39 ответов в этой теме

[VVS]

terpimec1, ещё 2 сообщения от Вас, и у Вас появится возможность пользоваться Личными Сообщениями.

[Stebota]

А авира качается, пока шт0

[Gr@f]

можно сделать защиту от удаления CureIt!? каждый раз после перезагрузки или аварийного отключения компа, программа удаляется с жёсткого диска, неудобно каждый раз её скачивать заново, система Windows 7 Корпоративная х64

[mrbelyash]

можно сделать защиту от удаления CureIt!? каждый раз после перезагрузки или аварийного отключения компа, программа удаляется с жёсткого диска, неудобно каждый раз её скачивать заново, система Windows 7 Корпоративная х64

 

первый раз о таком слышу

[pig]

Есть мнение, что система из-за ошибки откатывается на точку восстановления, в которой CureIt отсутствует.

[SergM]

на флешку его (CureIt!) при таком раскладе.

[Lvenok]

Только одно НО утилита обновляется каждые сутки - держать старую более 2 суток - это большая гарантия того, что вы не найдете ей сусликов на ПК, учитывая что за сутки добавляется в базу порядка 2000 новых записей.

[SergSG]

Если не бродить по нехорошим сайтам и не качать что попало, то Куреит за двое суток  не прокисает. Проверено.

А вот если бродить где ни попадя, то не факт что и свежескачанный поможет. Вирь то он может и прибъет, а вот его последствия...

[Victor_koly]

Если не бродить по нехорошим сайтам и не качать что попало, то Куреит за двое суток  не прокисает. Проверено.

 

Если файл не заражен вирусом, которого очень давно не может выловить этот продукт (возможно, что так бывает у Norton). Если бродить со старым Norton без обновления баз и не давать ему сканировать весь комп - будет не менее 100 зараженных файлов (скажем 9 в Temp\ и 3 начальных в Temporary Internet Files\). И будет становится каждый месяц на 20 больше, даже если поставить антивирус с более свежими технологиями.

 

P.S. Бул у меня баг на WinXp x32, что "режим усиленной защиты" всегда зависал в конце - только аппаратная перезагрузка. А на Win7 x64 я его уже не нашел.

Сообщение было изменено Victor_koly: 23 Апрель 2014 - 00:47

[bystander]

P.S. Бул у меня баг на WinXp x32, что "режим усиленной защиты" всегда зависал в конце - только аппаратная перезагрузка. А на Win7 x64 я его уже не нашел.

В новых курейтах его нет, упразднили за не надобностью или бесполезностью.

[Victor_koly]

Вопрос возник по CureIt!, но это больше к секретным техническим аспектам. Я правильно предполагаю, что он создает для своей работы драйвер в папке вроде users\%user_name%\appdata\local\temp\ или Documents and Settings\%user_name%\local settings\temp\ (зависит от от версии ОС и настроек основной используемой папки temp\).

Во-первых, скорее всего вопрос относится к той версии, где ещё был доступен режим усиленной защиты.

Во-вторых, вопрос по поводу чего-то вроде "система из-за ошибки откатывается на точку восстановления":

   Может ли при включенной функции "Восстановление системы" указанный драйвер регулярно и нерегулярно восстанавливаться?

 

P.S. А последний вопрос уже совершенно секретный и может раскрывать особенности работы CureIt!, так что я его задам куда-то не сюда и только после ответов на эти вопросы.

[SergSG]

Вопрос возник по CureIt!, но это больше к секретным техническим аспектам. Я правильно предполагаю, что он создает для своей работы драйвер в папке вроде users\%user_name%\appdata\local\temp\ или Documents and Settings\%user_name%\local settings\temp\ (зависит от от версии ОС и настроек основной используемой папки temp\).

Да. Он туда распаковывет своё содержимое.

 

Во-вторых, вопрос по поводу чего-то вроде "система из-за ошибки откатывается на точку восстановления":

   Может ли при включенной функции "Восстановление системы" указанный драйвер регулярно и нерегулярно восстанавливаться?

Он не всегда удаляется из этой папки из за некоторых особенностей.

[mrbelyash]

...

[Konstantin Yudin]

Драйвкр стартует в ручном режиме, даже если каким то чудом он остался в слепке то он не будет стартовать
Вы задавайте любой вопрос, на секреты я просто не отвечу

[Victor_koly]

на секреты я просто не отвечу

Начнем  с простого.

"Обработчик функции службы NtMapViewOfSection" (объект скрыт).

Если что, я мог неправильно запомнить название функции.

Конкретно это обнаружилось уже при сканировании из профиля %user_name%. Это было похоже на заражение вирусом типа BackDoor.Tofsee.32 или Trojan.Spambot.7965 (не смог найти точного соответствия с моим антивирусом, Symantec на другом компьютере намного раньше находил что-то вроде Trojan.Ascesso.A), которое я додумался вытравить меньше месяца от этой даты. Из под другого пользователя я нашел уже обработчик 15-и функций:

 

1) NtWriteVirtualMemory;

2) NtUserSwitchDesktop;

3) NtUserSendInput;

4) NtUserQueryWindow;

5) NtUserPostThreadMessage;

6) NtUserPostMessage;

7) NtUserMessageCall;

8) NtUserCallTwoParam;

9) NtSystemDebugControl;

10) NtSetContextThread;

11) NtQueueApcThread;

12) NtOpenSection;

13) NtFreeVirtualMemory;

14) NtCreateThread;

15) NtAllocateVirtualMemory.

 

Проблема в том, что в этом списке нет указанной выше функции, так что я не уверен в том, что её я не перепутал. К тем 15-и функциям могу найти скриншот. В последствии при возникновении драйвер нормально удалялся и из оригинального пользователя.

 

P.S. 

Драйвкр стартует в ручном режиме, даже если каким то чудом он остался в слепке то он не будет стартовать

Как это относится к механизмам старта части бекдора вида:

secupdat.dat:\xored_pe_file (который и есть "Обработчик функции службы NtMapViewOfSection")?

Какие механизмы заставляют его превращаться во что-то, на что реагирует поиск руткитов антивируса (об человек с альтернативными умственными способностямиизме разработчиков, не дающем найти сам файл я умолчу - это не Ваш продукт).

 

P.S.S. Аналогичная ситуация была на другом компьютере, Но там был кажется меньший набор функций (что возможно вызвано более старой версией антивируса), восстановление системы было отключено, но наверное тоже "руткит" найден после перезагрузки (наверное тоже зависло после "усиленной защиты").

[Victor_koly]

А ещё я не понял одного момента. Вроде как нет возможности запускать Dr.Web CureIt! из Live CD (если вдруг есть только диск этот и только его нормально выходит запускать в графическом режиме) - по идее древний XP.

[mrbelyash]

А ещё я не понял одного момента. Вроде как нет возможности запускать Dr.Web CureIt! из Live CD (если вдруг есть только диск этот и только его нормально выходит запускать в графическом режиме) - по идее древний XP.

скоро выйдет лайфсд с куреитом на борту.ждите

[maxic]

Victor_koly, всё работает, ХР нет.

[mrbelyash]

Victor_koly, всё работает, ХР нет.

 

чойта куреит поднялся с лайфсд?

И сервисы поднял?

[VVS]

Слушайте, ну чего обсуждать 100500 раз обжёванную тему?

Проблема ТС решена.

Тема закрыта.

Модератор.