Перейти к содержимому


Фото
- - - - -

исключения веток ррестра для проги или процесса


  • Please log in to reply
20 ответов в этой теме

#1 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 04 Май 2019 - 14:09

ноут хп, брендовая прога распознается как руткит, не автозапускается.

будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?

сейчас пока "лечится" отключением проверки руткитов.



#2 pig

pig

    Бредогенератор

  • Helpers
  • 10 621 Сообщений:

Отправлено 04 Май 2019 - 16:21

Вирлаб озадачен?
Почтовый сервер Eserv тоже работает с Dr.Web

#3 VVS

VVS

    The Master

  • Moderators
  • 17 233 Сообщений:

Отправлено 04 Май 2019 - 16:59

ноут хп, брендовая прога распознается как руткит, не автозапускается.

будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?

сейчас пока "лечится" отключением проверки руткитов.

А где описание проблемы с отчётом доктора и с указанием точного времени проблемы?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#4 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 04 Май 2019 - 19:14

Вирлаб озадачен?

Нет, я неправильно написал. Прога не определяется как руткит, ей нужна запись в ветке реестра, а гуард эту запись исправляет. и она не автозапускается.


 

ноут хп, брендовая прога распознается как руткит, не автозапускается.

будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?

сейчас пока "лечится" отключением проверки руткитов.

А где описание проблемы с отчётом доктора и с указанием точного времени проблемы?

 

Нету. Есть ответ ТП

Чтобы такого не повторялось отключите функцию "Проверять компьютер на наличие руткитов": Центр безопасности - Файлы и сеть - Spider Guard - Доп.настройки. В текущей реализации пока нет возможности внести в исключения ветки реестра


вот угроза

 

28.04.2019 16:24 SpIDer Guard Обнаружена угроза Объект: Userinit Угроза: REG:SUSPICIOUS.UserinitCorrupted Действие: Вылечено Путь: \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 



#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 721 Сообщений:

Отправлено 15 Май 2019 - 10:17

И что за прога туда пишется?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 15 Май 2019 - 12:25

И что за прога туда пишется?

HP Client Security.



#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 721 Сообщений:

Отправлено 15 Май 2019 - 12:48

Хм. А можно сам файл который там прописан и отчёт для тех. поддержки или номер саппорт тикета в личку? А да, какая версия антивируса?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 15 Май 2019 - 13:13

отправил



#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 721 Сообщений:

Отправлено 15 Май 2019 - 14:09

курим логи. вижу два кейса:

1. хипс блокировка

Preventive Protection event: Change protected value

id: 79690, timestamp: 13:52:10.785, type: RegSetValue (14), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 18756/16916:\Device\HarddiskVolume10\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe
context: start addr: 0x143c65e, image: 0x13e0000:\Device\HarddiskVolume10\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe
  hips: type: 6, action: ask [0]
  cmd: "C:\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe" /RegServer
  fileinfo: size: 1333936, easize: 40, attr: 0x2020, buildtime: 23.05.2018 00:02:42.000, ctime: 22.05.2018 15:19:34.000, atime: 28.04.2019 13:52:04.269, mtime: 22.05.2018 15:19:34.000, descr: DigitalPersona Local Agent, ver: 9.3.15.69, company: Crossmatch, Inc., oname: DPPRAgnt.EXE
  signer: C=US|ST=California|L=Fremont|O=DigitalPersona, Inc.|CN=DigitalPersona, Inc., timestamp: 23.05.2018 00:19:33.000, thumbprint: 888ba9872192c9646a0718a6d3ee238f9810a46b
  hash: 55d398163414cd32b720fb7fa896f093746a1781 status: signed, pe32, new_pe / signed / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, access: 0x0
  value: Userinit, type: sz
current content:
00000000: 43 00 3a 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 C.:.\.W.i.n.d.o.
00000010: 77 00 73 00 5c 00 73 00 79 00 73 00 74 00 65 00 w.s.\.s.y.s.t.e.
00000020: 6d 00 33 00 32 00 5c 00 75 00 73 00 65 00 72 00 m.3.2.\.u.s.e.r.
00000030: 69 00 6e 00 69 00 74 00 2e 00 65 00 78 00 65 00 i.n.i.t...e.x.e.
00000040: 00 00                                           ..
new content:
00000000: 43 00 3a 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 C.:.\.W.i.n.d.o.
00000010: 77 00 73 00 5c 00 73 00 79 00 73 00 74 00 65 00 w.s.\.s.y.s.t.e.
00000020: 6d 00 33 00 32 00 5c 00 75 00 73 00 65 00 72 00 m.3.2.\.u.s.e.r.
00000030: 69 00 6e 00 69 00 74 00 2e 00 65 00 78 00 65 00 i.n.i.t...e.x.e.
00000040: 2c 00 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 ,.C.:.\.P.r.o.g.
00000050: 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 r.a.m. .F.i.l.e.
00000060: 73 00 20 00 28 00 78 00 38 00 36 00 29 00 5c 00 s. .(.x.8.6.).\.
00000070: 48 00 50 00 5c 00 48 00 50 00 20 00 50 00 72 00 H.P.\.H.P. .P.r.
00000080: 6f 00 74 00 65 00 63 00 74 00 54 00 6f 00 6f 00 o.t.e.c.t.T.o.o.
00000090: 6c 00 73 00 20 00 53 00 65 00 63 00 75 00 72 00 l.s. .S.e.c.u.r.
000000a0: 69 00 74 00 79 00 20 00 4d 00 61 00 6e 00 61 00 i.t.y. .M.a.n.a.
000000b0: 67 00 65 00 72 00 5c 00 42 00 69 00 6e 00 5c 00 g.e.r.\.B.i.n.\.
000000c0: 44 00 50 00 41 00 67 00 65 00 6e 00 74 00 2e 00 D.P.A.g.e.n.t...
000000d0: 65 00 78 00 65 00 2c 00 00 00                   e.x.e.,...
send user alert and wait action...
user selected action: allow [2]
id: 79690 ==> allowed [2], time: 2842.385300 ms
2. лечение не стандартного параметра

