11.11.2012, 17:54 | #101 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Цитата:
------------- далее, to Ark ПРИМЕР 4. http://rghost.ru/41497153 описать последовательность лечения подобного заражения + скрипт лечения. |
|
11.11.2012, 21:33 | #102 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Ark, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90...-poiska#Item_1 |
11.11.2012, 21:44 | #103 (permalink) | |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
safety, Можно узнать на что жалуется пользователь?
---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ---------- Цитата:
|
|
11.11.2012, 21:56 | #105 (permalink) |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
safety
Я бы в качестве критерия поиска задал значение. Services\newdriver ( содержит ) И .sys ( содержит ) Или Ядра 1 ( содержит ) Задавать конкретное имя не самая лучшая идея = пример. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
11.11.2012, 22:04 | #106 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
это визуальный пример: как создавать простые и сложные критерии. а как, и кто будет создавать критерии - это уже должна работать логика, этому труднее научить... этому уже в ВУЗ-ах и колледжах учат на прикладной математике.
--------- (я просто добавил правило: ссылка ~ newdriver) |
11.11.2012, 22:13 | #107 (permalink) | |||
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
По этим данным похоже на Sality, но Редактор реестра - Диспетчер задач - Свойства папки не заблокирован и ошибки win32 нету:
Цитата:
Цитата:
Цитата:
|
|||
11.11.2012, 22:15 | #108 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
критерий сделан правильно, имя драйвера здесь необязательно уточнять, достаточно простого правила.
----------- подсказываю по симптому, файловое заражение есть, но не sality |
11.11.2012, 22:20 | #109 (permalink) |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
Так и надо написать.
Вирус меняет своё имя. Вывод: Задавать критерий поиска по имени нельзя. В силу того, что при смене/изменении имени критерий не сработает. что приведёт к пропуску вируса при проверке. Это относиться и к SHA1 файла. И привести пример устойчивых значений. Это: расширение файла. отсутствие/наличае цифровой подписи. тип старта/запуска/приоритета |
11.11.2012, 22:21 | #110 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|