Там всичко е в червено и как да се разбере кое какво е ?

В смисъл ?

Аз не се водя по червеното, чета цялото съобщение и тогава решавам.

Програмата си дава достатъчно инфо и показва пълния цикъл на инфектиране с TDL3.

Ако потребител има проблем с английския да не се занимава с подобни програми, ако не е убеден дали да блокира...може да порови в Google преди това (то заразата си стои в Suspended Mode).

В смисъл ?

Аз не се водя по червеното, чета цялото съобщение и тогава решавам.

Програмата си дава достатъчно инфо и показва пълния цикъл на инфектиране с TDL3.

Ако потребител има проблем с английския да не се занимава с подобни програми, ако не е убеден дали да блокира...може да порови в Google преди това (то заразата си стои в Suspended Mode).

Е а стига с тоя английски -сина ми в 4 клас няма проблем но както и да е ...

Щом ясно обеснява че ще се заразиш няма как да го пропуснеш!

3p1cKFa1L това е открития руткит,Hitman не откри нищо след това.

Не съм гледал надписите и препоръките така че се извинявам!

3p1cKFa1L това е открития руткит,Hitman не откри нищо след това.

TDSSKiller си е свършил работата. Няма причина за безпокойствие.

Е а стига с тоя английски -сина ми в 4 клас няма проблем но както и да е ...

Щом ясно обеснява че ще се заразиш няма как да го пропуснеш!

Не казвам, че е за съвсем лаици, но повечето тук които сме/сте запознати с различните симптоми на заразяване ще си има едно наум нали ?

TDL3 е вече на над година...ясно е, че затакува print spooler услугата отдалеко.

Аз лично харесвам екраните с информацията. Не всички програми дават толкова ясни, детайлни и понятни резултати.

И какво не ти харесва, че дава подробни описания - ми че това си е супер.

А и важното е, че не само засича зловредната активност, но като натиснеш Deny значи Deny...а не като много други...след Deny пак пълна кошница нали ?

Не е перфектна, платена е и няма x64 (не че засега е нужна), но лично аз съм с добри впечатления от нея.

Просто ти пак допускаш "чувствата ти" към DW да ти замаглява преценката понякога. Няма смисъл от подобни неща.

А и важното е, че не само засича зловредната активност, но като натиснеш Deny значи Deny...а не като много други...след Deny пак пълна кошница нали ?

Да нямаш в предвид PCTools Firewall и Private Firewall ?

OSSS наистина е много добра програма. Има добър/отличен HIPS. При мен се беше издънила само на един файл и то беше заради моя грешка ...

Не казвам, че е за съвсем лаици, но повечето тук които сме/сте запознати с различните симптоми на заразяване ще си има едно наум нали ?

TDL3 е вече на над година...ясно е, че затакува print spooler услугата отдалеко.

Аз лично харесвам екраните с информацията. Не всички програми дават толкова ясни, детайлни и понятни резултати.

И какво не ти харесва, че дава подробни описания - ми че това си е супер.

А и важното е, че не само засича зловредната активност, но като натиснеш Deny значи Deny...а не като много други...след Deny пак пълна кошница нали ?

Не е перфектна, платена е и няма x64 (не че засега е нужна), но лично аз съм с добри впечатления от нея.

Просто ти пак допускаш "чувствата ти" към DW да ти замаглява преценката понякога. Няма смисъл от подобни неща.

Ме не аз имах предвид че все още нищо не я е преборило без да ми се обеснява тя просто блокира ... А ти да си жив и здрав и още дълго да ни радваш със зарази

Не съм гледал надписите и препоръките така че се извинявам!

Няма проблеми...

Да нямаш в предвид PCTools Firewall и Private Firewall ?

OSSS наистина е много добра програма. Има добър/отличен HIPS. При мен се беше издънила само на един файл и то беше заради моя грешка ...

Ами малко да...не че ThreatFire е лоша за без пари, но уж е лека, но се усеща някаква мудност в нея...и понякога прави по някой друг проблем с изпъленението на някои легитимни приложения.

И да, тя чат-пат въпреки блокирането пропуска по нещо (и не само тя де, но сега не се сещам за конкретни ситуации).

I Agree.

Ме не аз имах предвид че все още нищо не я е преборило без да ми се обеснява тя просто блокира ... А ти да си жив и здрав и още дълго да ни радваш със зарази

Подобно приятелю, подобно. Всички вие също да сте живи и здрави. Това е най-важното.

Радвам се за оживената и градивна дискусия, но сега ви пожелавам Лека Вечер от мен.

Няма проблеми...

Ами малко да...не че ThreatFire е лоша за без пари, но уж е лека, но се усеща някаква мудност в нея...и понякога прави по някой друг проблем с изпъленението на някои легитимни приложения.

И да, тя чат-пат въпреки блокирането пропуска по нещо (и не само тя де, но сега не се сещам за конкретни ситуации).

I Agree.

Подобно приятелю, подобно. Всички вие също да сте живи и здрави. Това е най-важното.

