Avast WEBforum
Non-English Zone => Русский => Topic started by: makcunknown on May 28, 2012, 02:39:38 PM
-
Нашёл сайтик, на котором баннер xxx_video_ХХХХ.avi обновляется каждый день или даже каждых пол дня, вот приходится мне его каждый раз отправлять в лабораторию, такой фигнёй занимаюсь уже 5-ый день, к счастью баннеры добавляют в базу на след. день.
Вот ссылка на вирусскан: http://virusscan.jotti.org/ru/scanresult/a27f4ff292931bfe1a60e8549fd8ad5dbaee6a23/478d80f63bbfc9ef6765b3ee7d74ddff04eaeff3
Вопрос вот в чём, в вирусскане всегда в первую очередь определяют такие антивирусы как: F-Secure, G Data и Bit Defender. У них какая то особая защита на них автоматическая по первому коду или есть такие же умельцы как я, просто их тупо отправляют в лабораторию? Может быть есть какой то начальный код в баннере, чтобы антивирус сразу его обнаруживал бы, без всяких отправок в лабораторию? Буквально в баннере меняется пару килобайт и антивирус уже его не видит. Объясните суть пожалуйста. По какому принципу работают F-Secure, G Data и Bit Defender?
-
Да, Вы ба сказали, просто добавить этот сайт в чёрный список, но дело вот в чём, есть другой сайт, и на этот сайт, где баннер, делается редирект, то есть, URL всегда меняется, а сам сайт остаётся в том же оформлении. В полне возможно баннер не только там обновляется, он распространяется на многие другие сайты.
-
обычная баннерорезка не срубает его?
-
обычная баннерорезка не срубает его?
при чем тут баннерорезка
тут речь о порнобаннере блокер виндовс.
-
обычная баннерорезка не срубает его?
при чем тут баннерорезка
тут речь о порнобаннере блокер виндовс.
при том, что они чаще всего цепляются при отсутствии баннерорезки, через всплывающие окна типа "нажми сюда, ты выиграл миллион" и прочею муть.
-
а поповоду аваста и винлока. нет детекта и да ладно, не смертельно. Он их хорошо мочит экраном поведения.
(http://i.imgur.com/B13s3.png)
-
а поповоду аваста и винлока. нет детекта и да ладно, не смертельно. Он их хорошо мочит экраном поведения.
(http://i.imgur.com/B13s3.png)
На скриншоте: Ненадежная программа пытается изменить защищенный ресурс.
Целевой объект - \Registry\User\...\Shell
http://virusscan.jotti.org/ru/scanresult/a27f4ff292931bfe1a60e8549fd8ad5dbaee6a23/478d80f63bbfc9ef6765b3ee7d74ddff04eaeff3
DrWeb-Trojan.MBRlock.6
Вопрос: MBR является для Аваста защищаемым ресурсом, как ключи реестра?
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/
-
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
p.s. завтра отпишу по поводу нового баннера в песочнице, сейчас не дома пока.
-
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
Если речь идет о mbrlock, то скорее всего компьютер тут же перезагрузиться и ...
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/
-
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
Если речь идет о mbrlock, то скорее всего компьютер тут же перезагрузиться и ...
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/
ну вот, а как быть тем, кто по мимо песочнецы будут обходить баннер, как баннеры видят антивирусы, сказанные мною выше?
-
вот что есть в запасах. но это не блокер, это "убийца mbr " , удаляет загрузочную область.
http://virusscan.jotti.org/ru/scanresult/66a2fb97495b3dcb2798c6ea27b399e06632f40a/3ea117bf9835e7f68b754e3cc37a0f794420cf21
детект есть, но hips не справился. система не запускается.
-
ну вот, а как быть тем, кто по мимо песочнецы будут обходить баннер, как баннеры видят антивирусы, сказанные мною выше?
без разницы как они их видят. Никто не угонится за детектом свежих вирусов или конкретно винлоков. Сейчас вся надежда на HIPS (в народе именуется проактивкой). Я выбираю антивирус из ходя из этого.
makcunknown, вы делаете очень хорошее дело, отправляя вирусы в лабораторию, за это вам большое спасибо.
-
...Сейчас вся надежда на HIPS (в народе именуется проактивкой)...
Народу свойственно ошибаться (или заблуждаться?)...
Как раз проактивная защита в Авасте есть (экран поведения), а хипс, к большому сожалению, отсутствует.
http://forum.avast.com/index.php?topic=84963.0
-
...Сейчас вся надежда на HIPS (в народе именуется проактивкой)...
Народу свойственно ошибаться (или заблуждаться?)...
Как раз проактивная защита в Авасте есть (экран поведения), а хипс, к большому сожалению, отсутствует.
http://forum.avast.com/index.php?topic=84963.0
а как же? :
В силу того что HIPS является средством проактивной защиты, программы данного класса не содержат базы данных сигнатур вирусов (однако могут их задействовать, скажем HIPS в Kaspersky Internet Security блокирует запуск известных вредоносных программ независимо от включения либо отключения файлового монитора) и не осуществляет их детектирование. HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя. Анализ активности осуществляется за счет использования перехватчиков системных функций или установке т.н. мини-фильтров. Следует отметить, что эффективность HIPS может доходить до 100%, однако большинство программ этого класса требуют от пользователя высокого уровня квалификации для грамотного управления антивирусным продуктом.
очень сильно переплетается с проактивкой (http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0). У обоих есть технологии "предсказывания " запускаемого приложения.
-
очень сильно переплетается с проактивкой (http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0). У обоих есть технологии "предсказывания " запускаемого приложения.
Не спорю... Анализ поведения, как элемент проактивной защиты -
"...является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems)..."
-
в догоночку :)
винолок http://virusscan.jotti.org/ru/scanresult/8a7744612bde100ce376d0b88abda009cf8f901d
запуск
(http://i.imgur.com/0PkT9.png)
Экран поведения и тут срубил.
-
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.
http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c
-
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.
http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c
http://updates.drweb.com/ - например 28 числа Trojan.MBRlock.6(2) (добавлено 2 модификации).
Просто в DrWeb семпл попал быстрее и робот его добавил, это не эвристик.
-
makcunknown, Вы можете в англоязычной ветке задать этот вопрос?
Когда занимался отправкой подозрительных файлов в лабораторию Microsoft, так они связались со мной и предложили отправлять на специальный емаил , таким образом обработка проходила намного быстрее. Может и у Аваста есть нечто похожее?
-
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.
http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c
Gen:Variant./ битдефендер рулит
-
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.
http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c
http://updates.drweb.com/ - например 28 числа Trojan.MBRlock.6(2) (добавлено 2 модификации).
Просто в DrWeb семпл попал быстрее и робот его добавил, это не эвристик.
Вот снова баннер, Dr.Web не успел(Касперский тоже). Не понятен принцип Bit Defender как так быстро определяет.
Баннера я так понял и в помине нЕбыло вчера(или я не прав), сегодня вечером только на том сайте его вытащил, утром был другой баннер, а VBA32 его видит уже вчерашним(за 30 число) обновлением.
http://virusscan.jotti.org/ru/scanresult/6c614151092dd947a6a26037198bce5ea285d1c8/f11276d1e0b6c0f57790d2fd55735f20f86ef08f
-
уважаемые , может перейдете на Dr.Web и не будете сравнивать продукты ?
-
уважаемые , может перейдете на Dr.Web и не будете сравнивать продукты ?
Уважаемый....а почему не на Касперского? или Microsoft Security Essentials...что вас так задело? Человек пытается понять, почему не которые бренды ловят новые модификации Локеров.
У всех свои минусы и плюсы.
-
только на том сайте его вытащил,
на том, это на каком? случаем не на блэк сайте, где выкладывают подобные файлы?
и почему вопрос не зададите в англоязычной ветке? логичней подобные вопросы именно им задавать.
-
Не понятен принцип Bit Defender как так быстро определяет.
эвристика там крутая, отличает семейства
а для некоторых пару байт добавил и это уже новый образец
-
только на том сайте его вытащил,
на том, это на каком? случаем не на блэк сайте, где выкладывают подобные файлы?
и почему вопрос не зададите в англоязычной ветке? логичней подобные вопросы именно им задавать.
Выше писал об этом, этот сайт открывается через редирект, то есть постоянной ссылки нет, всегда url меняется для маскировки от блэк листа.
На английском я не шуры муры, было бы конечно хорошо на прямую связаться.
-
только на том сайте его вытащил,
и почему вопрос не зададите в англоязычной ветке? логичней подобные вопросы именно им задавать.
На английском я не шуры муры, было бы конечно хорошо на прямую связаться.
У меня в браузере Google Chrome в почте есть перевод писем.Я писал в фирму CyberLink по вопросу пакета программ CyberLinr DVD Suite,которые у меня были предустановлены с операционкой.Мне пришлось открыть эти две страницы и писать в одной,потом копировать в другую.Отлично всё прошло.Меня поняли и писали пару раз ответы.Попробуйте и вы так.И не нужно знания языка.
-
...Не понятен принцип Bit Defender как так быстро определяет.
:D
Может они их сами создают при помощи вот такого "конструктора"?
(http://s019.radikal.ru/i638/1206/1a/aea968c77789t.jpg) (http://radikal.ru/F/s019.radikal.ru/i638/1206/1a/aea968c77789.jpg.html)
http://www.symantec.com/connect/blogs/ransomware-crimeware-kits
У меня в браузере Google Chrome в почте есть перевод писем.Я писал в фирму CyberLink по вопросу пакета программ CyberLinr DVD Suite,которые у меня были предустановлены с операционкой.Мне пришлось открыть эти две страницы и писать в одной,потом копировать в другую.Отлично всё прошло.Меня поняли и писали пару раз ответы.Попробуйте и вы так.И не нужно знания языка.
Даже представить сложно, исходя из Вашей манеры ваять тексты. Вот как в Googletranslator выглядит написанное Вами выше:
"I have in Google Chrome in the post is a translation pisem.Ya wrote to the firm on the CyberLink software package CyberLinr DVD Suite, which I had pre-set operatsionkoy.Mne had to open those two pages and write in one, then copy to druguyu.Otlichno all proshlo. Menya understood and wrote a couple of times and you otvety.Poprobuyte tak.I do not need knowledge of the language."
На мой взгляд между Ya wrote и to the firm явно не хватает какого-то глагола... ;)
(http://s017.radikal.ru/i414/1206/cb/10e143d9837et.jpg) (http://radikal.ru/F/s017.radikal.ru/i414/1206/cb/10e143d9837e.jpg.html)
Надеюсь Вы menya understood?
-
Извините!!
Я английский проходил в школе.А здесь писать по-английски мне почти не приходится.А,если и воспользовался этим путём,это не значит,что можно подколоть человека или в какой-то степени унизить.Я не пишу там,где я не понимаю.Просто по-человечески предложил этот вариант.Здесь на форуме,а так же в темах писать надо по существу.Вы же сами толкнули меня на свой ответ.Теперь я буду писать в личку тем форумчанам,кто будет подкалывать или унижать другого человека.Надо держать себя в руках и быть культурным.Всего хорошего!!!
-
j.bonzo
Ya Vas tozhe ponyal. :)
Кстати, если Вы исправите вечную пунктуационную ошибку ivanovich'a (вставите пробелы после знаков препинания), то гуглоперевод будет уже более вменяемым и смысл переведённого текста будет достаточно понятен.
PS: Не надо бояться писать/говорить на английском даже с помощью гуглоперевода и т.п. Если ваша цель не свободное владение языком, то этого чаще всего окажется достаточно (хотя бы на некоторое время). Если зайти в главный форум, то там можно увидеть множество подобных сообщений от не владеющих английским языком пользователей. И их понимают. :)
-
Связался с американцем (админ он или кто, я не знаю) true indian,(по почте ему шлю ссылку на баннеры) баннеры на прямую шлёт на аваст, и сразу в новой базе выходит обнова с ними.
-
а вы боялись :D
-
Связался с американцем (админ он или кто, я не знаю) true indian,(по почте ему шлю ссылку на баннеры) баннеры на прямую шлёт на аваст, и сразу в новой базе выходит обнова с ними.
Вот это хорошо.
-
Немного хочу огорчить, отписал вторично в лс, молчит долго, то есть я так понял моментального обновления в базы я так не добьюсь, печально. Может быть, продвинутые пользователи мне тут помогут связаться, чтобы онлайн был?
p.s.
Заметил такую фишку, чтобы попадать на этот сайт, где баннер(откуда я каждый день его достаю), можно единажды, то есть если второй раз заходить, то не идёт туда, редирект кидает на другой сайт. Если сменить IP подсоединения к инету, то снова можно на него попасть(но не всегда, я так понял минимум час надо чтобы прошёл). (так я 2 раза в день вылавливаю 2 баннера разных и отправляю в лабораторию). Хороший конструктор винлоков у них создан.
Я не могу понять, как так маскируют сайт, что он один и тот же сайт по оформлению, редиректится на разные левые URL?
Я не знаю как это американцам объяснить, гугл переводчик даже не поможет, пишу одно в англ, перевожу обратно, такой бред получается, хоть плакай....
-
Я не знаю как это американцам объяснить, гугл переводчик даже не поможет, пишу одно в англ, перевожу обратно, такой бред получается, хоть плакай....
попробуйте с помощью этого сайта http://itranslate4.ru/
-
Связался с американцем (админ он или кто, я не знаю) true indian,(по почте ему шлю ссылку на баннеры) баннеры на прямую шлёт на аваст, и сразу в новой базе выходит обнова с ними.
;) true indian - не админ, он такой же простой пользователь как и вы, и не нужно ему ни чего высылать, он так же высылает вирусы как и вы и постит вот тут http://forum.avast.com/index.php?topic=64122.795
Мой вам совет, отправляйте файлы через карантин, их добавят, но не сразу...а претендовать на то что вы выслали и его сразу должны добавить, не разумно...в ВирЛаб в день прилетает 50 000 разного хлама, все обрабатывается автоматически, малую долю в ручную добавляют аналитики.
-
он так же высылает вирусы как и вы и постит вот тут http://forum.avast.com/index.php?topic=64122.795
Знаю, что у других вендоров этим способом добавляют быстрее в базы. с авастом так же? или скорость такая же как и через карантин?
-
он так же высылает вирусы как и вы и постит вот тут http://forum.avast.com/index.php?topic=64122.795
Знаю, что у других вендоров этим способом добавляют быстрее в базы. с авастом так же? или скорость такая же как и через карантин?
ИМХО особой скорости это не прибавляет, все зависит как часто эту ветку посещают вирусные аналитики.
У других вендоров есть тикеты (образцам вирусов присваивается номер), если его долго время не обрабатывают, вы можете указать номер запроса, и хоть как то спросить, что там с семплом, у Аваста нет этой системы, т.е приходится ждать (отправлять несколько раз и тд), при условии что вы знаете что это точно зловред, а если к примеру на VT 5 вендоров якобы увидели что файл возможно заражен (к примеру детект на какой не будь упаковщик), а аналитик посмотрел и знает что это не вирус, он вам этого не скажет :) а вы так и будите отсылать и думать что это что то опасное.
Так что как минимум 70% уверенность что файл вредоносный, отсылаете и ждете...как то так.
-
Dim@rik, а у virus hunter приоритет проверки файлов не выше чем у простого пользователя?
-
Dim@rik, а у virus hunter приоритет проверки файлов не выше чем у простого пользователя?
Нет конечно...это я сам написал, так как являюсь хантером двух АВ компаний, и в свободное от работы и личной жизни время высылаю семплы в вирлабы. Не в Авасте приоритет обработки чуть выше, но последнее время и там не лады (.
-
Авасте приоритет обработки чуть выше, но последнее время и там не лады (.
понятно. Значит так и будем довольствоваться веб формой :(
-
спасибо makcunknown за интересный винлок.
Как-то обсуждали данный тип винлока. MBR винлок. ( вирус прописывается на диске изменяя его загрузочную запись (MBR) и при форматировании винта не пропадает, а остается.)
Детект http://virusscan.jotti.org/ru/scanresult/22e54eeed62b4c3cd58ddd25ebba4917012952b7/54d132125fe84546a51bc2b5a042633fe743f480
windows xp sp3 / vmware 8.1
Запуск
(http://i5.pixs.ru/thumbs/6/1/5/AshampooSn_4710635_4956615.jpg) (http://pixs.ru/showimage/AshampooSn_4710635_4956615.png)
Ограниченных прав песочницы ему не хватило для запуска.
Перезагрузка чисто.
Вот так выглядит запущенный винлок. (без антивируса)
(http://i.pixs.ru/thumbs/6/6/5/AshampooSn_6444637_4956665.jpg) (http://pixs.ru/showimage/AshampooSn_6444637_4956665.png)
справился на отлично!
-
Странно, мне песочница не дала его запустить. Не хочу активировать себе его, но вопрос, cureit через livеcd убивать его в мбр?
-
Странно, мне песочница не дала его запустить. Не хочу активировать себе его, но вопрос, cureit через livеcd убивать его в мбр?
не уверен. думаю для этого необходим детект доктора.
-
кстати, если компьютер уже заражен вымогателем, то обратите внимание на утилиту ANtiSMS.
очень эффективное простое средство.
работает только с liveCD.
лечит в один клик.
-
кстати, если компьютер уже заражен вымогателем, то обратите внимание на утилиту ANtiSMS.
очень эффективное простое средство.
работает только с liveCD.
лечит в один клик.
Если это WinLock mbr, то не поможет.
-
Если это WinLock mbr, то не поможет.
ну что вы пишите! Почитайте хотя бы мануал, зачем фантазировать?
http://antisms.simplix.info/
Удаляет все известные mbr вымогатели, включая те, которые портят таблицу разделов.