Neutralized object: \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit - cured [threat name: REG:SUSPICIOUS.UserinitCorrupted, action: 2, type: 11, ret: 2, time: 20016.816500 ms]

replace value: path = \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, value = Userinit, old = , new = C:\WINDOWS\system32\userinit.exe,, status 0x0
с первым вроде понятно. а вот второй, по делу лечит т.к. до этого там было пусто. странно
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 721 Сообщений:

Отправлено 15 Май 2019 - 14:10

CN=DigitalPersona, Inc. - как то не похохе на HP, видно какой то партнер или купили компанию. вообще в Userinit легальный софт не пишется, есть лрд других легальных мест.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#11 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 181 Сообщений:

Отправлено 15 Май 2019 - 14:16

Konstantin Yudin, НР Client Security имеет доступ ко всей безопасности, в том числе и биометрии. В частности, отпечатки пальцев через него заводятся в систему, а используется для сканера отпечатков софт от DigitalPersona. Сам я отказался от использования тяжелого Client Security и использую для отпечатков стандартный интерфейс win10, который всё понимает и не тащит за собой столько лишнего.



#12 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 721 Сообщений:

Отправлено 15 Май 2019 - 14:21

да тут просто XP, поэтому мало кто думал о легальных методах
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#13 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 15 Май 2019 - 14:52

CN=DigitalPersona, Inc. - как то не похохе на HP, видно какой то партнер или купили компанию. вообще в Userinit легальный софт не пишется, есть лрд других легальных мест.

это расширение для гуглхрома, не имеет отношения к делу. этот клиент секурити просит поставить это расширение. а в гуглхроме что-то перестали использовать поэтому оно не робит сейчас.



#14 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 15 Май 2019 - 14:54

а вот второй, по делу лечит т.к. до этого там было пусто. странно

кажется это после перезагрузки (я обычно гибернацией пользуюсь, потому перезагрузка бывает не сразу после установки и не всегда помню что и зачем).

и может он в первый свой старт после установки пишет что-то в реест дополнительно к тому, что было записано при установке?



#15 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 15 Май 2019 - 14:55

может быть мне снести и поставить заново?



#16 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 15 Май 2019 - 14:56

Сам я отказался от использования тяжелого Client Security

может и я так сделаю, когда изучу его. но там больше чем просто отпечатки, а реальная польза всего этого мне пока не понятна.



#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 721 Сообщений:

Отправлено 15 Май 2019 - 15:52

первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 SergSG

SergSG

    The Master

  • Posters
  • 11 778 Сообщений:

Отправлено 15 Май 2019 - 18:19

да тут просто XP, поэтому мало кто думал о легальных методах

 

первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.

 

Если это ХР, то какую версию фиксят и дорабатывают?



#19 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 721 Сообщений:

Отправлено 15 Май 2019 - 19:13

12.5
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#20 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 961 Сообщений:

Отправлено 15 Май 2019 - 19:16

первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.

спасибо!




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых