Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 15)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168

Открыть новую тему     Написать ответ в эту тему

gyra

Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Обзор и тестирование антивирусов

и других средств безопасности на их основе
под Windоws 98/XP/Vista/7/8/8.1/10


Закрываемся от вируса-шифровальщика WannaCry
Карта распространения WannaCry в реальном времени | Ещё карта
Правила публикации ссылок на образцы | Правила проведения и оформления тестов...
Хостинги для скриншотов | Online-сервисы для комплексного анализа подозрительных файлов
Основные вендоры антивирусной индустрии... | Таблица
Отправка подозрительных файлов одновременно всем вендорам...
Более или менее независимые тестовые лаборатории антивирусных решений
Набор поведенческих онлайн анализаторов
AVZ | AdwCleaner — дополнение к стационарным антивирусам
Антивирусы не требующие инсталяции | Смежные темы на Ru-Board

Всего записей: 7245 | Зарегистр. 18-02-2006 | Отправлено: 10:51 04-12-2018 | Исправлено: gyra, 09:55 05-12-2018
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#PO MISSING.js

F-Secure Ultralight,запуск
в памяти висят 2 процесса wscript и прописка в АЗ


Цитата:
#LMIRescue.exe

запуск,открылось окно программы

закрыл программу,процесс выгрузился из памяти.

Всего записей: 2039 | Зарегистр. 23-01-2017 | Отправлено: 11:12 31-01-2019
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#am

WD
запуск

 

Цитата:
#LMIRescue.exe

распаковка

 

Всего записей: 1791 | Зарегистр. 26-04-2017 | Отправлено: 11:16 31-01-2019
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#gx


Всего записей: 2039 | Зарегистр. 23-01-2017 | Отправлено: 11:21 31-01-2019
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#gx

WD
распаковка


Всего записей: 1791 | Зарегистр. 26-04-2017 | Отправлено: 11:36 31-01-2019
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#gx

F-Secure Ultralight,распаковка

Всего записей: 2039 | Зарегистр. 23-01-2017 | Отправлено: 11:47 31-01-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#PO MISSING.js

 
ESET Endpoint Security 7.0
 
Согласно правилам HIPS, доступ к файлу приложений, файлов и программ запрещён, выход в сеть запрещён, изменение любых параметров реестра заблокировано
 

 
Если убрать все свои правила и оставить HIPS на автомате, то получается во что:  
 

 
В автомате происходит блокировка, но идёт туча сообщений о попытке неизвестного приложения внести свои корректировки в реестр. В папке Roaming появился файл и был удалён EES, но сообщения о попытке выйти в сеть продолжались пару секунд и прекратились. До этого в процессах висели скрипты, через минуту они исчезли  
 
Неизвестное приложение пытается получить доступ к wscript.exe для создания нового файла или приложения и для выхода в сеть. Оба заблокированы (порт 2019 TCP IP: 176.32.194.244) на 4 часа.  
 

 
 
 
Сканирование (как обычно) Касперским, BitDefender и ESET ничего подозрительного не нашло.  
 
 
 

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 11:50 31-01-2019 | Исправлено: Zbarsk, 12:27 31-01-2019
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#1

 
#2

 

Всего записей: 1791 | Зарегистр. 26-04-2017 | Отправлено: 12:07 31-01-2019
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#2  

KES11
Запуск:

Всего записей: 1470 | Зарегистр. 21-11-2017 | Отправлено: 12:10 31-01-2019
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
F-Secure Ultralight,запуски

Цитата:
#1



Цитата:
#2

запустилась консоль

далее срабатывает вебзащита

АЗ,ПЗ,сканеры-чисто
https://jpegshare.net/6b/f5/6bf56182dee032a1c84fc5434f0f1d7e.png.html
https://jpegshare.net/cb/9a/cb9a27eafd6b5ffa8596869531dc3401.png.html

Всего записей: 2039 | Зарегистр. 23-01-2017 | Отправлено: 12:23 31-01-2019 | Исправлено: Gall, 12:37 31-01-2019
Nevi Dimka

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#gx

Походу Нортон что-то попутал)))

Всего записей: 2488 | Зарегистр. 10-12-2015 | Отправлено: 12:31 31-01-2019
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Походу Нортон что-то попутал)))  

Да, чет размяк    

Всего записей: 1470 | Зарегистр. 21-11-2017 | Отправлено: 12:38 31-01-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#1

 
Собственно, то же самое - с моими правилами доступ в принципе запрещён, а если правила убрать, то HIPS на автомате не выпускает в сеть скрипты и неизвестные приложения и файлы.  
 