Также сама восстанавливает файлы типа userinit.exe
-
работает. просмотрите последние пару страниц, здесь (http://safetygate.ru/index.php?topic=1744.msg75643#new)
-
Прочитал всю ветку так и не понял почему аваст пропускает эту заразу? Вот недавно лечил человеку комп от банера. Правда обошлось без гемора (загрузка в защищенном режиме, откат на раннюю точку), вроде прокатило нормально. Ну так я уже как то очкую, в какой момент ожидать подцепки этой заразы.
-
Прочитал всю ветку так и не понял почему аваст пропускает эту заразу? Вот недавно лечил человеку комп от банера. Правда обошлось без гемора (загрузка в защищенном режиме, откат на раннюю точку), вроде прокатило нормально. Ну так я уже как то очкую, в какой момент ожидать подцепки этой заразы.
Потому что этой заразы очень много и каждых пол дня эти баннеры клепают по сто их разновидностей, вот как пример, даже мегаантивирус касперский не видит этого баннера:
http://virusscan.jotti.org/ru/scanresult/51a8de2afcefe390e3b2260acfbddb929a4b2d15/f0b2ec3d394e569508429c6be674f4cd7fe07342
WinLock классно ещё максируют, вот я вытаскиваю 2 баннера в день, с сайта, который нельзя занести в черный список, на него я попадаю всегда из под разных ссылок(не с первого раза конечно получается, приходится потыкать =)), то есть всегда редирект на разные url.
-
Я так и предполагал, что разработчики не успевают регистрировать маски и т.д. Но все равно как то не уютно себя чувствуешь, если защита не надежная. :-\
-
Тоже читал отзывы, что аваст пропускает винлок.
спасибо makcunknown за винлоки )) тестирую каждый день, но не пропускает аваст даже свежие винлоки. Подозреваю, что пользователь сам разрешает запуск xxx.avi.exe файла.
-
Я раньше не знал, что такое AutoSandBox, теперь за счёт этой защиты, можно и не поймать, но есть не знающие, либо будут тыкать и запускать, несмотря на предупреждения, либо некоторые пользователи всего-навсего выключают SandBox(ввиду того, что типа эта защита не позволяет запускать некоторые не зловредные приложения. А всего то нужно просто в SandBox добавить в исключения эти самые приложения и всё) и так ловят спокойно, либо не обновлённые версии Аваста, в которых SandBox. SandBox появился с версии 7.0 я так понимаю?
-
я так понимаю?
все верно. но это проблема пользователя, а не аваста. Мне кажется аваст и с настройками по умолчанию справиться с винлоком, надо попробовать.
-
А всего то нужно просто в SandBox добавить в исключения эти самые приложения и всё) и так ловят спокойно, либо не обновлённые версии Аваста, в которых SandBox. SandBox появился с версии 7.0 я так понимаю?
В 6.0.1367 есть AutoSandBox в дополнительной защите.
-
я так понимаю?
все верно. но это проблема пользователя, а не аваста. Мне кажется аваст и с настройками по умолчанию справиться с винлоком, надо попробовать.
по умолчанию экран поведения стоит автоматически
с такими настройками пропустит
надо чтобы спрашивал.
я в дополнении еще поставил АВГ без мониторов только Компонент Identity Protection
он хорошо работает в паре с проактивкой аваст, если зараза уже проникла, отменит все внесенные малварой в систему изменения (вставки кодов, изменения реестра, открытие портов и т. д.).
-
Прочитал всю ветку так и не понял почему аваст пропускает эту заразу? Вот недавно лечил человеку комп от банера. Правда обошлось без гемора (загрузка в защищенном режиме, откат на раннюю точку), вроде прокатило нормально. Ну так я уже как то очкую, в какой момент ожидать подцепки этой заразы.
Может я и не о том, о чём говорят в этой теме, но разве "отсев" зловредных баннеров это задача одного только антивируса? Не знаю насколько это помогает (потому как ни разу не сталкивался с винлоками), но я, во-первых, вообще не щёлкаю по баннерам (если это не ссылки на сервисы в которых я абсолютно уверен - например, сервисы академий CISCO); во-вторых, у меня установлены дополнительные программы защиты (SpywareBlaster, Spyware Terminator, Threatfire); и в-третьих, в моём Фаерфоксе установлены расширения безопасности из-за которых я баннеры практически не вижу.
-
по умолчанию экран поведения стоит автоматически
с такими настройками пропустит
:'( ага
(http://i.pixs.ru/thumbs/6/8/0/AshampooSn_3710115_4964680.jpg) (http://pixs.ru/showimage/AshampooSn_3710115_4964680.png)
мне кажется это огромный минус..
-
Прочитал и посмотрел скрин.
И вижу,что это сообщение выдал McAfee SiteAdvisor,который внутри браузера.
Выходит,что он или блокирует или только предупреждает о уже случившемся ??
Объясните пожалуйста.
-
ivanovich, если это по поводу моего сообщения. То McAfee SiteAdvisor не стоит. Скрин винлокера (блокера, баннера) , которого пропустил аваст с настройками по умолчанию. Обычные блокеры сидят в системе и обычно они синего цвета. Этот круче, он загружается в главную загрузочную запись, с нее начинается загрузка жесткого диска. Если обычные блокеры иногда можно удалить руками через загрузку в Безопасном режиме, то тут это не получиться, система не загружается.
-
у AVG такая форма есть например http://samplesubmit.avg.com/ru-ru/sample-scanning
ответ всегда приходит. добавляют быстро обычно..
не быстрее доктора но уж точно быстрее аваста :)
-
ivanovich, если это по поводу моего сообщения. То McAfee SiteAdvisor не стоит. Скрин винлокера (блокера, баннера) , которого пропустил аваст с настройками по умолчанию. Обычные блокеры сидят в системе и обычно они синего цвета. Этот круче, он загружается в главную загрузочную запись, с нее начинается загрузка жесткого диска. Если обычные блокеры иногда можно удалить руками через загрузку в Безопасном режиме, то тут это не получиться, система не загружается.
Выходит,что тогда надо будет по новой загружать всю операционку с дисков.А перед операцией форматировать диск С: И где их можно подцепить ?? Только адреса не приведи Господи не пишите.А настройки в AVASTe которые стоят по умолчанию,выходит надо будет по другому ставить самому??? А как ???
-
ivanovich, если это по поводу моего сообщения. То McAfee SiteAdvisor не стоит. Скрин винлокера (блокера, баннера) , которого пропустил аваст с настройками по умолчанию. Обычные блокеры сидят в системе и обычно они синего цвета. Этот круче, он загружается в главную загрузочную запись, с нее начинается загрузка жесткого диска. Если обычные блокеры иногда можно удалить руками через загрузку в Безопасном режиме, то тут это не получиться, система не загружается.
Выходит,что тогда надо будет по новой загружать всю операционку с дисков.А перед операцией форматировать диск С: И где их можно подцепить ?? Только адреса не приведи Господи не пишите.А настройки в AVASTe которые стоят по умолчанию,выходит надо будет по другому ставить самому??? А как ???
Форматирование может не помочь, придётся либо диск делить заного, либо много ещё способов есть, mbr cureit к примеру может удалить, и винда снова запустится.
=====================================================================================================================================
С сегодня мою ссылку уже блокирует аваст, посмотрим что завтра будет, сам винлокер достаю через отключение антивируса на время. (Я не думаю, что зря это делаю(аваст блокирует и как бы забить), так как баннер подобный может ещё где нибудь обитать)
-
А перед операцией форматировать диск С: И где их можно подцепить ?? Только адреса не приведи Господи не пишите.А настройки в AVASTe которые стоят по умолчанию,выходит надо будет по другому ставить самому??? А как
в том то и дело, что форматирование не поможет. вирус не на жестком диске, он вообщем в памяти. Можете познакомиться с загрузочными дисками AntiSMS (http://forum.simplix.ks.ua/viewtopic.php?id=399) и Kaspersky Rescue Disk (http://www.kaspersky.ru/virusscanner) . Это на тот случай если он пролезет. Но винлок точно не проходит с настройками AutoSandbox и Экран Поведения в Спрашивать. Тогда при запуске винлока надо будет выбрать запустить в песочнице или запретить.
-
makcunknown
Мне вот интересно... где вы эти локеры находите, вы может сами делаете их?
-
или запретить.
так он запуститься. придеться уходить в ребут
надо "запретить и закрыть"
-
makcunknown
Мне вот интересно... где вы эти локеры находите, вы может сами делаете их?
=)), смысл мне их делать и отсылать в лабораторию(и если посмотреть номера то телефонов Московские, я живу на Дальнем Востоке)? Пытался найти конструктор(по экспериментировать), но все гасятся авастом.
-
Пытался найти конструктор(по экспериментировать), но все гасятся авастом.
у вас эксклюзивные блокеры, их таким конструктором не с бацаешь. :)
Эти блокеры от гурманов своего дела.
-
гораздо эффективней отправлять другим чехам в AVG
добавляют всегда :) на след день уже
-
гораздо эффективней отправлять другим чехам в AVG
добавляют всегда :) на след день уже
аваст тоже быстро добавляет. просто отчет не высылает по отправленному файлу.
так?
-
гораздо эффективней отправлять другим чехам в AVG
добавляют всегда :) на след день уже
аваст тоже быстро добавляет. просто отчет не высылает по отправленному файлу.
так?
по моим наблюдениям невсегда быстро. бывало и неделями в карантине лежало без детекта.
а бывало и через сутки уже
ответ пару раз даже приходил :)
--
Hello,
thank you for samples. We will check them and add in our databese.
Thank you& best regards
Filip Chytrý
Virus analyst
Avast Software a.s.
Trianon office building
Budějovická 1518/13a
140 00 Praha 4
-
Сегодня опытным путем пришел к важному выводу:
тестировал аваст на запуск винлоков. 3 винлока, два сразу перемещены в карантин, так и не успели вылезти. Первый винлок при выборе запретить и закрыть - после перезагрузки блокирует систему. При выборе закрыть и переместить в карантин - после перезагрузки все чисто. проверял 2 раза.
Вывод: обязательно аутосандбокс и экран поведения переводим в режим спрашивать, при появлении сообщения выбираем закрыть и переместить в карантин и перезагружаем компьютер. Это в бета версии.
В финальной достаточно выбрать закрыть и запретить.
-
Сегодня опытным путем пришел к важному выводу:
тестировал аваст на запуск винлоков. 3 винлока, два сразу перемещены в карантин, так и не успели вылезти. Первый винлок при выборе запретить и закрыть - после перезагрузки блокирует систему. При выборе закрыть и переместить в карантин - после перезагрузки все чисто. проверял 2 раза.
Вывод: обязательно аутосандбокс и экран поведения переводим в режим спрашивать, при появлении сообщения выбираем закрыть и переместить в карантин и перезагружаем компьютер.
Почему бы по стандарту, изначально в Авасте бы так не устанвить на спрашивать, а не автоматически.
-
Почему бы по стандарту, изначально в Авасте бы так не устанвить на спрашивать, а не автоматически.
потому что изначально все антивирусы настроены для "домохозяек " на автомате.
У некоторых при появлении алерта антивируса возникают головные боли и мигрени.
-
Очень печально конечно, но этот баннер уже неделю отправляю в лабораторию и на почту к ним, тишина.
http://virusscan.jotti.org/ru/scanresult/4fe91cfe63540d8c0b28817008c68866feef3874
-
Hello,
thank you for samples. We will check them and add in our databese.
Thank you& best regards
Filip Chytrý
Virus analyst
Avast Software a.s.
Trianon office building
Budějovická 1518/13a
140 00 Praha 4
Отписали, а добавить, так и не добавили. Что за бред?
-
Сюда буду выкладывать скрины вирусов, которые не видит аваст (Далее отправленных в лабораторию). Просто как пример (статистика для меня), какое количество я отправляю в лабораторию.
Просьба кто не может или не знает как отправить фаил вирус в лабораторию, скидывать мне на почту makcg@mail.ru .
И так начну. До этого уже было выслано мною более 100 винлоков и 50 крипто вирусов, блокирующих доступ в инете через браузеры.
(http://img.pixs.ru/storage/1/3/3/winlockjpg_7074396_6061133.jpg)
-
Сюда буду выкладывать скрины вирусов, которые не видит аваст (Далее отправленных в лабораторию). Просто как пример (статистика для меня), какое количество я отправляю в лабораторию.
Просьба кто не может или не знает как отправить фаил вирус в лабораторию, скидывать мне на почту makcg@mail.ru .
И так начну. До этого уже было выслано мною более 100 винлоков и 50 крипто вирусов, блокирующих доступ в инете через браузеры.
(http://img.pixs.ru/storage/1/3/3/winlockjpg_7074396_6061133.jpg)
А за чем это тут выкладывать?
Есть тема, и достаточно ссылки с VT.
http://forum.avast.com/index.php?topic=64122.840
-
Dim@rik
Здесь моя статистика. Там пусть пиндосы свои пиндостанские вирусы показывают.
Блокирует инет в браузерах.
(http://img.pixs.ru/storage/4/3/2/scanjpg_3789120_6073432.jpg)
-
Здесь моя статистика. Там пусть пиндосы свои пиндостанские вирусы показывают.
Хотел бы Вам напомнить, что здесь форум международного сообщества, а не национальные квартиры. И прекратите использовать ненормативную лексику.
-
Блок интернета в браузерах. Помог одному гостю здесь. Спасибо ему.
(http://img.pixs.ru/storage/6/8/4/scanjpg_4601250_6094684.jpg)
-
чисто мое мнение нужно к антивирусу поставить firewall и банеры не будут лести у меня у брата стоит Avast и Windows 7 Firewall Control и уже я забыл как убирать с его компа баннеры а раньше стаял просто Avast и мне приходилось убирать эти баннеры чуть не каждый день если уж вы поймали бан то вот вам в помощь прога пока еще не разу не подводила AntiSMS
-
Hosts trojan's
(http://s42.radikal.ru/i095/1210/27/080af78453e1.jpg)
(http://s017.radikal.ru/i433/1210/27/aee62a7f90a5.jpg)
-
Winlock
(http://img.pixs.ru/storage/7/4/6/winlockjpg_1412853_6180746.jpg)
-
Я ни разу не ловил эти гадости.Я много раз писал,что у меня стоит и AIS,и Защитник и Брандмауэр Windows.Поэтому у кого стоит бесплатный на год Avast и есть эти два защитника,то лучше их включить,а не грузить и диск и систему.Защитник обновляет свою базу определений.А брандмауэр стоит прекрасно.Но,решать самому хозяину.
-
Ещё букетик предоставлю.
taskhosts
(http://img.pixs.ru/storage/3/1/6/hostsjpg_5436763_6190316.jpg)
(http://img.pixs.ru/storage/3/1/7/hosts1jpg_8892120_6190317.jpg)
Блокировщик инета в браузерах.
(http://img.pixs.ru/storage/3/1/3/blockjpg_7486704_6190313.jpg)
-
Я ни разу не ловил эти гадости.Я много раз писал,что у меня стоит и AIS,и Защитник и Брандмауэр Windows.Поэтому у кого стоит бесплатный на год Avast и есть эти два защитника,то лучше их включить,а не грузить и диск и систему.Защитник обновляет свою базу определений.А брандмауэр стоит прекрасно.Но,решать самому хозяину.
у меня у братишки стоит бесплатный на год Avast и брандмауэр Windows 7 Firewall Control и защитник включен а он все же поймал банер давно он их не ловил думал ну славо богу а тут такое бах бах и вот он банер что то аваст не работает в вставляет Баннеры себе в базу
-
Nicholas@
Баннер можно поймать с любым антивирусом.
-
Nicholas@
Баннер можно поймать с любым антивирусом.
Спорить не буду но пока сколько я не седел на не хороших сайтах где их можно поймать не разу еще не ловил их там может вы скажите это везении то я скажу вряд ли что это везение у меня на виртуалки стаит Comodo internet Security Premium и еще не попадался не один бан я на этих сайтах давно лажу хотьбы один поймать
-
Nicholas@
Баннер можно поймать с любым антивирусом.
Спорить не буду но пока сколько я не седел на не хороших сайтах где их можно поймать не разу еще не ловил их там может вы скажите это везении то я скажу вряд ли что это везение у меня на виртуалки стаит Comodo internet Security Premium и еще не попадался не один бан я на этих сайтах давно лажу хотьбы один поймать
Чтобы не ловить всякую дрянь настройка браузера значительно важнее антивируса. А если по теме, то антивирусу от Comodo пока еще далеко до аваста а устанавливать его как фаервол тут не могу не отметить что фаервол у него отличный, но после многолетнего пользования разными фаерволами понял, что это скорее инструмент торможения системы, чем реальная защита. Поэтому от использования фаерволов отказался.
-
Nicholas@
то антивирусу от Comodo пока еще далеко до аваста а устанавливать его как фаервол тут не могу не отметить что фаервол у него отличный, но после многолетнего пользования разными фаерволами понял, что это скорее инструмент торможения системы, чем реальная защита. Поэтому от использования фаерволов отказался.
сколько людей столько и мнений
-
А вот и новый вирус шифровчик-мошенник http://forum.kaspersky.com/lofiversion/index.php/t234075-1500.html уже пару моих знакомых такое отловили. Из прочитанного там, я понял, что это не винлок вручную удалить и не восстановить jpg, doc через hex после пенетратора, это опасная штука получается. Борьбы против такого пока вроде нет, ну только если конечно не ловить такое.
p.s. http://virusscan.jotti.org/ru/scanresult/134bb6bbc87ac9eb631dc71b6a73e97eef4c40ba
-
makcunknown, где они его подхватили ? Можно просто бэкап на другой носитель или носители делать важной информации , куда троян не доберется.
-
Продолжаю свою историю.
(http://i082.radikal.ru/1301/e5/128bb4c169cf.jpg)
-
Вирус mbr(Даже после установки винды, вирус пингует какой то сайт, то есть бот робот, вполне возможно для DDoS атак), но не баннер. Лечится либо удалением разделов, либо восстановлением mbr.
-
а что говорят разработчики по поводу этого
-
а что говорят разработчики по поводу этого
Вопрос не ясен. Что они должны сказать?
-
Что они должны сказать?
Вообщем, что говорят? :)
запускать не пробовал?
-
так они не знают, что сказать :-\
(шутка) ;D
-
на сколько мне извесно avast пропускает банеры на комп
-
Пример в студию! ;)
-
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер
-
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер
Я бы так прямо не заявлял. Что мешает эти баннеры отсылать в лабораторию, чтобы повторно не ловить их? Во вторых, могу сказать, что нод32, др.веб и каспер тоже пропускают баннеры и давольно таки часто(По поводу нода и др.веба видно по скринам, которые я тут выкладывал).
-
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер
Ну, так нужно было и сказать, - фактов нет. Только слухи...
Разговор, ни о чем. :)
-
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер
=================
Я если и лезу туда(у меня только три сайта),то только в SafeZone.И всё чисто и опрятно!Главное головой думать!
-
А вот мне порой, даже хочется, что-нибудь для разнообразия подхватить!(поизучать, повоевать так сказать.. О последствиях не переживаю, т.к всегда могу откатиться через СТМ):) Но не получается.. :-\ Кругом одни алерты или от Аваста, или от Комодо. Стенка.
-
...О последствиях не переживаю, т.к всегда могу откатиться через СТМ):)
:o Crazy...
И чем поможет СТМ при заражении мбрлокером, повреждающим таблицу разделов?
-
попробуйте кому невлом ;)
http://rghost.ru/43410444
локер винды, нужна чисто реакция экрана поведения
Win32:Malware-gen это и так понятно :)
код на разблокировку если ч0 -> 534227775
http://img815.imageshack.us/img815/9720/20611181.png
-
...попробуйте кому невлом...
Выложите файл в запароленном архиве.
Я, например, даже скачать его не могу, чтобы "донести" до компьютеров с Авастом, а антивирус отключать не собираюсь, т.к. сразу после нажатия "Скачать" на странице со ссылкой начинается "активность" в папке Temp.
(http://i.pixs.ru/thumbs/3/5/5/ScreenShot_4691131_6964355.jpg) (http://pixs.ru/showimage/ScreenShot_4691131_6964355.jpg)
(http://i.pixs.ru/thumbs/3/6/8/ScreenShot_6427358_6964368.jpg) (http://pixs.ru/showimage/ScreenShot_6427358_6964368.jpg)
-
...попробуйте кому невлом...
Выложите файл в запароленном архиве.
Я, например, даже скачать его не могу, чтобы "донести" до компьютеров с Авастом, а антивирус отключать не собираюсь, т.к. сразу после нажатия "Скачать" на странице со ссылкой начинается "активность" в папке Temp.
(http://i.pixs.ru/thumbs/3/5/5/ScreenShot_4691131_6964355.jpg) (http://pixs.ru/showimage/ScreenShot_4691131_6964355.jpg)
(http://i.pixs.ru/thumbs/3/6/8/ScreenShot_6427358_6964368.jpg) (http://pixs.ru/showimage/ScreenShot_6427358_6964368.jpg)
выкинь свой нортон на помойку
-
выкинь свой нортон на помойку
Рядом с твоими мозгами?
Кто, блин, выкладывает вирусы в свободный доступ без архива с паролем?
-
выкинь свой нортон на помойку
Зря вы так например мой CIS 6 тоже говорит что это вирус
-
ex_avira_user
здесь нельзя выкладывать вирусы это может привести к большому шолбану от админов
-
...О последствиях не переживаю, т.к всегда могу откатиться через СТМ):)
:o Crazy...
И чем поможет СТМ при заражении мбрлокером, повреждающим таблицу разделов?
Вы на примере ссылки выше http://rghost.ru/43410444 ?
Нет проблем. :) Отключил специально Аваст(т.к веб экран блокировал). Далее, на мое удивление, Комодо ф(проактивка), оказался беспомощным :P (только успел показать окошко о вредоносном объекте) и тут-же картинка о блокировке системы. Все ф-ции системы нейтрализованны, курсор только в окошке мог перемещаться..
Выключаю принудительно комп. Включаю. В момент первой заставки СТМ (перед загрузкой винды), вызываю базу снимков. Выбираю последний. Перезагрузка..., и Вуаля!. Все как ни в чем не бывало.. ;)
-
выкинь свой нортон на помойку
Рядом с твоими мозгами?
Кто, блин, выкладывает вирусы в свободный доступ без архива с паролем?
зачем на личности переходишь ?
лично тебя я не оскорблял.
...О последствиях не переживаю, т.к всегда могу откатиться через СТМ):)
:o Crazy...
И чем поможет СТМ при заражении мбрлокером, повреждающим таблицу разделов?
Вы на примере ссылки выше http://rghost.ru/43410444 ?
Нет проблем. :) Отключил специально Аваст(т.к веб экран блокировал). Далее, на мое удивление, Комодо ф(проактивка), оказался беспомощным :P (только успел показать окошко о вредоносном объекте) и тут-же картинка о блокировке системы. Все ф-ции системы нейтрализованны, курсор только в окошке мог перемещаться..
Выключаю принудительно комп. Включаю. В момент первой заставки СТМ (перед загрузкой винды), вызываю базу снимков. Выбираю последний. Перезагрузка..., и Вуаля!. Все как ни в чем не бывало.. ;)
на авасте ктонить проверьте плз
из модулей только экран поведения в режиме спрашивать
остальное офф
мне просто влом ставить этот софт и регать потом чтобы файлик только затестить
-
ex_avira_user, ну как, удивил СТМ? :)
-
на авасте ктонить проверьте плз
из модулей только экран поведения в режиме спрашивать
Нет реакции :(
мне просто влом ставить этот софт и регать потом чтобы файлик только затестить
А вот это зря, или легкомысленно!
Этот софт(есть не просит), - и кой-какая гарантия, от "кривых рук", или когда антивирусы прошляпили. ;)
-
Вы на примере ссылки выше http://rghost.ru/43410444 ?
аваст фри, экран поведения, autosanbox- спрашивать.
(http://i.imgur.com/LMEUcRO.png)
вылез баннер, псле перезагрузки все чисто. (так он и работает, проверенно на сотни винлоках)
Comodo fw , песочница отключена, т.к после нее в 100% случаях система останется чистая (тестировать песочницу уже не интересно). HIPS вкл.
1. Разрешаю запуск
(http://i.imgur.com/41lyeR2.png)
2. Запрещаю и выбираю закрыть приложение.
(http://i.imgur.com/QjXt58d.png)
Чисто
-
на авасте ктонить проверьте плз
из модулей только экран поведения в режиме спрашивать
Нет реакции :(
у меня стоит(стоял) симантек
там СОНАР молчит 0 реакции
а по поводу репутации это лол
-
military, так у тебя Аваст заблокировал? У меня не спрашивал ничего, возможно из-за отключенной песочницы :(
Да и Комодо промолчал.. Ты под админом в системе? Я да. Может в этом причина.. :-\
-
Вы на примере ссылки выше http://rghost.ru/43410444 ?
аваст фри, экран поведения, autosanbox- спрашивать.
8 бета ?
-
amid525
провел повторный тест. Комодо выдал сразу 2 алерта. 1. Хипс . 2. Облако сработало и предложило удалить файл.
Аваст 7 финал все в спрашивать. Под админом, хрюша сп3
(http://i.imgur.com/a3pdZRB.png)
-
military
::) надо ставить тогда..
просто авг 2013 IP из всей коллекции только этот и еще 1 пропустил
но там жеский винлок.. Identity не реагирует
буду ставить на пару к авг..
-
ex_avira_user
имхо IP AVG и Аваст "в спрашивать" практически одинаковые, оба могут из большого кол-ва винлоков, один да пропустить, не смертельно ). Тестировали с makcunknown , полистайте первые страницы этой темы.
Ну а Comodo fw отрабатывает всегда.
-
military, комодо только облаком выдал алерт, но он был бессмысленным, т.к винлок уже запустился за ним сразу, блокировав курсор и т.д..
У тебя exploer.exe в правилах проактивной защиты, как стоит? У меня как "системное приложение". Может в этом проблема.. ::)
-
amid525
странно, мне давал нажать на сообщения, плюс делал скриншоты. Ты перезагрузку делал? Скорее всего не делал.
Конфиг Проактив.
(http://i.imgur.com/bYls0hf.png)
-
Почему эксплорер у тебя как "установка и обновление"?
Комодо 5, только сообщения в облаке показывает.(и на семерке)
А по поводу аваста 8(тоже на w7), экран поведения показал предупреждение "что делать". На запрет - не отреагировал. Как скрылось его окно, под ним уже сидит экран винлокера
-
Почему эксплорер у тебя как "установка и обновление"?
Не знаю почему, специально ничего не менял.
