20 ответов в этой теме

[Пол Банки]

ноут хп, брендовая прога распознается как руткит, не автозапускается.

будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?

сейчас пока "лечится" отключением проверки руткитов.

[pig]

Вирлаб озадачен?

[VVS]

ноут хп, брендовая прога распознается как руткит, не автозапускается.

будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?

сейчас пока "лечится" отключением проверки руткитов.

А где описание проблемы с отчётом доктора и с указанием точного времени проблемы?

[Пол Банки]

Вирлаб озадачен?

Нет, я неправильно написал. Прога не определяется как руткит, ей нужна запись в ветке реестра, а гуард эту запись исправляет. и она не автозапускается.

 

ноут хп, брендовая прога распознается как руткит, не автозапускается.

будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?

сейчас пока "лечится" отключением проверки руткитов.

А где описание проблемы с отчётом доктора и с указанием точного времени проблемы?

 

Нету. Есть ответ ТП

Чтобы такого не повторялось отключите функцию "Проверять компьютер на наличие руткитов": Центр безопасности - Файлы и сеть - Spider Guard - Доп.настройки. В текущей реализации пока нет возможности внести в исключения ветки реестра

вот угроза

 

28.04.2019 16:24 SpIDer Guard Обнаружена угроза Объект: Userinit Угроза: REG:SUSPICIOUS.UserinitCorrupted Действие: Вылечено Путь: \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 

[Konstantin Yudin]

И что за прога туда пишется?

[Пол Банки]

И что за прога туда пишется?

HP Client Security.

[Konstantin Yudin]

Хм. А можно сам файл который там прописан и отчёт для тех. поддержки или номер саппорт тикета в личку? А да, какая версия антивируса?

[Пол Банки]

отправил

[Konstantin Yudin]

курим логи. вижу два кейса:

1. хипс блокировка

Preventive Protection event: Change protected value

id: 79690, timestamp: 13:52:10.785, type: RegSetValue (14), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 18756/16916:\Device\HarddiskVolume10\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe
context: start addr: 0x143c65e, image: 0x13e0000:\Device\HarddiskVolume10\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe
  hips: type: 6, action: ask [0]
  cmd: "C:\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe" /RegServer
  fileinfo: size: 1333936, easize: 40, attr: 0x2020, buildtime: 23.05.2018 00:02:42.000, ctime: 22.05.2018 15:19:34.000, atime: 28.04.2019 13:52:04.269, mtime: 22.05.2018 15:19:34.000, descr: DigitalPersona Local Agent, ver: 9.3.15.69, company: Crossmatch, Inc., oname: DPPRAgnt.EXE
  signer: C=US|ST=California|L=Fremont|O=DigitalPersona, Inc.|CN=DigitalPersona, Inc., timestamp: 23.05.2018 00:19:33.000, thumbprint: 888ba9872192c9646a0718a6d3ee238f9810a46b
  hash: 55d398163414cd32b720fb7fa896f093746a1781 status: signed, pe32, new_pe / signed / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, access: 0x0
  value: Userinit, type: sz
current content:
00000000: 43 00 3a 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 C.:.\.W.i.n.d.o.
00000010: 77 00 73 00 5c 00 73 00 79 00 73 00 74 00 65 00 w.s.\.s.y.s.t.e.
00000020: 6d 00 33 00 32 00 5c 00 75 00 73 00 65 00 72 00 m.3.2.\.u.s.e.r.
00000030: 69 00 6e 00 69 00 74 00 2e 00 65 00 78 00 65 00 i.n.i.t...e.x.e.
00000040: 00 00                                           ..
new content:
00000000: 43 00 3a 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 C.:.\.W.i.n.d.o.
00000010: 77 00 73 00 5c 00 73 00 79 00 73 00 74 00 65 00 w.s.\.s.y.s.t.e.
00000020: 6d 00 33 00 32 00 5c 00 75 00 73 00 65 00 72 00 m.3.2.\.u.s.e.r.
00000030: 69 00 6e 00 69 00 74 00 2e 00 65 00 78 00 65 00 i.n.i.t...e.x.e.
00000040: 2c 00 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 ,.C.:.\.P.r.o.g.
00000050: 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 r.a.m. .F.i.l.e.
00000060: 73 00 20 00 28 00 78 00 38 00 36 00 29 00 5c 00 s. .(.x.8.6.).\.
00000070: 48 00 50 00 5c 00 48 00 50 00 20 00 50 00 72 00 H.P.\.H.P. .P.r.
00000080: 6f 00 74 00 65 00 63 00 74 00 54 00 6f 00 6f 00 o.t.e.c.t.T.o.o.
00000090: 6c 00 73 00 20 00 53 00 65 00 63 00 75 00 72 00 l.s. .S.e.c.u.r.
000000a0: 69 00 74 00 79 00 20 00 4d 00 61 00 6e 00 61 00 i.t.y. .M.a.n.a.
000000b0: 67 00 65 00 72 00 5c 00 42 00 69 00 6e 00 5c 00 g.e.r.\.B.i.n.\.
000000c0: 44 00 50 00 41 00 67 00 65 00 6e 00 74 00 2e 00 D.P.A.g.e.n.t...
000000d0: 65 00 78 00 65 00 2c 00 00 00                   e.x.e.,...
send user alert and wait action...
user selected action: allow [2]
id: 79690 ==> allowed [2], time: 2842.385300 ms

