1. такая вероятность есть, скажем некоторые извлеченные сигнатуры фолсят достаточно сильно, (Stayerlown), поэтому я даже и не пытаюсь извлечь сигнатуру из этого трояна. Другие сигнатуры при совпадении с чистым файлом просто удаляю .(Не будем уподобляться Плюшкину, который хранит всякий хлам в своем чулане).
за фолсом надо следить - через проверки на ВТ, через внимательный просмотр инфо о файле. 2. Да, возможно. возможно по каким то причинам его нет в основном автозапуске. (Скажем, часто, SpyEye не попадает в подозрительные, но, правда он есть в основном, а вот файлики от Dorkbot часто могут оказаться не в основном автозапуске, но их можно найти в категории все. (Поэтому, если нет файлов, которые находятся в причинно-следственной связи с описанным симптомом, нет в основном и в подозрительных, то надо внимательно посмотреть еще и в категории все. |
safety, Отлично ,спасибо большое :)
Пока вспомнил,задам еще один вопрос. Заметил,что при лечении блокеров(загрузка с LiveCD и выбором системы) и создании образа зараженной системы,когда просматриваю образ,то много подозрительных файлов..Причем все легитимные.Если снять птичку с пункта "скрыть известные" то добавляется несколько файлов..В логе написано,что не удалось проверить подпись. Это случайно не сохранение образа "без проверки цифровых подписей" ? |
скорее всего, это использование загрузочного Live.CD, созданного на базе BART PE, или miniXP, в котором не поддерживается работа с цифровым каталогом. (поэтому большинство системных файлов оказывается без цифровой подписи). Работа с каталогом безопасности поддерживается начиная с WinPE, созданных на базе Vista или Win7.
-------- т.е. лучше использовать для исследования и получения образа системы Winpe на базе Win7. |
safety, Ясно,спасибо большое :)
|
по CZOO: обращайте внимание, чтобы в settings было правильно настроено архивирование при запуске uVS из под Live.CD. (возможно, там даже внешнего архиватора нет.)
|
safety, Спасибо огромное,буду иметь ввиду ;)
|
т.е. в settings добавляются параметры
Цитата:
|
safety, Спасибо ;)
|
safety, Добрый вечер! Подскажите пожалуйста! В логе uVS ,напротив файла написано "файл не найден" , это аналог "file missing" в HJ ?
|
Hotab,
да |
Часовой пояс GMT +4, время: 17:16. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.