Аваст 8 не тестирую, считаю его даже не бетой, имхо.
Винлок после сообщения аваста проскочил, но после перезагрузки все чисто. Не знаю почему, но винлоки он таким образом мочит.
-
Винлок после сообщения аваста проскочил, но после перезагрузки все чисто. Не знаю почему, но винлоки он таким образом мочит.
Да, похоже и у меня так.. Стоит просто выйти из системы(не перезагружаясь), как все нормально.
Но вот Комодо 5, удивил. :-\ Есть у тебя возможность на 5-ом проверить?
-
amid525
comodo fw 5 (проактивный режим- конфигурация) , песочницу отключил.
1. Разрешил (http://i.imgur.com/CI0IamO.png)
2. Запретил
(http://i.imgur.com/HYNztfs.png)
нажал запретить, винлока нет, но экран пустой.
Перезагрузился, чисто. Explorer - доверенное приложение.
-
Короче разобрался.. :)
Оказывается, для хр и 7, при комодо 5, нужны особые настройки защиты.
А именно - включение режима "контроль исполнения приложений" (ранее этот режим был отключен, т.к выдавал много ненужных вопросов), и считал что защита особо не пострадает.. Однако.. ::)
И в правилах проактивной защиты, для процесса explorer.exe, - должно быть "пользовательская политика". В инных вариантах (системное приложение, обновление..) - винлок проходит! :D
-
У меня експолрер помечен(мной) как доверенное. Но на онлайн проверке - показывает как неизвестное.(может из-за того что пропатчены системы обе?)
По этому, только в пользовательской политике все под контролем..
И лейк тест весь прошел ;D Ранее, парочку-тройку пропускал..
-
ex_avira_user
имхо IP AVG и Аваст "в спрашивать" практически одинаковые, оба могут из большого кол-ва винлоков, один да пропустить, не смертельно ). Тестировали с makcunknown , полистайте первые страницы этой темы.
Ну а Comodo fw отрабатывает всегда.
поставил 8бета
теперь АВГ проактив стал выдавать вопросы по этому файлу совместно с авастом
лол ;D
-
Это Аваст ему стал подсказывать, из-за сострадания... ;D
-
Это Аваст ему стал подсказывать, из-за сострадания... ;D
ну тогда попробуй запусти ;)
что скажет проактивочка аваста
http://rghost.ru/43426143
(http://www.pcrisk.com/images/stories/internet-crime-complaint-center-virus.jpg)
-
Сработал в начале веб экран аваста. Отключил.
Запустил, сработал сетевой экран аваста.. Отключил.
Запустил вновь файл, (комодо всю дорогу выдавал сообщения, я разрешал ему), тем не менее, ни чего более не произошло... ???
С своей задачей, считаю Аваст дважды справился. )
-
ну.. а такое http://rghost.ru/43427555
до сих пор не определяет :o :D
-
Да, Аваст не среагировал, только защита Комодо. Но ему давал добро.. Что должно произойти? Никаких внешних признаков.. ???
-
Да, Аваст не среагировал, только защита Комодо. Но ему давал добро.. Что должно произойти? Никаких внешних признаков.. ???
FakeAV
https://www.virustotal.com/file/b7479acd30af35df8a95a2a0a81b03b45cc1525ebe2a94962cfbf98e7585606f/analysis/
-
поставил 8бета
Советую удалить эту версию, потому что нет никакой гарантии, что Вы установили себе именно программу от Аваста, а не троян, прикрывающийся его видом. Тот установочный файл, который бродит по сети с названием Аваст 8 бета в лучшем случае может оказаться всего лишь альфа-версией, не пригодной для качественной защиты компьютера и к тому же украденной у компании. Вам нравится использовать краденное?
-
поставил 8бета
Советую удалить эту версию, потому что нет никакой гарантии, что Вы установили себе именно программу от Аваста, а не троян, прикрывающийся его видом. Тот установочный файл, который бродит по сети с названием Аваст 8 бета в лучшем случае может оказаться всего лишь альфа-версией, не пригодной для качественной защиты компьютера и к тому же украденной у компании. Вам нравится использовать краденное?
незнаю, отсюда качал http://www.comss.ru/page.php?id=337
этот ресурс надежный ящетаю
а бета на то и бета вроде ..
-
ex_avira_user
Вы используете краденную бета-версию (а точнее - альфа-версию), предназначенную для закрытого тестирования. Вы любите использовать краденное?
-
ex_avira_user
Вы используете краденную бета-версию (а точнее - альфа-версию), предназначенную для закрытого тестирования. Вы любите использовать краденное?
-------------------------------------------------
Господи!
Читаю и балдею!
Где только скачивают,где только находят всяких гадостей,где только их тестируют!
Вы,что не можете хоть денёк-два отдохнуть от этого всего?
Отдохните,посмотрите хороший фильм или сериал.
Всё тестируют,скачивают,удаляют.
У меня такое впечатление создаётся,что вы может вообще не спите?
Давайте лучше все пойдём баиньки!
Всем сладких снов!
-
ex_avira_user
Вы используете краденную бета-версию (а точнее - альфа-версию), предназначенную для закрытого тестирования. Вы любите использовать краденное?
в вашем вопросе чувствуются нотки провакации
George Yves, вам нравится провоцировать учасников форума? ;D
все, я закрылся и ушел тестировать :P
-
Нет, я Вас не провоцировал. Я намекал на последствия, но теперь уже поздно. Ваши "старания" не остались не замеченными администрацией форума. Прошу не удивляться, когда в лучшем случае Вы будете ограничены в правах на форуме, а в худшем - забанены. Использование и поощрение к использованию краденного наказуемо не только по УК.
-
Нет, я Вас не провоцировал. Я намекал на последствия, но теперь уже поздно. Ваши "старания" не остались не замеченными администрацией форума. Прошу не удивляться, когда в лучшем случае Вы будете ограничены в правах на форуме, а в худшем - забанены. Использование и поощрение к использованию краденного наказуемо не только по УК.
бетка то в своболном доступе лол
104.02 MB (Beta)
http://www.comss.ru/page.php?id=337
-
Comss.ru не является представителем или филиалом AVAST SOFTWARE. Этот сайт занимается распространением краденного ПО. "Официальной" может быть только версия, распространяемая самой компанией AVAST SOFTWARE со своих серверов и сайтов.
PS: Вы по-прежнему желаете использовать краденную собственность?
-
Этот сайт занимается распространением краденного ПО
комментарии излишни ;D
хорош оффтопить
мы тут за баннеры трем
-
Ещё один winlock
(http://s017.radikal.ru/i410/1301/38/e71157a3b4ad.jpg)
-
PS: Вы по-прежнему желаете использовать краденную собственность?
George Yves, а если посмотреть это с другой стороны? Ведь тестирование бетки(и чем больше людей), помогает вычислить больше глюков, недостатков, и этим помочь разработчикам оперативно все исправлять. Ведь не все они могут учесть! Или нужно дождаться релиза, а после тыкать носом, этим убивая авторитет Аваста?
Большинство вендоров, наоборот это приветствуют, выкладывая в паблик.
-
Полностью согласен с amid525! Странная политика Аваста.
-
Так может, они вовсе и не против?
-
Так может, они вовсе и не против?
пойду спрошу :D
-
PS: Вы по-прежнему желаете использовать краденную собственность?
George Yves, а если посмотреть это с другой стороны? Ведь тестирование бетки(и чем больше людей), помогает вычислить больше глюков, недостатков, и этим помочь разработчикам оперативно все исправлять. Ведь не все они могут учесть! Или нужно дождаться релиза, а после тыкать носом, этим убивая авторитет Аваста?
Большинство вендоров, наоборот это приветствуют, выкладывая в паблик.
======================================================
Это скорее всего будет тогда приветствоваться фирмой,если в 8-ке Бэтке стоят галочки на передачу информации по работе этой программы в настройках.А если галочки не стоят,то что толку её ставить тогда?Ради спортивного интереса?Или человеку нечем заняться дома на досуге?Есть ведь книги,телевизор,фильмы.Или Чем бы дитя не тешилось,лишь бы не плакало?Я на это не пошёл бы!А он пусть сам решает.Хозяин Барин!
-
Вы на примере ссылки выше http://rghost.ru/43410444 ?
Нет проблем. :) Отключил специально Аваст(т.к веб экран блокировал). Далее, на мое удивление, Комодо ф(проактивка), оказался беспомощным :P (только успел показать окошко о вредоносном объекте) и тут-же картинка о блокировке системы. Все ф-ции системы нейтрализованны, курсор только в окошке мог перемещаться..
Выключаю принудительно комп. Включаю. В момент первой заставки СТМ (перед загрузкой винды), вызываю базу снимков. Выбираю последний. Перезагрузка..., и Вуаля!. Все как ни в чем не бывало.. ;)
Это блокировщик ОС, а не MBR. Когда повреждается таблица разделов никакую базу снимков Вы не вызовите. Не считывается информация о разделах на жестком диске, в том числе и о том, где эта база снимков находится. Только баннер.