 
 
Добавлено:

Цитата:
#2

 
В сеть доступ запрещён для powershell.exe
картинка та же (без правил, HIPS на автомате)
 

 
АЗ и ПЗ чисто - это хорошо, но меня волнует вопрос: ЫСЭТ, ХДЕ ДЫТЭКТЫ СЕГОДНЯ? Выходной, что-ли? Всего 2 обновления вместо шести-семи.

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 12:40 31-01-2019 | Исправлено: Zbarsk, 13:37 31-01-2019
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#f


Всего записей: 2039 | Зарегистр. 23-01-2017 | Отправлено: 13:43 31-01-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#f

 
Опять то же самое - с моими правилами HIPS-а вот такое: выход в сеть и создание новых приложений для wscript.exe запрещено
 

 
Если убрать правила и просто оставить HIPS на автомате, то вот такое: идут множественные запросы выхода в сеть для скриптов и powershell.exe, которые блокируются - но алертов больше ста.  
 

 
Детекта по-прежнему нет.

Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 14:10 31-01-2019 | Исправлено: Zbarsk, 14:13 31-01-2019
Imunhoteb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zbarsk
В чём фишка ESET на французском? Владеешь языком?

Всего записей: 748 | Зарегистр. 03-07-2013 | Отправлено: 14:41 31-01-2019
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#f

WD
скан по требованию


Всего записей: 1791 | Зарегистр. 26-04-2017 | Отправлено: 14:54 31-01-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Imunhoteb
 
Да, но не в этом дело. Смотреть на "Вы защищены" целый день у меня не хватает терпения. Я об этом писал много страниц назад. От чего я защищён? От гриппа, триппера или гонореи? У Касперского в данном случае формулировка гораздо лучше. Да и у всех остальных тоже.  
 
 
Добавлено:

Цитата:
#1  

 
Появился детект и файл сразу же был удалён. Базы от 31.01.2019 (18797)
 

 
 
Добавлено:

Цитата:
#f

 
Тоже появился детект от EES 7
 
Вирус Win32/Spy.Grandoreiro.A был обнаружен в файле, который пытался получить доступ к Microsoft Windows Based  Script Host используя веб-сайт caprimfactoring.net. Доступ к веб-сайту был заблокирован. Вот так вот ))
 


Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 15:01 31-01-2019 | Исправлено: Zbarsk, 16:09 31-01-2019
Gall

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#Rm

 
 
Добавлено:

Цитата:
#Rm

F-Secure Ultralight,запуск
пошифровка


Всего записей: 2039 | Зарегистр. 23-01-2017 | Отправлено: 16:21 31-01-2019
Zbarsk

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В общем ESET проснулся - ещё один детект.  
 

Цитата:
#2

 
В общем, работа фильтра HTTP и файловой защиты одновременно. При распаковке батник висит и висит, но его запуск вызывает консоль и тучу алертов в виде веб-адресов (которые блокируются), поскольку в каждом вирус со своей модификацией, который лезет к powershell.exe. Для защиты сети блокируется ЛЮБОЙ доступ любого ресурса или файла или программы, которой понадобился бы powershell.exe. С другой стороны, блокируются веб-адреса, с которых идут пакеты. Когда всё это заблокировано, батник удаляется. Такая себе матрёшка из веб-вирусов. Средней категории, скорее я бы сказал malware. Алертов и модификаций, а также веб-адресов было много, длилось это минуту, потом всё заблокировалось и удалилось. Вот некоторые модификации и веб-адреса
 

 

 

 


Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 16:45 31-01-2019 | Исправлено: Zbarsk, 17:30 31-01-2019
Imunhoteb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#Rm

DrWeb SS Win 10x64 (VMware Workstation 15)
Детекта нет. Блокировка при запуске.

Всего записей: 748 | Зарегистр. 03-07-2013 | Отправлено: 16:50 31-01-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168

Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 15)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru