня, то нужно отправить повторное письмо но уже с указанием даты отправки предыдущего. Возможно у них просто еще руки не дошли к етому файлу. Кстате пароль к архиву нужно писать в теле письма обьязательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да кстати адрес отправки вирусов: [email protected] или любой региональный.

В письме обьязательно нужно указать пароль к архиву, а в теме причину по которой отсылается вирус.

Пример:

1) Тема "False-Positive:Probably a variant of Win32/Adware.Gen Trojan"

2) Пароль к архиву "infected"(без кавычек, хотя в принцыпе пароль можно давать любой, но при этом обьязательно писать его в теле письма)

3) В теле письма помимо пароля нужно описать почему именно Вы видите/не видите в этом образце вредоносное ПО.

а)Если это вредонос то как можно подробнее описать его действия или их последствия.

б)Если это просто ложное срабативание то можно максимально описать что это за файл, от куда он скачан, что делает, и.т.п

Эта информация значительно ускоряет процесс добавления новых сэмплов/исключений в обновления антивирусного движка.

PS как пример на мое письмо ответили через 9 минут. Добавили трояна в следующий апдейт.

Отредактировал DaTa

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это не нормально. Я пользователь продукта. Я отправляю семпл и требую результата в течении 48 часов. Хорошо, в сложных ситуациях я подожду, но отсчитываться не должен. Уж тем более не должен заниматься работой вирлаба.

А вирлаб не должен принимать слова пользователя на веру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Боже мой...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отправил 2 штуки вирусов в [email protected] и через сам нод. И вообще как нужно отправлять? Один кряк, другай dll-ка к проге одной.. Сам нод не видит их, но на VT ругаеться более 10 антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отправил 2 штуки вирусов в [email protected] и через сам нод. И вообще как нужно отправлять? Один кряк, другай dll-ка к проге одной.. Сам нод не видит их, но на VT ругаеться более 10 антивирусов.

Если Вы пользователь продуктов компании Eset, то можно и через дополнительную функция продукта... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а)Если это вредонос то как можно подробнее описать его действия или их последствия.

Т.е распаковать зловреда, дизассемблить и описать им все его действия? А листинг до компилируемого вида в masm32 им не обточить?

;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Через сам антивирус я отправлял, но, во-первых, он не всегда отправляет (это определяется по журналу событий), а во-вторых, после отсылки реагируют долго. На случаи ложного срабатывания реагируют быстрее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е распаковать зловреда, дизассемблить и описать им все его действия? А листинг до компилируемого вида в masm32 им не обточить?

;)

ех сарказм, сарказм... B) Нет конечно, ну например у Вас есть подозрение что в системе именно "эта" dll делает вирусоподобные действия. Вот можно описать какие именно действия делаються, или что случилось у вас на ПК когда вы обнаружили "подозоительный" файл. Это как раз имелось в ввиду, а дизасемблинг и прочие "пляски с бубном" это уже дело вирлаба естественно.

Кстати у ESET SysInspector есть такая штуковина как ServiceScript при помощи которого можно удалять "подозрительные" сервисы, dll-ки, драйверы, ключи реестра и.т.п короче производить очистку системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ех сарказм, сарказм... B) Нет конечно, ну например у Вас есть подозрение что в системе именно "эта" dll делает вирусоподобные действия. Вот можно описать какие именно действия делаються, или что случилось у вас на ПК когда вы обнаружили "подозоительный" файл. Это как раз имелось в ввиду, а дизасемблинг и прочие "пляски с бубном" это уже дело вирлаба естественно.

Кстати у ESET SysInspector есть такая штуковина как ServiceScript при помощи которого можно удалять "подозрительные" сервисы, dll-ки, драйверы, ключи реестра и.т.п короче производить очистку системы.

где бы раздабыть команды для ServiceScript ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
где бы раздабыть команды для ServiceScript ?

Их не нужно ниоткуда брать. Пока у ServiceScript все просто. Приведу пример, у Вас появилось подозрение на драйвер umz8k4z.sys, который в свою очередь зарегистрировал скрытый сервис. Для того чтобы удалить зловреда Вам нужно выполнить следующее:

1. Обновить базы антивируса(смешно конечно, но вдруг файл уже был класифицырован вирусными аналитиками как вредоносный).

2. Провести Smart-сканирование винчестера(относится к пунтку 1)

3. Запустить ESET SysInspector и зделать полный лог системы.

3. Перейти в ветку "Drivers" и удостовериться что "зараженый" обьект находится именно там, тоже самое зделать с веткой "Services".

4. После того, как Вы удостоверились что даные файлы существуют, зделайте следующее:

  • а) При помощи нажатой кнопки Ctrl выделите 2 елемента(Drivers и Services);

б) Потом в контекстном меню (которое открывается по правому щелчку) выберите пункт "Export .. to ServiceScript"

в) В диалоговом окне сохранения файла скрипта укажите удобное имья файла и место для сохранения( стандартный путь для пользователей Windows XP "X:\Documents and Settings\All Users\Application Data\Eset\SysInspector", для пользователей Windows Vista/Windows 7 "X:\ProgramData\Eset\SysInspector" (где Х: буква диска на котором стоит система))

г) Откройте файл скрипта при помощи Notepad или любого другого текстового редактора и найдите интересующие вас пункты( напоминаю что нам интересен драйвер umz8k4z.sys, а также его сервис), когда найдете то вместо символа "-" поставте символ "+" для тех обьектов которые Вы хотите удалить и сохраните скрипт.(Помните ESET SysInspector дает только приблизительный евристический анализ файлов, тоесть если уровень риска для файла "6"(отмечен красным) то это не значит что файл 100% вредоносный. Если у Вас недостаточно знаний и опыта чтобы определить вредносный файл или нет, то лучше его не трогать, а проконсультироватся с представителем Технической поддержки ESET!!! Так как удаленные системные файлы/сервисы/ключи реестра Windows - причина нестабильносты или отказа работы системы!

д) Перейдите в окно открытого ESET SysInspector и в меню "File" выберите пункт "Run ServiceScript" и укажите имья ранее сохраненного Вами файла скрипта.

5. После удаления вредоносных обьектов необходимо провести перезагрузку ПК после чего зделать повторный лог чтобы удостовериться что интересующие Вас обьекты успешно удалены.

Вот в принципе и все что нужно зделать. Дерзайте ;)

Отредактировал DaTa
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Один кряк, другай dll-ка к проге одной.. Сам нод не видит их, но на VT ругаеться более 10 антивирусов.

Имхо, это не правильно что антивири заносят в свои базы детекты на кряки, кейгены и т.п. А потом говорят мол смотри Нод круче всех, после такогото антивиря нашел 10 вирусов, а по настоящему это не вири, а безобидные кряки, кейгены и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Имхо, это не правильно что антивири заносят в свои базы детекты на кряки, кейгены и т.п. А потом говорят мол смотри Нод круче всех, после такогото антивиря нашел 10 вирусов, а по настоящему это не вири, а безобидные кряки, кейгены и т.п.

Я же сказал наоборот что нод их не видит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я же сказал наоборот что нод их не видит

А надо что бы он их видел( кейген)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А надо что бы он их видел( кейген)?

Если он чист, то нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?
    • PR55.RP55
      + Info Software
      Media Lid
      Megabit
      Megabit, OOO
      'LLC' Dort
      "LLC" Dort