12 Antworten zu diesem Thema

[Eugene Muzychenko]

Каким образом нынче принято сообщать о ложном срабатывании CureIt!? На сайте предлагается сообщать только о ложном срабатывании родительского контроля.

[maxic]

Eugene Muzychenko, https://vms.drweb.ru/sendvirus/

[SergSG]

Можно еще на вирустотал проверить действительно ли оно ложное.

[Eugene Muzychenko]

Eugene Muzychenko, https://vms.drweb.ru/sendvirus/

Спасибо. Только вот проблема - что слать в качестве примера? У меня CureIt! воспроизводимо срабатывает (BackDoor.Dande.13) только на процесс vmware-vmx (VMM от VMware Workstation Pro 12.5.8) в памяти, когда там работает гостевая Win 10 1803. На сам EXE-файл - не срабатывает

[Eugene Muzychenko]

Eugene Muzychenko, https://vms.drweb.ru/sendvirus/

Спасибо. Только вот проблема - что слать в качестве примера? У меня CureIt! воспроизводимо срабатывает (BackDoor.Dande.13) только на процесс vmware-vmx (VMM от VMware Workstation Pro 12.5.8) в памяти, когда там работает гостевая Win 10 1803. Сообщает, что угроза нейтрализована, при последующих запусках - снова "нейтрализует", и так далее.

 

На сам EXE-файл - не срабатывает, и в гостевой системе тоже не жалуется. Дамп процесса получится больше полутора гигабайт - имеет ли смысл его загружать?

Bearbeitet von Eugene Muzychenko, 28 November 2018 - 00:19,

[Konstantin Yudin]

поставить на паузу vm и сделать полный дамп этого процесса после срабатывания

[Konstantin Yudin]

ну и не факт что это фолс, мало чего у вас творится в самой виртуалке

[Eugene Muzychenko]

поставить на паузу vm и сделать полный дамп этого процесса после срабатывания

Загружать полтора гигабайта? Или залить на какой-нибудь хостинг и дать ссылку?

[Konstantin Yudin]

укажите в запросе ссылку на сторонний хостинг. не забудьте сжать, дампы хорошо жмутся.

[Eugene Muzychenko]

ну и не факт что это фолс, мало чего у вас творится в самой виртуалке

Это у меня палец мимо клавиши промахнулся, а браузер услужливо отправил пост аж в двух экземплярах. Потом дописал, что в виртуалке та же версия CureIt! ничего не видит.

[Eugene Muzychenko]

поставить на паузу vm и сделать полный дамп этого процесса после срабатывания

Если поставить на паузу средствами VMware Workstation - она сохраняет образ в своем формате (vmem/vmss) и завершает процесс VMM. Эти два файла сгодятся? Если нужен именно дамп процесса в формате MS - могу остановить его через Suspend в Process Explorer, и им же изготовить дамп. Как лучше сделать?

[Konstantin Yudin]

Нужен именно дамп процесса. Пауза в виртуалке нужна чтоб не шибко менялось состояние после детекта.

[Eugene Muzychenko]

Задачу закончить не удалось - после повторной перезагрузки VM, CureIt! перестала на нее жаловаться. Но после первой перезагрузки продолжала. Возможно, как-то влияет последовательность действий внутри VM. Если еще раз замечу - буду делать дамп.

Bearbeitet von Eugene Muzychenko, 30 November 2018 - 13:44,