Avast WEBforum
Non-English Zone => Русский => Topic started by: ex_avira_user on January 27, 2011, 07:45:49 PM
-
Вобщем плохо, определенно надеялся что ЭКРАН ПОВЕДЕНИЯ не пропустит ScreenLocker
который сигнатурно не детектируется (отослал на всякий случай)
локер спокойно прописался в автозагрузку С:\users\system.exe HKCU:Run
раньше экран поведения спрашивал если кто чего подозрительное в реестр пишет..
хотелось бы видеть нечто вроде такого
процесс C:\Program Files\Common Files\qip\svhost.exe
хочет запускать себя из HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
разрешить ? в карантин итд
-
О какой версии аваст идет речь?
-
5.1.889 FREE
-
В настройках экрана поведения стоит спрашивать? Думается, что функциональность экрана поведения все еще не полная, поэтому возможны, к сожалению, такие вот ситуации. С версией 6.0 все должно быть уже на более совершенном уровне.
-
да, стоит "Спрашивать" в настройках
а это как пожелание разработчикам:
хотелось бы видеть нечто вроде такого
процесс C:\Program Files\Common Files\qip\svhost.exe
хочет запускать себя из HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
разрешить ? в карантин итд
-
Вобщем плохо, определенно надеялся что ЭКРАН ПОВЕДЕНИЯ не пропустит ScreenLocker
который сигнатурно не детектируется (отослал на всякий случай)
А образчик этого локера можно как то в подарок получить? В личку почту свою сообщу.
-
я так и непонял как на этом форуме личку написать, если Вы знаете то пишите конечно
-
ex_avira_user
К сожалению, Вы не сможет посылать личные сообщения, пока количество Ваших сообщений на этом форуме не достигнет десяти. Эта ограничительная мера была введена после того, как спамеры использовали личные сообщения для рассылки спама участникам форума.
-
ex_avira_user
К сожалению, Вы не сможет посылать личные сообщения, пока количество Ваших сообщений на этом форуме не достигнет десяти. Эта ограничительная мера была введена после того, как спамеры использовали личные сообщения для рассылки спама участникам форума.
я не спамер ::)
-
я не спамер ::)
Ограничение выставлено не для Вас лично, а для любого новичка. Спамеры обычно пытаются сразу же после регистрации отправить сообщения на максимальное количество акаунтов. Движок форума не может отслеживать такие действия и поэтому было решено ограничить первоначальный доступ новичкам к системе личных сообщений.
-
винлоки легко "опускаются" установленным блоком записи в ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
В итоге даже если поймать эту смс-ную радость - после жесткой перезагрузки - всё ОК
-
А образчик этого локера можно как то в подарок получить? В личку почту свою сообщу.
ща попробую..
не, так и не могу написать лс, если кому надо для тестов пишите мне сами в личку :)
-
В моем профиле есть мыло. Можете на него выслать? Только в архиве с паролем а то не дойдет. Буду признателен.
-
Всем кто интересовался, проверьте почту 8)
В вирлаб отправлял дня 3 назад (и еще штук 17) пока не добавили
правдв вчера пару семплов определилась как MALWARE.GEN
ex_avira_user
К сожалению, Вы не сможет посылать личные сообщения, пока количество Ваших сообщений на этом форуме не достигнет десяти. Эта ограничительная мера была введена после того, как спамеры использовали личные сообщения для рассылки спама участникам форума.
уже 11, а ЛС так и недоступно ???
-
уже 11, а ЛС так и недоступно ???
Нужно 20.
-
а там выше писали что десять ;D ???
-
С базой 110129-0 детектируется как Win32: Malware-gen.
-
Мне дошло. Спасибо. А какой пароль? Если тот, что в названии содержится тогда файл битый. Их вообще два должно быть. По одному в блокерах и смс-вымогателях ни разу не встречал.
-
Мне дошло. Спасибо. А какой пароль? Если тот, что в названии содержится тогда файл битый. Их вообще два должно быть. По одному в блокерах и смс-вымогателях ни разу не встречал.
в названии это на разблокировку компа!
пароль на архив был указан в письме.
С базой 110129-0 детектируется как Win32: Malware-gen.
точно 8) эвристик подкрутили ;D
-
точно 8) эвристик подкрутили ;D
Нет, это в базу добавили :)
-
Win32: Malware-gen, Win32: Trojan-gen , Win32: Rootkit-gen === разве не детекты эвристического анализатора ? ::)
-
а там выше писали что десять ;D ???
Значит ужесточили, раньше было десять.
-
Win32: Malware-gen, Win32: Trojan-gen , Win32: Rootkit-gen === разве не детекты эвристического анализатора ? ::)
Думаю это маркер общего вирусного понятия,относящегося к подавляющему большинству зловредных программных механизмов. Например, Win32: Trojan-gen - можно отнести все винлокеры. Они практически одинаково работают по шаблону. Win32: Malware-gen -файл упакован неизвестным авасту пакером. Идея проста- файл проще упаковать качественным упаковщиком если он легален. Зачем изобретать велосипед? Если только нужно чтобы АВП не распаковал, разве что.
Если у антивируса модульная,многоуровневая система проверок(как бы подстраховка)это вполне логично.
Win32: Rootkit-gen - основные,классические механизмы сокрытия известные авасту сигнатурно. Если считать что аваст борется за уменьшение объема вирусных баз - это вполне оправдывает себя. Кто пользует комодоантивирус то может рассказать про огромные объемы обновлений особенно на начальном этапе развития антивируса. Порой доходило до 10-20 мегов иногда. Как то на форуме касперского ветка была с обсуждением на сколько увеличатся базы за год. ИМХО, конечно.
-
в названии это на разблокировку компа!
пароль на архив был указан в письме.
Все нашел, спасибо. А больше файлов не было? Должен быть еще вспомогательный.
-
Win32: Malware-gen -файл упакован неизвестным авасту пакером.
откуда инфа ? :o
Все нашел, спасибо. А больше файлов не было? Должен быть еще вспомогательный.
1 файлик, все успешно локает после ребута - аваст молчит как партизан :)
(его МП разумеется, его ведь тестим)
-
откуда инфа ? :o
Сами можете попробовать. Найти пакер на wasm.ru можно, только не паблик берите. А лучше попросить програмера состряпать эксклюзив. Давно пользуете аваст?
На форуме avsoft была ветка где программер плякаль что его шедевр был упакован эксклюзивом и детектился. Возмущался на аваст а потом выяснили что пакер эксклюзивный.
-
1 файлик, все успешно локает после ребута - аваст молчит как партизан :)
(его МП разумеется, его ведь тестим)
распотрошу - посмотрю. Вообще второй файл должен иметь пару-тройку процедур ключевого назначения. Они периодически должны переписываться чтобы изменять сигнатуры. Иначе слишком просто все.
-
откуда инфа ? :o
Сами можете попробовать. Найти пакер на wasm.ru можно, только не паблик берите. А лучше попросить програмера состряпать эксклюзив. Давно пользуете аваст?
На форуме avsoft была ветка где программер плякаль что его шедевр был упакован эксклюзивом и детектился. Возмущался на аваст а потом выяснили что пакер эксклюзивный.
я знаю что авира очень пакеры любит :)
TR/CRYPT.XPACK.GEN (запакованный троян)
HEUR.CRYPTED (упакован незнаючем)
но чтобы так с ходу "малварой" обзывать.. :o
сам я пользуюсь G DATA (это аваст + битдефендер =2 движка)
5 версию аваста поставил на ноутбук потестить как только вышла
-
Вообщем у меня ручная разблокировка заняла 16 минут. По открытию баннера самое тяжелое изловчиться и выбить процесс. С помощью starter. Только у меня баннер не на весь экран установился и я, поиграв размерами окна завершаю процесс. Стартер завис, естественно. Но фишка в том, что при закрытии стартера в панели задач с помощью правого клика закрывается и Баннер. Думаю что процесс баннера завязывает на себя процесс, который пытается получить список процессов. Надо додумать почему баннер не установился в полный экран сразу. Дизасемблирую как побольше время будет.
Кстати, файл упакован UPX. И фишка с закрытием баннера через правый клик в нижней панели задач работает и в смс-вымогателях. Это лишний раз доказывает что принцип работы блокировок один.
Совсем чуть не забыл, заметили что баннер запускает и таскменеджер тоже? Это чтобы окно таскменеджера попало под банер и другие окна будут открываться рядом и под банером. Думаю, для этого. И другой файл тоже есть. C:\Documents and Settings\All Users -файл малвари и еще файл назван как браузер по умолчанию. У меня оперу малварь удалил из папки и установил по этому адресу файл Opera.exe
но чтобы так с ходу "малварой" обзывать.. :o
Почему же сходу? Я же говорю, чистую прогу нет необходимости запаковывать левым пакером или переносить точку входа куда-то нестандартно. Это только малварь использует.
-
Приветствую!
Дабы не создавать новую тему, решил спросить здесь. Скажите, какое действие экрана поведения лучше выбрать? Я решил выбрать "Определять автоматически", но хочется удостовериться, что avast! все сделает правильно, в случае заражения)
-
Доброго времени суток.
Если вы сомневаетесь и можете определить, является ли опасной программа/процесс, вы можете поставить действие спрашивать. Экран поведения постоянно совершенствуется(через обновления баз), поэтому определять автоматически вполне подходящий вариант. Не будет постоянно всплывающих окон с запросом.
-
винлоки легко "опускаются" установленным блоком записи в ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
В итоге даже если поймать эту смс-ную радость - после жесткой перезагрузки - всё ОК
а эти ветки аваст "пасет" интересно ?
====================================
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
--------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
-------
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
---------
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
----------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ "Shell"
----------
HKEY_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ "Shell"
-
винлоки легко "опускаются" установленным блоком записи в ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
В итоге даже если поймать эту смс-ную радость - после жесткой перезагрузки - всё ОК
а эти ветки аваст "пасет" интересно ?
====================================
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
--------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
-------
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
---------
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
----------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ "Shell"
----------
HKEY_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ "Shell"
разработчики тут бывают ?
-
разработчики тут бывают ?
Нет, они бывают только в англоязычной части форума.