Это нормально. Оно идет по синусоиде - выдвигается набор гипотез, создается эвристика - затем идет накопление данных (так как начинают поступать каркантины), часть гипотез снимается - так как для каждой ведется оценка эффективности по тому, как много зверей наловлено и было ложных тревогСообщение от thyrex
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Покажи конкретные примеры отчетов.
1. совершенно не обязательно ... важно не то, патчен файл или нет - важно, является ли он зверем ...
2. это машина прекрано понимает - что есть собственно легитимный файл и могут быть его-же варианты, чем-то патченный или зараженные
Как уходит - это страшная тайна(методики в стадии патентования). Не раскрывая сути идеи могу сказать, что в этом то и главный плюс ИИ - система непрерывно учится, формируя мнение (причем точнее сказать "текущее мнение") по всем вопросам. Плюс у машины есть анализаторы, позволяющие изучать файлы самоcтоятельно - они не идеальны, но для первичного анализа вполне годится ...
Но тем не менее всплеск всплеском, а цифры - цифрами. А они таковы: эвристиками кибера откарантинено 7366 уникальных файлов, из них 5042 оказались малвари, причем 2188 - новейшие
Посмотрел, в последнее время гнев святой инквизиции пал на три системных файла:
C:\WINDOWS\system32\notepad.exe - логика в том, что системный файл, обычно познается как чистый ... и при этом в недавнее время засветилися ряд малварей, в частности один настырный кейлоггер, подменяющий собой блокнот (он несколько раз карантинился "кибером" в 911, называется not-a-virus:Monitor.Win32.KeyLogger.aca и not-a-virus:Monitor.Win32.KeyLogger.oo, его много ловилось 12.05.2010), и есть ряд флешечных червяков, "косящих" под блокнот
C:\WINDOWS\system32\sol.exe - логика аналогична, в нормальной системе файл должен опознаваться как чистый, неопознанные файлы чаще всего заражены (лидирует P2P-Worm.Win32.Polip)
C:\WINDOWS\system32\msdtc.exe - аналогично, есть ряд малварей, подменяющих его
плюс файл sptd.sys - с ним интереснее, логика машины немножко иная ... нормальный файл как оказалось имеет характерную закономерность - он подписан. Т.е. если откарантинить его и проверить подпись, и она валидна - то почти наверняка файл чистый, и он приоритетный кандидат в базу чистых, а вот если нет ... - то есть шанс, что это зверь (есть например Trojan-Spy.Win32.Goldun.aza - недавно попадался). Плюс оказывается результаты изучения sptd.sys показывает похожесть легитимных драйверов друг на друга, тогда как подменяющий его зверь отличается и машине это хорошо заметно. Отсюда и вердикт - карантинить и изучать, а там разберемся
Последний раз редактировалось Зайцев Олег; 03.06.2010 в 10:54.
Олег, команда ExecuteRepair(13);не справляется с предназначением: http://virusinfo.info/showthread.php?t=79962
Пришлось удалять hosts через BC, а затем ещевызвать, чтобы привести в норму.Код:FSResetSecurity('C:\WINDOWS\system32\drivers\etc');
Думаю, достаточно будет добавить в начало функции ExecuteRepair(13); вызовКод:FSResetSecurity('%System32%\drivers\etc'); FSResetSecurity('%System32%\drivers\etc\hosts');
Очень может быть ... добавил:
сегодня попадет в апдейтКод:FSResetSecurity(GetHostsFileName);
Уже помогало в нес-ких случаях
The worst foe lies within the self...
Этого не достаточно. Права для папки Etc тоже надо сбросить.
Добрый день!
Что-то словил и теперь пожирает трафик. Антивирами проверял. NOD32,AVZ 4.32
Пишут, что пользоваться можно.
сюда Вам надо
Зайцев Олег, вопрос, а почему не попадают в подозрительные файлы:Всегда находятся в секции Active Setup, и ни разу не видел что бы эвристика их определила как подозрительные..Код:C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe C:\RECYCLER\S-1-5-21-6599565809-8425513300-413572516-6252\syscr.exe C:\RECYCLER\\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe
Олег, просьба к 20-й процедуре восстановления прикрутить сброс прав на ветку реестра
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Эта операция решила одну проблему и породила большую - теперь все включая гостя с птичьими правами могут править этот файл и ряд других, лежащих рядом ...
И как тогда, не снимая прав, решать проблему?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Нужен дроппер зверя или его самодостаточный рабочий экспонат. Чтобы точно изучить, что именно он портит, как он это делает - и принять адекватные меры
Олег, вопрос по генератору скриптов. Команды
генерируют следующие строки:Безопасность: IE - запретить автоматические запросы элементов управления ActiveX
Безопасность: IE - запретить запуск программ и файлов в IFRAME без запросаПолучается, что они пишут в один и тот-же ключ реестра разные значения, т.е. являются взаимоисключающими?Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); end.
Они все верно генерируют ... просто необходимо выбрать что-то одно из двух
Я вот всё хочу спросить - AVZ специально не видит хуки, например, AVG?
Или таки другой уровень? Или не хуки там?
Jabber ID: ufanych at jabber.ru
А разве за iframe отвечает не параметр 1804?
http://support.microsoft.com/kb/1825691804 Прочее: Запуск программ и файлов в окне IFRAME
Олег, в этой теме:http://virusinfo.info/showthread.php?t=81085
АВЗ удалил KGB Spy (как я понял, легитимная шпионская программа), которую пользователь сам поставил. Это фолс?
Ваши права в разделе