-
Это блокировщик ОС, а не MBR. Когда повреждается таблица разделов никакую базу снимков Вы не вызовите. Не считывается информация о разделах на жестком диске, в том числе и о том, где эта база снимков находится. Только баннер.
вот MBR можете протестить проактив аваста
http://rghost.ru/43456584
пасс: avast
unlock code: 45746777 (советую записать гденибудь)
-
Файловый экран Аваста при распаковке прибил )
-
Файловый экран Аваста при распаковке прибил )
лоол ! не новый сампл далеко..
-
новенького нашёл.
http://virusscan.jotti.org/ru/scanresult/35a5a5dde8bf04359b98069e594614c4c8a2e205/46115e2b96f2773d42613cb27000ce91e368663f
-
WinLock под видом dll библиотеки, не знаю даже как он активировался.
http://virusscan.jotti.org/ru/scanresult/c03928b304fece3b1c5385c98f6e2ad2f7f24f00
Ещё один, по байтово, оба весят одинаково, но по содержанию разные. Видать на одной и той же WinLock проге создавались.
http://virusscan.jotti.org/ru/scanresult/127b292a22f7db79a8cfcff2a8fe2911ad23bbb5
-
dll блокирует интернет в браузерах
http://virusscan.jotti.org/ru/scanresult/e34532a5a0d74608da04055fc051863423b58c9d
-
makcunknown
Мужик ты все выкладываешь и выкладываешь и выкладываешь а толку то лучше не выходит
-
Почему это толку то нет? Другие не поймают уже эту гадость, в лабораторию же всё улетает.
-
да и что какой вариант хоть что нибудь добавили в базу?
и еще где же вы их ловите?
-
Nicholas@
да и что какой вариант хоть что нибудь добавили в базу?
Не понял вопрос.
и еще где же вы их ловите?
За счёт клиентов, ловлю я их не сам.
-
я имею виду Баннеры в аваст в базу добавились?
как вы это узнаете?
-
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
-
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Разработчики что говорят по этому поводу? :)
-
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Разработчики что говорят по этому поводу? :)
А что им говорить? Просто добавляют и всё.
Вознаграждать меня за это надо =)
-
А что им говорить? Просто добавляют и всё.
Здесь, по-моему, есть один интересный момент. Что просто добавляют? Сигнатуру или хэш конкретного файла?
Например...
Программа с цифровой подписью, 100% ПНП (устанавливает тулбар без ведома пользователя)
(http://i5.pixs.ru/thumbs/3/8/2/001jpg_5074623_7254382.jpg) (http://pixs.ru/showimage/001jpg_5074623_7254382.jpg)
В день выхода новой версии детекта нет.
https://www.virustotal.com/ru/file/a810f17426a03041c887f98a310dc35a3f65529491ac67b97c18c365e2b83ab0/analysis/1361826808/
(http://i5.pixs.ru/thumbs/4/2/9/002jpg_9547134_7254429.jpg) (http://pixs.ru/showimage/002jpg_9547134_7254429.jpg)
Через два дня добавлен детект (Win32:Downloader-SPO [PUP] )
https://www.virustotal.com/ru/file/a810f17426a03041c887f98a310dc35a3f65529491ac67b97c18c365e2b83ab0/analysis/1361976927/
Ура? Не-а. Потому что эту программу уже "освежили".
(http://i5.pixs.ru/thumbs/4/7/3/003jpg_2175742_7254473.jpg) (http://pixs.ru/showimage/003jpg_2175742_7254473.jpg)
Детекта снова нет.
(http://i5.pixs.ru/thumbs/4/9/0/004jpg_1952390_7254490.jpg) (http://pixs.ru/showimage/004jpg_1952390_7254490.jpg)
И так по кругу...
ИМХО: По-моему нечто аналогичное происходит и с теми сэмплами, которые Вы отправляете в вирлаб Аваста.
-
..Возможно и не таким уж, и зловредом посчитали, после анализа. :) Каспер, Нортон и большинство других, тоже не детектят.
-
..Возможно и не таким уж, и зловредом посчитали, после анализа...
Я отследил несколько "жизненных циклов" этой программы.
https://www.virustotal.com/ru/file/23d314c5bc0a6c860d4ffe4110c081f01eee72a1dbb3093f432517fae0bfac81/analysis/1361403154/
https://www.virustotal.com/ru/file/e683e6f2286da9c5c5d5852e373203080857634ae62e1e468d89e08c67ca2918/analysis/1361528536/
Как раз после анализа детект появляется, но к тому времени распространяется уже другая версия программы, содержащая все тот же тулбар.
Уверен, что через несколько дней, версия этой программы с цифровой подписью от 27.0.2 будет опять определяться Авастом как Win32:Downloader-SOR [PUP] .
Т.е. детект явно по хэшу, а не сигнатурный.
P.S. 01.03 vt:
https://www.virustotal.com/ru/file/432e08a072e86926a29403d3bddbd802a04336b3fc9cf5cfef3dba67b54e0654/analysis/1362098188/
отличие: Win32:Downloader-SPW [PUP] (Может это определение будет распространятся на последующие версии этой ПНП?)
-
j.bonzo
У меня совсем другой момент, я всякими тулбарами даже и не занимаюсь, а именно только WinLock's и библиотеки(dll) блокировщики интернета в браузерах, я уверен, что их то и не убирают, как в вашем случае.
p.s. Ещё один WinLock
http://virusscan.jotti.org/ru/scanresult/87a650438c5ad99d537173ede75568512792a523
-
тоже вот один WinLocker подцепил
http://virusscan.jotti.org/ru/scanresult/977769c74065e28bc0adac1bbb4fe8f7c3887106/7ea87899702a218dd1c18f6f9773cef9b79bad89
отправил в лабораторию avast теперь жду что то не какого не привета не ответа >:(
-
В первый раз увидел такое окошко у Аваста фри, при загрузке одного банера. Ранее, в 7-ом такого не видел ???
-
Криптовирус.
http://virusscan.jotti.org/ru/scanresult/397fc1889b727088ac872855aaf8032412598e09
-
Блокирует интернет.
http://virusscan.jotti.org/ru/scanresult/38a3ebeb74a18e18d4b73c036d798c371d9a9688
-
кстати, баннеры, которые меняют пароль на учётные записи windowd вряд ли будут хоть как то детектироваться проактивкой: http://av-help.narod.ru/012.html
вроде выход очевиден: антивирус должен ругаться на exe архивы, которые содержат в себе автозапуск. это бы нанесло серьёзный удар по школоте.
-
кстати, баннеры, которые меняют пароль на учётные записи windowd вряд ли будут хоть как то детектироваться проактивкой: http://av-help.narod.ru/012.html
вроде выход очевиден: антивирус должен ругаться на exe архивы, которые содержат в себе автозапуск. это бы нанесло серьёзный удар по школоте.
МВАМ меня не пустил на данную ссылку.
-
напишите авторам МВАМ, что у них очередной ложный детект.
-
напишите авторам МВАМ, что у них очередной ложный детект.
делать мне больше нечего... ??? просто я добавил IP в исключения МВАМ и дело в шляпе :P
-
дак авторам аваста кто-нибудь сможет отписать на ангельском, что нужно детектить EXE-архивы , если в них есть автозапуск?
хотя бы если включен детект "потенциально опасных программ".
-
дак авторам аваста кто-нибудь сможет отписать на ангельском, что нужно детектить EXE-архивы , если в них есть автозапуск?
хотя бы если включен детект "потенциально опасных программ".
Составьте грамотно по-русски такое обращение, а я его переведу.
-
блокировщик MBR. Когда повреждается таблица разделов никакую базу снимков Вы не вызовите. Не считывается информация о разделах на жестком диске, в том числе и о том, где эта база снимков находится. Только баннер.
вот MBR можете протестить проактив аваста
http://rghost.ru/43456584
пасс: avast
unlock code: 45746777 (советую записать гденибудь)
;D
Решил побаловаться снова с блокировщиками, (этот в прошлый раз, почему-то не решился запускать.. :) ) Сегодня с пять штук, успешно поборол разными средствами.. И вспомнил об этом "страшном вредителе разделов", как описано. :). Отключил аваст, сомодо ф., дал блокиратору сделать черное дело запустив его.., и перезагрузить ось.. Получил после перезагрузки блокировку с первых секунд.... :o :'(
Ладно. Вырубаю комп, повторно включаю, вызываю СТМ по кнопке home, при инициализации Оси(до появления банера).. Ну, и как предпалогал, СТМ от комодо(о его возможностях речь шла), с легкостью восстановил систему по снимку. Ничего не повредилось. ;)
-
Сегодня с пять штук, успешно поборол разными средствами..
К стати, Понравилась фирменная фишка от Кериш Доктора "деблокер". Убирает с рабочего стола(когда система уже заблокирована) любой баннер одним нажатием клавиши... :D Есть у кого-то еще, подобные способности? ::)
-
Ху из Кериш?
