biomednet
Schwarz Meister | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexgrits Цитата: Какой сэмпл использовали? | старый семпл mal (7).exe от архива 2014-03-31, там еще эксплоит шел doc'овский. я его обычно и гоняю. Лечение активного заражения Zbot/Necurs антивирус Касперский Internet Security 15.0.1.130 Technical Previews Сэмплы http://rghost.ru/56983128 Виртуализация VMWare Workstation 10.0.3 b.1895310 Операционная система Windows 7x86 Ultimate SP1 все текущие обновления по 04.07.2014 В систему Windows 7SP1x86 устанавливается антивирус, все настройки выводятся на максимум, кроме одной - я обязал антивирус уступать ресурсы системе на старте. Затем в антивирусе отключается правой кнопкой из трея защита "до перезагрузки". Далее система заражается Zbot/Necurs (3 семпла подряд с запуском от администратора и выдержкой 5 минут) и вручную перезагружается. В связи с кучей вышедших обновлений система уже не дает сообщений об ошибках и автоматическую перезагрузку, как полгода назад. Итак, система перезагружается, Касперский стартует с активной защитой, МЫШь и КЛАВИАТУРА РАБОТАЮТ. Я запускаю полное сканирование и после проверки 2 файлов монитор обнаруживает проблему - вирусное заражение оперативной памяти. Я соглашаюсь с применением активного лечения заражения, Каспер отрабатывает и перезагружает компьютер. Выводится сообщение от службы восстановления, которая предлагает мне отключить автозапуск. Я не понял, как это поможет избавиться от остаточных следов заражения, но на всякий случай соглашаюсь. Немедленно возобновляется процесс полного сканирования, прерванный на время активного лечения. Лог можно посмотреть После полного сканирования инфекций Касперский не обнаружил. Запускается задача поиска руткитов, на ее фоне (пока она идет) смотрим Хитманом (билд 220) - все чисто. Что не понравилось: "HEUR:Trojan.Win32.Generic" можно наверно с марта месяца поставить эту хрень в сигнатурный детект? В принципе, с другой стороны, Касперский все чистит и без сигнатурного детекта. Возможно, я не прав. Теперь пробуем усилить защиту и устанавливаем настройки так, чтобы антивирус НЕ уступал ресурсы операционной системе на стпарте и снова пробуем вылечиться. Лечение активного заражения Zbot/Necurs (ИЗМЕНЕННЫЕ условия проведения теста) антивирус Касперский Internet Security 15.0.1.130 Technical Previews В систему Windows 7SP1x86 устанавливается антивирус, затем в нем отключается правой кнопкой из трея защита "до перезагрузки". Затем система заражается Zbot/Necurs (по местной версии имеющей номер №1), ПРАВОЙ КНОПКОЙ ИЗ ТРЕЯ КАСПЕРСКИЙ ВЫГРУЖАЕТСЯ ИЗ ПАМЯТИ и Windows вручную перезагружается. В связи с кучей вышедших обновлений система уже не дает сообщений об ошибках и автоматическую перезагрузку. Имеем синее окно BSOD Потом система предлагает либо восстановление, либо нормальный запуск. Выбираю нормальный запуск. \ Сбой продолжается. Система вновь предлагает запустить средство восстановления. Дампы Касперского из programData (104 Мб) (не следует относить это падение к работе именно бета версии - на 14 у меня наблюдались падения в реальной системе раза два в год, но пожалуй, не более). на всякий случай перезагружаюсь...и заражаю систему. Еще раз уточню - на этот раз я СНЯЛ галочку "уступать ресурсы системе при загрузке". И вот теперь Касперский и рушит зараженную Zbot/Necurs систему! На этот раз предлагаю ПОЛНЫЙ дамп памяти Windows при сбое Дампы Касперского из programData (12 Мб) Системное сообщение после восстановления --- Итак, СБОЙ ПРОИСХОДИТ только при снятой галочки "уступать ресурсы системе при загрузке" (в разделе "производительность" настроек Касперского). Значит, можно с уверенностью сказать - лучше эту галочку не снимать, хотя Ксспер и уверяет, что это "снижает защиту". Тут, блин, как бы без системы не остаться совсем... а то и защищать нечего будет! Предлагаю все же считать новую версию Касперского прошедшей данный тест. | Всего записей: 2295 | Зарегистр. 12-08-2002 | Отправлено: 17:52 04-07-2014 | Исправлено: biomednet, 15:14 20-07-2014 |
|