ноут хп, брендовая прога распознается как руткит, не автозапускается.
будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?
сейчас пока "лечится" отключением проверки руткитов.
Отправлено 04 Май 2019 - 14:09
ноут хп, брендовая прога распознается как руткит, не автозапускается.
будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?
сейчас пока "лечится" отключением проверки руткитов.
Отправлено 04 Май 2019 - 16:59
ноут хп, брендовая прога распознается как руткит, не автозапускается.
будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?
сейчас пока "лечится" отключением проверки руткитов.
А где описание проблемы с отчётом доктора и с указанием точного времени проблемы?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 04 Май 2019 - 19:14
Вирлаб озадачен?
Нет, я неправильно написал. Прога не определяется как руткит, ей нужна запись в ветке реестра, а гуард эту запись исправляет. и она не автозапускается.
ноут хп, брендовая прога распознается как руткит, не автозапускается.
будет ли когда-нибудь в настройках исключения для веток реестра для конкретных прог и(или) процессов?
сейчас пока "лечится" отключением проверки руткитов.
А где описание проблемы с отчётом доктора и с указанием точного времени проблемы?
Нету. Есть ответ ТП
Чтобы такого не повторялось отключите функцию "Проверять компьютер на наличие руткитов": Центр безопасности - Файлы и сеть - Spider Guard - Доп.настройки. В текущей реализации пока нет возможности внести в исключения ветки реестра
вот угроза
28.04.2019 16:24 SpIDer Guard Обнаружена угроза Объект: Userinit Угроза: REG:SUSPICIOUS.UserinitCorrupted Действие: Вылечено Путь: \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Отправлено 15 Май 2019 - 10:17
Отправлено 15 Май 2019 - 12:25
И что за прога туда пишется?
HP Client Security.
Отправлено 15 Май 2019 - 12:48
Отправлено 15 Май 2019 - 13:13
отправил
Отправлено 15 Май 2019 - 14:09
Preventive Protection event: Change protected value id: 79690, timestamp: 13:52:10.785, type: RegSetValue (14), flags: 1 (wait: 1) sid: S-1-5-18, cid: 18756/16916:\Device\HarddiskVolume10\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe context: start addr: 0x143c65e, image: 0x13e0000:\Device\HarddiskVolume10\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe hips: type: 6, action: ask [0] cmd: "C:\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe" /RegServer fileinfo: size: 1333936, easize: 40, attr: 0x2020, buildtime: 23.05.2018 00:02:42.000, ctime: 22.05.2018 15:19:34.000, atime: 28.04.2019 13:52:04.269, mtime: 22.05.2018 15:19:34.000, descr: DigitalPersona Local Agent, ver: 9.3.15.69, company: Crossmatch, Inc., oname: DPPRAgnt.EXE signer: C=US|ST=California|L=Fremont|O=DigitalPersona, Inc.|CN=DigitalPersona, Inc., timestamp: 23.05.2018 00:19:33.000, thumbprint: 888ba9872192c9646a0718a6d3ee238f9810a46b hash: 55d398163414cd32b720fb7fa896f093746a1781 status: signed, pe32, new_pe / signed / unknown / unknown key: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, access: 0x0 value: Userinit, type: sz current content: 00000000: 43 00 3a 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 C.:.\.W.i.n.d.o. 00000010: 77 00 73 00 5c 00 73 00 79 00 73 00 74 00 65 00 w.s.\.s.y.s.t.e. 00000020: 6d 00 33 00 32 00 5c 00 75 00 73 00 65 00 72 00 m.3.2.\.u.s.e.r. 00000030: 69 00 6e 00 69 00 74 00 2e 00 65 00 78 00 65 00 i.n.i.t...e.x.e. 00000040: 00 00 .. new content: 00000000: 43 00 3a 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 C.:.