Перейти к содержимому


Фото
- - - - -

Проверьте ОС (Windows 7).


  • Закрыто Тема закрыта
37 ответов в этой теме

#21 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 01 Декабрь 2019 - 12:28

Всё ещё идёт анализ файла? Более двух месяцев прошло... Странная, однако, помощь по лечению O_o .



#22 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 02 Декабрь 2019 - 07:03

Чисто для информации - за официальной поддежкой и хоть какими-то сроками решения проблемы надо идти по официальным каналам, т.е. в тех.поддержку.

 

На сколько я помню, у вас активного заражения нет и проблема была в баге у нас, а скорость исправления бага напрямую зависит от его приоритетности. Возможно, я что-то путаю и Роман поправит.



#23 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 02 Декабрь 2019 - 22:19

ошибку я воспроизвел, думаю пока как ее решить.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#24 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 03 Декабрь 2019 - 05:20

Что за баг-то? Вроде исправления бага не требовалось, требовалось проверить систему на заражение.



#25 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 03 Декабрь 2019 - 11:30

тут сплошные предположения. у себя подобного эффекта с кучей PROC:HollowedProcess.EP удалось добиться если антируткит драйвер не удалось запустить. косвенно это происходит и у вас, не вижу его в списке модулей. т.е. кто то или что то не дает его запустить, что и выливается в кучу фолс детектов PROC:HollowedProcess.EP. в общем тут надо решать две проблемы, фолсы и не загрузку драйвера по какой то причине. добавлю в отчет диагностику по старту дров, чтоб понятно было в дальнейшем что не так.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#26 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 03 Декабрь 2019 - 16:44

и не загрузку драйвера по какой то причине.

Так ведь у меня антивирус не был установлен. Или что вы имеете в виду?



#27 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 03 Декабрь 2019 - 16:48

и не загрузку драйвера по какой то причине.

Так ведь у меня антивирус не был установлен. Или что вы имеете в виду?

Утилита при старте запускает свой драйвер на лету, который важен для детектов, доставания объектов ОС, и т.д.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#28 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 03 Декабрь 2019 - 17:12

Нужно будет собрать новый отчёт?



#29 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 03 Декабрь 2019 - 17:26

пока нет.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#30 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 05 Декабрь 2019 - 06:58

А эти угрозы (насчитал 3),  это -- фолсы, значит? Есть ли заражение? Учётными записями почты и банков безопасно пользоваться?



#31 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 05 Декабрь 2019 - 10:19

Smart_D15, как я уже говорил, в системе живет куча непонятно чего. Те файлы, которые мне приглянулись при осмотре, аналитики посмотрели и угроз не нашли. Но на 100 процентов утверждать ничего нельзя, тем более с этой аномалией незагрузки драйвера. Может быть руткит, а может баг какой-то.

 

Если есть желание и время, можно заморочиться с переносом системы в виртуалку, очисткой от конфиденциальных и ненужных тяжелых данных и передачи виртуалки нам, так будет проще дебажить, ибо этот случай уникальный. Главное чтобы при клонировании аномалия не ушла, а то обидно будет :)

Если интересно, напишу инструкции в ЛС.


Сообщение было изменено RomaNNN: 05 Декабрь 2019 - 10:21

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#32 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 05 Декабрь 2019 - 15:54

А можно ли снять образ с системы, минуя перенос в виртуалку? В принципе, конфиденциальных данных особо нет, только перед этим удалю Стим, Ориджин и игры, связанные с ними.



#33 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 08 Декабрь 2019 - 11:18

Готово!



#34 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 08 Декабрь 2019 - 12:20

Нужен ещё "MEMORY.zip"? Или можно удалить?


Сообщение было изменено Smart_D15: 08 Декабрь 2019 - 12:20


#35 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 08 Декабрь 2019 - 14:23

Нужен ещё "MEMORY.zip"? Или можно удалить?

Не нужен, спасибо, все что надо посмотрели.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#36 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 10 Декабрь 2019 - 16:01

Можно ли ещё проверить, чиста ли система после запуска вируса и лечения Cureit'ом? https://yadi.sk/d/2AfsLk3LeCaGvA



#37 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 17 Декабрь 2019 - 02:50

Сможете ли проверить?



#38 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 08 Январь 2020 - 00:48

>тут сплошные предположения. у себя подобного эффекта с кучей PROC:HollowedProcess.EP удалось добиться если антируткит драйвер не удалось запустить. косвенно это происходит и у вас, не вижу его в списке модулей. т.е. кто то или что то не дает его запустить, что и выливается в кучу фолс детектов PROC:HollowedProcess.EP

разобрался в причинах наконец то, исправил причину фолсов.
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых