Тема закрыта
Member
Отправлено 27 Июнь 2013 - 12:16
После запуска Trojan.Packed.21815 вредоносное ПО, находящееся в оперативной памяти, не обнаруживается Curelt . Почему не обнаруживается, когда вредоносное ПО уже запущено (заражает другие процессы) ? Вроде бы должен обнаруживать ? В антивирусной базе он есть .
Если просканировать весь компьютер, то Curelt конечно найдет Trojan.Packed.21815 , но весь комп сканировать долго, а оперативная память сканируется быстро .
Ковальски
Отправлено 27 Июнь 2013 - 12:24
Сигнатуры именно в памяти делаются редко, в основном для эпидемий вирусов. А так в CureIt-е есть быстрая проверка, которая обнаружит этот файл, прибьет его на диске и в памяти + почистит реестр.
Забанен за флуд
Отправлено 27 Июнь 2013 - 12:25
Во-первых, детект в памяти делается отнюдь не для всех угроз, а только для тех, лечение которых без нейтрализации в памяти невозможно. Во-вторых, что есть "заражает другие процессы"? В-третьих, если есть процесс, то есть и файл, породивший этот процесс. При проверке памяти этот файл должен быть проверен, равно как и при проверке стартапов. У Вас не так?После запуска Trojan.Packed.21815 вредоносное ПО, находящееся в оперативной памяти, не обнаруживается Curelt . Почему не обнаруживается, когда вредоносное ПО уже запущено (заражает другие процессы) ? Вроде бы должен обнаруживать ? В антивирусной базе он есть .
М... Исключительно при лечении сложных угроз.в основном для эпидемий вирусов.
Беляш
Отправлено 27 Июнь 2013 - 12:26
1)если судить по имени Trojan.Packed.21815 то оно не должно заражать.
2)может не правильную запись аналитик сделал. В вирлаб-запрос на лечение.
Member
Отправлено 27 Июнь 2013 - 12:54
Malware Defender писал, что Trojan.Packed.21815 создает поток в другом процессе . Trojan.Packed.21815 завершает работу после запуска и его нет в диспетчере задач, но вредоносные действия совершают другие процессы . Explorer.exe заражает флэшку, которую воткнули, iexplorer не пускает на virustotal .
то ли троян, то ли червь .
Если просканировать автозагрузки (это системный каталог Windows ? ), то сканер удалит вредоносное ПО и после перезагрузки это ПО не будет запускаться. Для чего тогда память сканировать, если эффективнее сканировать автозагрузки ?
Беляш
Отправлено 27 Июнь 2013 - 12:57
Сделайте логи в помощи по лечению. Так будет проще.
Ковальски
Отправлено 27 Июнь 2013 - 12:59
Malware Defender писал, что Trojan.Packed.21815 создает поток в другом процессе . Trojan.Packed.21815 завершает работу после запуска и его нет в диспетчере задач, но вредоносные действия совершают другие процессы . Explorer.exe заражает флэшку, которую воткнули, iexplorer не пускает на virustotal .
то ли троян, то ли червь .
Если просканировать автозагрузки (это системный каталог Windows ? ), то сканер удалит вредоносное ПО и после перезагрузки это ПО не будет запускаться. Для чего тогда память сканировать, если эффективнее сканировать автозагрузки ?
У вас после быстрой проверки в CureIt-е что-то осталось?
Забанен за флуд
Отправлено 27 Июнь 2013 - 13:46
Эти проверки разные, для разных целей. При Быстрой проверке проверяется И память, И автозагрузки. Это не замена одного другим, это дополнение. Сигнатуры для детекта в памяти делаются редко, но только для тех сусликов, лечение которых без нейтрализации процесса невозможна. Аналитики не посчитали нужным сделать детект для конкретного сэмпла. При проверке (любой!) суслик все равно будет найден.Для чего тогда память сканировать, если эффективнее сканировать автозагрузки ?
Member
Отправлено 27 Июнь 2013 - 14:59
У меня Curelt конкретно этот файл в автозагрузке не просканировал (то, что в CurrentVersion/Run/Rczkzb.exe). Галочки поставил на Оперативная память, системный каталог windows , временные файлы .
В конце лога C:\Users\Admin\AppData\Roaming\Rczkzb.exe , я указал конкретно этот файл . В логе больше нет записи C:\Users\Admin\AppData\Roaming\Rczkzb.exe, когда сканировалась память ,системный каталог .
Сообщение было изменено Anmawe: 27 Июнь 2013 - 15:00
Забанен за флуд
Отправлено 27 Июнь 2013 - 16:25
Так а как же вы хотите, чтобы он нашелся при пользовательском сканировании?У меня Curelt конкретно этот файл в автозагрузке не просканировал (то, что в CurrentVersion/Run/Rczkzb.exe). Галочки поставил на Оперативная память, системный каталог windows , временные файлы .
иObject(s) to scan:
- Scan processes in memory
- C:\Windows\system32\
- C:\Windows\TEMP\
- C:\Users\Admin\AppData\Local\Temp\
Object(s) to scan:
- C:\Users\Admin\AppData\Roaming\Rczkzb.exe
Guru
Отправлено 27 Июнь 2013 - 16:36
DrWeb Trojan.MBRlock.30
ESET-NOD32 Win32/Dorkbot.B
Вот до кучи - это явно не мбр локер, а червь. Что его в запрос на лечение ?
Сиюминутное Ригпа бессущностно и ясно.
Ковальски
Отправлено 27 Июнь 2013 - 18:17
У меня Curelt конкретно этот файл в автозагрузке не просканировал (то, что в CurrentVersion/Run/Rczkzb.exe). Галочки поставил на Оперативная память, системный каталог windows , временные файлы .
В конце лога C:\Users\Admin\AppData\Roaming\Rczkzb.exe , я указал конкретно этот файл . В логе больше нет записи C:\Users\Admin\AppData\Roaming\Rczkzb.exe, когда сканировалась память ,системный каталог .
Не надо изменять ничего руками. При запуске CureIt-а есть одна большая кнопка - "Начать проверку". При ней гарантировано все активное найдется.
The Master
Отправлено 28 Июнь 2013 - 13:22
Vindows, это форум посвящён DrWeb, а не каким-то другим продуктам.
Не офтопьте.
Модератор.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Guru
Отправлено 28 Июнь 2013 - 16:55
DrWeb Trojan.MBRlock.30
Поправили - Угроза: Trojan.Packed.24419
Сиюминутное Ригпа бессущностно и ясно.
Забанен за флуд
Отправлено 30 Июнь 2013 - 12:38
Это откуда?https://www.virustotal.com/ru/file/e8de534b806bd194308aa2c41b25d8f5fbebd16cb7278a2766f85107642b5715/analysis/1372339435/
DrWeb Trojan.MBRlock.30
ESET-NOD32 Win32/Dorkbot.B
Вот до кучи - это явно не мбр локер, а червь. Что его в запрос на лечение ?
Guru
Отправлено 30 Июнь 2013 - 17:56
Это откуда?https://www.virustotal.com/ru/file/e8de534b806bd194308aa2c41b25d8f5fbebd16cb7278a2766f85107642b5715/analysis/1372339435/
DrWeb Trojan.MBRlock.30
ESET-NOD32 Win32/Dorkbot.B
Вот до кучи - это явно не мбр локер, а червь. Что его в запрос на лечение ?
Скорее всего с virussign. Отбирал по детектам и вот решил опробовать мбр локеры, а этот вёл себя странно.
Сиюминутное Ригпа бессущностно и ясно.
Забанен за флуд
Отправлено 01 Июль 2013 - 12:06
Это как-то связано с сабжем?Скорее всего с virussign. Отбирал по детектам и вот решил опробовать мбр локеры, а этот вёл себя странно.Это откуда?
Ковальски
Отправлено 01 Июль 2013 - 12:30
Это как-то связано с сабжем?
Скорее всего с virussign. Отбирал по детектам и вот решил опробовать мбр локеры, а этот вёл себя странно.Это откуда?
Я вот тоже не понимаю, зачем постоянно писать не по теме...
Guru
Отправлено 01 Июль 2013 - 18:44
Это как-то связано с сабжем?
Взгляните на результат VT по сабжу и моему сообщению. Почему я выделил детект НОДа , например ? Давно заметил слабую обработку червей. Не долечивание заражения флеш накопителей - это большой минус с точки зрения пользователя. То есть зараза нейтрализована, а там хоть трава не расти - не видимые папки и ярлыки с перенаправлением надо ремонтировать ручками.
Я вот тоже не понимаю, зачем постоянно писать не по теме...
Считайте это сканом на лету 
. (stop flood)
Сиюминутное Ригпа бессущностно и ясно.
Member
Отправлено 01 Июль 2013 - 20:32
Потому-что реальность такова. Что, если бы например Евгению Касперскому предложили поменять LK на ESET, LK моментально бы стала Словатской компанией. А на публику все завидуют и включают "дурачка", продвигая свои продукты пользователям.
Сообщение было изменено Vindows: 01 Июль 2013 - 20:33
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