\.W.i.n.d.o. 00000010: 77 00 73 00 5c 00 73 00 79 00 73 00 74 00 65 00 w.s.\.s.y.s.t.e. 00000020: 6d 00 33 00 32 00 5c 00 75 00 73 00 65 00 72 00 m.3.2.\.u.s.e.r. 00000030: 69 00 6e 00 69 00 74 00 2e 00 65 00 78 00 65 00 i.n.i.t...e.x.e. 00000040: 2c 00 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 ,.C.:.\.P.r.o.g. 00000050: 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 r.a.m. .F.i.l.e. 00000060: 73 00 20 00 28 00 78 00 38 00 36 00 29 00 5c 00 s. .(.x.8.6.).\. 00000070: 48 00 50 00 5c 00 48 00 50 00 20 00 50 00 72 00 H.P.\.H.P. .P.r. 00000080: 6f 00 74 00 65 00 63 00 74 00 54 00 6f 00 6f 00 o.t.e.c.t.T.o.o. 00000090: 6c 00 73 00 20 00 53 00 65 00 63 00 75 00 72 00 l.s. .S.e.c.u.r. 000000a0: 69 00 74 00 79 00 20 00 4d 00 61 00 6e 00 61 00 i.t.y. .M.a.n.a. 000000b0: 67 00 65 00 72 00 5c 00 42 00 69 00 6e 00 5c 00 g.e.r.\.B.i.n.\. 000000c0: 44 00 50 00 41 00 67 00 65 00 6e 00 74 00 2e 00 D.P.A.g.e.n.t... 000000d0: 65 00 78 00 65 00 2c 00 00 00 e.x.e.,... send user alert and wait action... user selected action: allow [2] id: 79690 ==> allowed [2], time: 2842.385300 ms2. лечение не стандартного параметра
Neutralized object: \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit - cured [threat name: REG:SUSPICIOUS.UserinitCorrupted, action: 2, type: 11, ret: 2, time: 20016.816500 ms] replace value: path = \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, value = Userinit, old = , new = C:\WINDOWS\system32\userinit.exe,, status 0x0с первым вроде понятно. а вот второй, по делу лечит т.к. до этого там было пусто. странно
Отправлено 15 Май 2019 - 14:10
Отправлено 15 Май 2019 - 14:16
Konstantin Yudin, НР Client Security имеет доступ ко всей безопасности, в том числе и биометрии. В частности, отпечатки пальцев через него заводятся в систему, а используется для сканера отпечатков софт от DigitalPersona. Сам я отказался от использования тяжелого Client Security и использую для отпечатков стандартный интерфейс win10, который всё понимает и не тащит за собой столько лишнего.
Отправлено 15 Май 2019 - 14:21
Отправлено 15 Май 2019 - 14:52
CN=DigitalPersona, Inc. - как то не похохе на HP, видно какой то партнер или купили компанию. вообще в Userinit легальный софт не пишется, есть лрд других легальных мест.
это расширение для гуглхрома, не имеет отношения к делу. этот клиент секурити просит поставить это расширение. а в гуглхроме что-то перестали использовать поэтому оно не робит сейчас.
Отправлено 15 Май 2019 - 14:54
а вот второй, по делу лечит т.к. до этого там было пусто. странно
кажется это после перезагрузки (я обычно гибернацией пользуюсь, потому перезагрузка бывает не сразу после установки и не всегда помню что и зачем).
и может он в первый свой старт после установки пишет что-то в реест дополнительно к тому, что было записано при установке?
Отправлено 15 Май 2019 - 14:55
может быть мне снести и поставить заново?
Отправлено 15 Май 2019 - 14:56
Сам я отказался от использования тяжелого Client Security
может и я так сделаю, когда изучу его. но там больше чем просто отпечатки, а реальная польза всего этого мне пока не понятна.
Отправлено 15 Май 2019 - 15:52
Отправлено 15 Май 2019 - 18:19
да тут просто XP, поэтому мало кто думал о легальных методах
первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.
Если это ХР, то какую версию фиксят и дорабатывают?
Отправлено 15 Май 2019 - 19:13
Отправлено 15 Май 2019 - 19:16
первое пофиксил, выйдет в одном из апдейтов базы. второе доработаем, будет все ок.
спасибо!
0 пользователей, 0 гостей, 0 скрытых