Радвам се за оживената и градивна дискусия, но сега ви пожелавам Лека Вечер от мен.

Абе градивна... Колко да е градивна както вика шишо бакшишо

http://www.skatafka.com/download.php?file=f04537f40cad02b44250fa647e93716a

VirusTotal

Редактирано 27 октомври 201015 г. от Гост (преглед на промените)

Добро утро... Ето и резултатите от N_R с неговите правила за Malware Defender и инжектиране на mdhook.dll (по-подразбиране не е активирана опцията, защото е възможно после да има конфликти с други приложения, но пък той досега проблеми не е забелязал). А силата на програмата нараства след инжектиране на въпросното DLL. Ако е без активирано инжектиране първите две снимки изобщо няма да ги получите (а те са доста важни и ясни в случая). Логът от TDSSKIller-a е чист. Помолих го да повтори теста с правила по-подразбиране, но с включено инжектиране (мисля, че така е най-справедливо, защото програмата така или иначе си го предлага като опция). И в двата случая се справи блестящо. Суров ХИПС, без бели списъци и дано автора и не я зареже: Без активирана опция за mdhook.dll пак се справя, но са по-непонятни съобщенията и по-незапознатите с програмата могат да позволят достъп.

TDSSKiller.2.4.5.1_27.10.2010_08.54.55_log.txt

Добро утро...Ето и резултатите от N_R с неговите правила за Malware Defender и инжектиране на mdhook.dll (по-подразбиране не е активирана опцията, защото е възможно после да има конфликти с други приложения, но пък той досега проблеми не е забелязал). А силата на програмата нараства след инжектиране на въпросното DLL.Ако е без активирано инжектиране първите две снимки изобщо няма да ги получите (а те са доста важни и ясни в случая). Логът от TDSSKIller-a е чист.Помолих го да повтори теста с правила по-подразбиране, но с включено инжектиране (мисля, че така е най-справедливо, защото програмата така или иначе си го предлага като опция).И в двата случая се справи блестящо. Суров ХИПС, без бели списъци и дано автора и не я зареже:Без активирана опция за mdhook.dll пак се справя, но са по-непонятни съобщенията и по-незапознатите с програмата могат да позволят достъп.

Демек прехвалените Rootkit-и които пишат директно по MBR не са толкова страшни и съвършенни колкото ги представят , това е и доказателство че HIPS приложенията могат да ги блокират / затварят като плеърчета

Демек прехвалените Rootkit-и които пишат директно по MBR не са толкова страшни и съвършенни колкото ги представят , това е и доказателство че HIPS приложенията могат да ги блокират / затварят като плеърчета

Всеки рууткит е страшен докато е НОВ и докато не се измисли начин за откриване и елемимиране на конкретния.

Така е било, така и ще бъде. След като е толкова разпространен тогава по-лесно ще бъде разгадан.

Проблемите са рууткитте, които се пишат за конкретна машина...те ще имат ограничено разпространение и съответно POOR резултати във VirusTotal.

А докато бъде открит той вече ще си е свършил работата.

Специално TDL3 е вече над година. Няма рууткит колкото и съвършен да е той да остане вечно скрит.

А и MBR вариантите се откриват и отстраняват по-лесно...но какви възможности имат създателите на зловреден софтуер срещу малките вратички оставяни от PatchGuard на x64. (твоята любима ОС)!!

Поне засега (явно не големи)

Всеки рууткит е страшен докато е НОВ и докато не се измисли начин за откриване и елемимиране на конкретния.Така е било, така и ще бъде. След като е толкова разпространен тогава по-лесно ще бъде разгадан.Проблемите са рууткитте, които се пишат за конкретна машина...те ще имат ограничено разпространение и съответно POOR резултати във VirusTotal.А докато бъде открит той вече ще си е свършил работата.Специално TDL3 е вече над година. Няма рууткит колкото и съвършен да е той да остане вечно скрит.А и MBR вариантите се откриват и отстраняват по-лесно...но какви възможности имат създателите на зловреден софтуер срещу малките вратички оставяни от PatchGuard на x64. (твоята любима ОС)!!Поне засега (явно не големи)

По принцип за HIPS програмите няма значение на колко години е рууткита , защото няма нужда от дефиниции.

Уязвимостта в обвивката на Windows леко би шута и на прехваления PatchGuard на x64 , та така.

Добро утро...

Ето и резултатите от N_R с неговите правила за Malware Defender и инжектиране на mdhook.dll (по-подразбиране не е активирана опцията, защото е възможно после да има конфликти с други приложения, но пък той досега проблеми не е забелязал). А силата на програмата нараства след инжектиране на въпросното DLL.

Ако е без активирано инжектиране първите две снимки изобщо няма да ги получите (а те са доста важни и ясни в случая). Логът от TDSSKIller-a е чист.

Помолих го да повтори теста с правила по-подразбиране, но с включено инжектиране (мисля, че така е най-справедливо, защото програмата така или иначе си го предлага като опция).

И в двата случая се справи блестящо. Суров ХИПС, без бели списъци и дано автора и не я зареже:

Без активирана опция за mdhook.dll пак се справя, но са по-непонятни съобщенията и по-незапознатите с програмата могат да позволят достъп.

Може ли да ми пратиш няколко рууткита ,за да ги пробвам с различни програми Благодаря предварително !

По принцип за HIPS програмите няма значение на колко години е рууткита , защото няма нужда от дефиниции.

Така е, но аз говорех за откриването му на системи, ако не е използван HIPS и ако няма очевидни симптоми за неговото присъствие!

Уязвимостта в обвивката на Windows леко би шута и на прехваления PatchGuard на x64 , та така.

Така е, но все пак кръпки бяха пуснати...ако се държи включен UAC и спрян Autorun-a положението доста се подобрява.

Но дори и така да е...опасностите за x64 засега се броят на пръсти на ръката...

Рано или късно ще ти се наложи да преминеш към x64 ера. Говори се, че бъдещите версии на Windows ще са само x64 (както направиха и Adobe с CS5 версията на Premiere).

Softpedia: What do you think about the security of Windows 7 compared to Vista and XP?

Ondrej Vlcek: The security model in Windows 7 is very similar to how it was in Vista, because the most important parts were implemented in Vista. I see more differences between the 32-bit and 64-bit versions. I do agree with the statement that 64-bit is currently more secure and there are two reasons for this.

One is that there are almost no rootkits for 64-bits. That is very important.

Softpedia: There is a new one with signed drivers. [Stuxnet]

Ondrej Vlcek: Correct. But if you look at the magnitude of the problem on 32- and on 64-bit, it's just incomparable. The other reason is that 64-bit users are still in minority and the bad guys will always focus on the majority.

Generally I think that even though UAC is something that most people hate, from the global point of view it had one significant effect on the whole ecosystem and that is that software vendors finally started digitally signing their code. Because with UAC you get the prompt that looks very different whether the code is signed or not.

Most of the software companies now sign their code and that is very very helpful for the AV industry as a whole, because it's much easier to whitelist for example. Before that, there was no easy way to find the origin of files. Now with digital signatures in place it's much easier and much more transparent. This is one of the indirect effects of UAC that we really value and we think it was a great thing.

Може ли да ми пратиш няколко рууткита ,за да ги пробвам с различни програми Благодаря предварително !

Ти като че ли нямаш...ама оки...ще пратя някои (ако ги нямаш де), но довечера, че се налага да излизам по задачки.

Даже доста се застоях.

След повече от 24ч.след изпращането на 2та файла приносители на руткит TDSS TDL4 Няма никаква реакция от страна на Нортън 2011 нито при сканиране,нито при стартиране...браво ве мушмуроци

След премахването на руткита с TDSS-KILLER на Kaspersky спря манипулирането на файла svchost.exe от страна на руткита

Редактирано 27 октомври 201015 г. от  (преглед на промените)

Norton нещо ... и TF не се обади ... Май ще се връщам на гущера.

http://www.skatafka.com/download.php?file=9ba0dbea277c6197b23883f3d3662508

3 /43 (7.0%)

http://www.virustotal.com/file-scan/report.html?id=22cadd7a510b9d04b2d4e1c20085981df943b17bb788bee591f0a013c606a956-1288296486

И AVG не се обажда.

hxxp://www.skatafka.com/download.php?file=983ea42b38ae0d212d164e58c583a34f

3 файла

AVG още се мъчи с единия !

С малко закъснение. Бах ги в *ъза от Аваст на тепсия трябва да им поднасям...

Убиеца на АVG hxxp://www.skatafka.com/download.php?file=aaacf3b44a502654dd3664110d55ef03

Убиеца на АVG hxxp://www.skatafka.com/download.php?file=aaacf3b44a502654dd3664110d55ef03

Все още ли не се справят с него. :>

Все още ли не се справят с него. :>

http://www.virustotal.com/file-scan/report.html?id=3f5ebee98b7bba3c3abd1b17dfea797d3d7c2bdb24ea70f44a5a1a117c9e1b1d-1288298844

Още е топъл

3 /43 (7.0%)

http://www.virustotal.com/file-scan/report.html?id=22cadd7a510b9d04b2d4e1c20085981df943b17bb788bee591f0a013c606a956-1288296486

Рейтинг Goodware...писах аз на VT Team дали е уместно анонимни потребители да постват коментари и да подвеждат потребителите.

Сега ще разстрелям файла на виртуалката да видя колко е Goodware.

Честно казано файла май или не бачка под виртуалка или нищо не прави.

Стартира и се затвори доста бързо, имаше два *.tmp файла дропнати в C:\WINDOWS\Temp и това беше.

Няма реакция от OSSS, няма незпознати процеси, няма опити за връзка с нета, няма засичане на промени от MBAM.

Някой ще потвърди ли ? Бих тестал и на реалната, но се съмнявам да върви на Windows 7 x64.

Всъщност нямам нужда от потвърждение...файла няма PE структура...и беше изяден от Timesaver-a...