2. лечение не стандартного параметра

Neutralized object: \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit - cured [threat name: REG:SUSPICIOUS.UserinitCorrupted, action: 2, type: 11, ret: 2, time: 20016.816500 ms]

replace value: path = \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, value = Userinit, old = , new = C:\WINDOWS\system32\userinit.exe,, status 0x0

с первым вроде понятно. а вот второй, по делу лечит т.к. до этого там было пусто. странно

[Konstantin Yudin]

CN=DigitalPersona, Inc. - как то не похохе на HP, видно какой то партнер или купили компанию. вообще в Userinit легальный софт не пишется, есть лрд других легальных мест.

[maxic]

Konstantin Yudin, НР Client Security имеет доступ ко всей безопасности, в том числе и биометрии. В частности, отпечатки пальцев через него заводятся в систему, а используется для сканера отпечатков софт от DigitalPersona. Сам я отказался от использования тяжелого Client Security и использую для отпечатков стандартный интерфейс win10, который всё понимает и не тащит за собой столько лишнего.

[Konstantin Yudin]

да тут просто XP, поэтому мало кто думал о легальных методах

[Пол Банки]

CN=DigitalPersona, Inc. - как то не похохе на HP, видно какой то партнер или купили компанию. вообще в Userinit легальный софт не пишется, есть лрд других легальных мест.

это расширение для гуглхрома, не имеет отношения к делу. этот клиент секурити просит поставить это расширение. а в гуглхроме что-то перестали использовать поэтому оно не робит сейчас.

[Пол Банки]

а вот второй, по делу лечит т.к. до этого там было пусто. странно

кажется это после перезагрузки (я обычно гибернацией пользуюсь, потому перезагрузка бывает не сразу после установки и не всегда помню что и зачем).

и может он в первый свой старт после установки пишет что-то в реест дополнительно к тому, что было записано при установке?

[Пол Банки]

может быть мне снести и поставить заново?

[Пол Банки]

Сам я отказался от использования тяжелого Client Security

может и я так сделаю, когда изучу его. но там больше чем просто отпечатки, а реальная польза всего этого мне пока не понятна.

[Konstantin Yudin]

первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.

[SergSG]

да тут просто XP, поэтому мало кто думал о легальных методах

 

первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.

 

Если это ХР, то какую версию фиксят и дорабатывают?

[Konstantin Yudin]

12.5

[Пол Банки]

первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.

спасибо!