-
http://www.kerish.org/ru/product.php
-
http://www.kerish.org/ru/product.php
купил по акции 2-летнюю лицензию по цене 1-летней в прошлом году. Особой пользы от неё не вижу,ворчит потихоньку женским голосом о какой-то там работе... Это из серии "поставил и забыл" :)
-
Польза, очень хорошая... :) Много раз, блокировала то, что пропускал Аваст(трояны, скрытые загрузчики, винлокеры..), а если уж винлок проскочил, убивает без перезагрузки), не говоря о обслуживании системы и т.д..
-
Убирал баннеры, mbr, восстанавливал загрузку, даже после критического повреждения реестра без всяких программ, вручную. =)
-
Убирал баннеры, mbr, восстанавливал загрузку, даже после критического повреждения реестра без всяких программ, вручную. =)
Тебе и не положено по другому :)
amid525, раньше после долгого использования CTM, появлялось сообщение о недостаточном размере диска, типа диск заполнен, а в действительности места хватает. Не сталкивался с подобной или может быть другие проблемы были?
У тебя какая версия установлена?
-
Я ведь, тебе уже отвечал по этому поводу! :) После многочисленных изменений в системе, со временем, очередные снимки разрастаются по размеру. И нужно иногда(раз в пару недель - месяцев), в зависимости от количества снимков и интенсивности изменений, делать обновление базового снимка. Или, делать сжатие, дефрагментацию снимков(есть опция). И снова появится свободное место(что имеется на самом деле на диске). ;)
Вот мои настройки
-
Я ведь, тебе уже отвечал по этому поводу! :) После многочисленных изменений в системе, со временем, очередные снимки разрастаются по размеру. И нужно иногда(раз в пару недель - месяцев), в зависимости от количества снимков и интенсивности изменений, делать обновление базового снимка. Или, делать сжатие, дефрагментацию снимков(есть опция). И снова появится свободное место(что имеется на самом деле на диске). ;)
-----------------------------------------------------------------------------------------------------------------------------------
Зачем такая головная боль?
Я уже больше года слежу за размером диска С:\,по расписанию делаю-Очистку диска:Удаление всех точек,кроме последней точки восстановления:Дефрагментацию.А также подчищаю прогой CCleaner,и прогой AuslogicsBoostSpeed делаю только!!! очистку диска и удаление историй .И размер папок на диске C:\ колеблется в+ или в- на 200Мб всего!Если я не установлю ничего нужного,то место на системном диске одно и тоже!
-
Зачем такая головная боль?
ivanovich, Где? головной боли, - ни какой нет.
Во то что ниже, у вас, - это похоже на головную боль и возню.
делаю-Очистку диска:Удаление всех точек,кроме последней точки восстановления:Дефрагментацию.А также подчищаю прогой CCleaner,и прогой AuslogicsBoostSpeed делаю только!!! очистку диска и удаление историй
А когда подхватите MDR блокера, - еще большую головную боль поимеете. :'(
А в СТМ, - только раз в месяц обновить базовый снимок, одним нажатием клавиши... И спать спокойно. :)
-
...И вспомнил об этом "страшном вредителе разделов", как описано. Отключил аваст, сомодо ф., дал блокиратору сделать черное дело запустив его.., и перезагрузить ось.. Получил после перезагрузки блокировку с первых секунд....
Блокировка означает повреждение таблицы разделов в mbr? :)
...Ну, и как предпалогал, СТМ от комодо(о его возможностях речь шла), с легкостью восстановил систему по снимку...
Ваши предпАложения, на мой взгляд, в корне неправильные, т.к. попади Вы на локер, подменяющий оригинальную mbr и перемещающий ее в другие секторы, либо "убивающий" таблицу разделов, пришлось бы восстанавливать оригинальную mbr, после чего "...CTM will be destroyed":
http://forums.comodo.com/help-ctm/what-happen-if-a-program-tries-to-modify-the-mbr-while-ctm-is-installed-t62043.0.html
-
Хорошо, дайте мне такой блокер, попробую! А пока, слова.. :)
-
Экран поведения с настройкой "Определять автоматически" блокирует винлоки, которых нет в базе, и сообщает ли что какая-то программа пытается прописаться в автозагрузку ? Если в настройках стоит "спрашивать", то конечно сообщает.
Как по вашим наблюдением обстоит дело, когда настроено "Определять автоматически " ? Насколько надежно оставить настройки по-умолчанию ?
-
Экран поведения с настройкой "Определять автоматически" блокирует винлоки, которых нет в базе, и сообщает ли что какая-то программа пытается прописаться в автозагрузку ? Если в настройках стоит "спрашивать", то конечно сообщает.
Как по вашим наблюдением обстоит дело, когда настроено "Определять автоматически " ? Насколько надежно оставить настройки по-умолчанию ?
У меня в расширенных настройках Экрана поведения везде стоят галочки и выбрано Спрашивать.
-
Экран поведения с настройкой "Определять автоматически" блокирует винлоки, которых нет в базе,
Экран поведения, ("недо-хипс"), не важно какая настройка, не понятно зачем, т.к не видел от него еще не разу дельного уведомления...
Винлоки он тоже не видит(тех по крайней мере, что я проверял), а видит файловый экран. Если его отключить, система заблокирована...
и сообщает ли что какая-то программа пытается прописаться в автозагрузку ? Если в настройках стоит "спрашивать", то конечно сообщает.
Очень редко..
Только Win Patrol у меня, исправно уведомляет о всех прописках в автозагрузке, сервисах, надстройках браузеров и т.д..
-
Ещё парочку нашёл, до этого ещё 2 было, времени нЕбыло появиться на форуме.
http://virusscan.jotti.org/ru/scanresult/16969da53bf7d9d4382ea8a2b1aa850fdb847c2a
http://virusscan.jotti.org/ru/scanresult/f45ffea65d35d5f43eb190b91b4d8d0aabfa969e
-
Winlock каким то образом этот винлок работает через фаил реестра через java скрипт, сам скрин не скину, но в нём очень много букв Интерпол на английском и ввести код разблокировки )
http://virusscan.jotti.org/ru/scanresult/53965c884f7d11d360a1a84a0f687fdd53f980bd
-
Скинь в л.с своего зверька.
-
Winlock каким то образом этот винлок работает через фаил реестра через java скрипт, сам скрин не скину, но в нём очень много букв Интерпол на английском и ввести код разблокировки )
http://virusscan.jotti.org/ru/scanresult/53965c884f7d11d360a1a84a0f687fdd53f980bd
Интерпол? Очень интересно! На форуме уже давно обсуждают "полицейские" зловреды: в США они пишут, что это ФБР, в Европе - национальная полиция, а в России, значит, Интерпол. Можете дать подробности и текст с требованием выкупа?
-
George Yves
Скрин не удалось сделать, и навряд ли получится его снова запустить, т.к. там ярлык ссылается на реестр + сам фаил *.js начинает запускаться как winlock.
Текст был на английском.
-
http://virusscan.jotti.org/ru/scanresult/102bfc64cf161886450feb7280422b54db36e47e
Ещё один подобный winlock интерпол, скрин не сделал, всё на английском там. Так и прикол в том, что, удалял прошлый интерпол у этого же пользователя(Хотя там был winlock через скрипт *.js, а здесь через обычный reg фаил). Через пол часа снова вылез, но другой. Так и не нашёл в чём причина поимки его. Плюс, после этого winlock стала глючить винда, подозрение на сетевые настройки, хотя всё в порядке с ними. Брандмауэр тоже перестал запускаться после winlock, но инет работает нормально. Ковыряния винды ни чем не помогли, за последние дни подозрительных файлов нет. Если он же снова поймает подобный винлок, придётся сносить винду. Стоит WinXp офф с последними обновлениями.
Пойманные файлы вот такие, очень насторожил фаил весом в 90mb, в прошлом винлоке такой же подобный фаил был на 90mb. Никаким архиватором не открывается.
http://i.pixs.ru/storage/5/5/0/virjpg_7165342_8823550.jpg
-
Клиент поймал вирус и по глупости открыл его, (касперский его не видел, а проверил на авасте, обнаружен.) Шифровальщик данных. Это очень печально, потому что sos@ausi_iq108 не поддаётся дешифровке.
Всем советую! ни в коем случае не открывать письма, в которых содержатся *.exe файлы.
Скрин вируса на рабочем столе.
http://s37-temporary-files.radikal.ru/3c9631fdf7cc4b939ddb03bcecf10928/-929206895.png
http://s32-temporary-files.radikal.ru/e974c9c295a04989a4108cdfedfa1922/-929206895.jpg
-
... Это очень печально, потому что sos@ausi_iq109 не поддаётся дешифровке.
http://forum.drweb.com/index.php?showtopic=314850&page=3#entry684741
-
... Это очень печально, потому что sos@ausi_iq109 не поддаётся дешифровке.
http://forum.drweb.com/index.php?showtopic=314850&page=3#entry684741
Это я читал, во-первых нужен dr.web ключ, чтобы оставить им заявку, во вторых, многое они не расшифруют, 108 код новый.