Автор Тема: Борьба с руткитами  (Прочитано 10746 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн Юр

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 2067
  • Похвалили: 103 раз(а)
Борьба с руткитами
« : 01/06/2011 19:28:56 »
Страшно мне сделалось, когда я посмотрел результат сканирования AVZ. Вот только часть:
Цитировать
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[64D0B716]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[64D0B9A6]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[64D0BB26]
Функция user32.dll:UnhookWinEvent (685) перехвачена, метод APICodeHijack.JmpTo[64D0B896]
Функция user32.dll:UnhookWindowsHookEx (687) перехвачена, метод APICodeHijack.JmpTo[64D0BCA6]
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ChangeServiceConfig2A (54) перехвачена, метод APICodeHijack.JmpTo[64D08286]
Функция advapi32.dll:ChangeServiceConfig2W (55) перехвачена, метод APICodeHijack.JmpTo[64D083B6]
Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод APICodeHijack.JmpTo[64D07AD6]
Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод APICodeHijack.JmpTo[64D07EC6]
Функция advapi32.dll:CreateServiceA (102) перехвачена, метод APICodeHijack.JmpTo[64D06E36]
Функция advapi32.dll:CreateServiceW (103) перехвачена, метод APICodeHijack.JmpTo[64D072A6]
Функция advapi32.dll:DeleteService (177) перехвачена, метод APICodeHijack.JmpTo[64D078D6]
Функция advapi32.dll:SetServiceObjectSecurity (572) перехвачена, метод APICodeHijack.JmpTo[64D09D36]


В ужасе бросился я искать антируткиты.
avgarkt 1.1.0.42 как Сизиф борется с каким-то скрытым драйвером в папке Drivers. После удаления он, видимо, восстанавливается, но под другим именем, потому что после ребута и запуска утилиты в этой папке появляется новый скрытый файл, который ранее утилита не находила.

Последний раз после запуска AVG я решил этот драувер не удалять, а проверить систему утилиткой Касперского TDSSKiller, но она этого драйвера не нашла, зато нашла там же другой драйвер sptd.sys, который, по-идее, является драйвером для работы виртуальных приводов.

Зато его нашла GMER. А еще кучу всяких страшных записей в логе, включая spqy.sys .

Но притом, что AVZ обнаруживает перехваты системных функций, в итоге она пишет:
Цитировать
Проверка завершена
Просканировано файлов: 403, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0


Касперская примочка тоже резюмирует: заражений не обнаружено.

В итоге я в недоумении, чем заражен мой комп и заражен ли вообще.
Есть только  миг
 

Оффлайн angre

  • Резидент
  • Старожил
  • ****
  • Сообщений: 361
  • Похвалили: 118 раз(а)
    • Портабельные программы для ККТ
Re: Борьба с руткитами
« Ответ #1 : 01/06/2011 20:15:03 »
Можно попробовать Sophos Anti-Rootkit
http://downloads.sophos.com/support/cleaners/sar_15_sfx.exe
 

Онлайн GeorgSerg

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 8379
  • Похвалили: 2167 раз(а)
Re: Борьба с руткитами
« Ответ #2 : 02/06/2011 00:14:06 »
Юр, а что критичного ты видишь ? Перехваты были, есть и будут всегда.
Кроме AVZ  ведь туева хуча  процессов (да и программ) запущена .
Попробуй, как angre прописал - он плохого не посоветует ! Как - то давненько
уже я по его рекомендации вылечился ComboFix_ом  , ессно аккуратно - зело
убойная прога .
Если не получится - ну  тогда приходи в гости в пятницу - RegRun Security Suite
 Gold и впридачу Каспер на Линуксе, запуск  с СиДюка , тебя ждут  ..
"Подавая руку помощи, не забудь увернуться от пинка благодарности." (с)
 

Оффлайн Юр

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 2067
  • Похвалили: 103 раз(а)
Re: Борьба с руткитами
« Ответ #3 : 02/06/2011 14:25:00 »
Юр, а что критичного ты видишь ? Перехваты были, есть и будут всегда.

Меня сильно смущает то, что эти неустановленные проги зачем-то размещают скрытые драйверы. Зачем легальной проге скрывать свои драйверы? Да и название у метода криминальное (угоня́ть самолёт, занима́ться возду́шным пира́тством, останови́ть автомобиль и т.п. с це́лью грабежа́; соверши́ть налёт, ограбле́ние, налёт). :)

Надо бы отправить отчеты антивирусологам, да их там и так завалили просьбами.

Попробуй, как angre прописал - он плохого не посоветует !

Ну, это само собой. Просканировал Sophos-ом, он тоже ругается на скрытый sptd.sys, но категорично не предлагает его удалить. Еще нашла пару гадостей с неприлично длинными нечитабельными названиями в папке временных файлов Temporary Internet Files (позор Касперычу?), и они тоже зачем-то скрыты (ну, их-то точно казню).
А вот постоянно самовосстанавливающийся файл Sophos почему-то проигнорировал.

Еще ругается на экзешник от IDA Pro Advanced v5.5 (я пользуюсь младшей версией). Вот теперь думаю, запускать ли его?

Если не получится - ну  тогда приходи в гости в пятницу - RegRun Security Suite
 Gold и впридачу Каспер на Линуксе, запуск  с СиДюка , тебя ждут  ..

Путешествие к тебе, конечно, всегда приятное предприятие, но на машину я не заработал, а тащить на себе системный блок мне не фартит. :)  Или ты про дистрибутивы?

angre, спасибо.
Есть только  миг
 

Оффлайн Юр

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 2067
  • Похвалили: 103 раз(а)
Re: Борьба с руткитами
« Ответ #4 : 02/06/2011 14:33:52 »
Их хелпа AVZ:
Цитировать
Обычные программы (не говоря уже о компонентах системы) не прибегают к маскировке своих процессов и файлов, поэтому маскирующийся процесс однозначно подозрителен. Однако однозначно судить о вредоносность нельзя - например, известен ряд безопасных программ, применяющих маскировку процесса и файлов для их защиты от обнаружения и удаления троянскими программами.
Но ряд таких программ мне пока не известен.
Надеюсь, что подмены сделаны антивирусным монитором.
Есть только  миг
 

Онлайн GeorgSerg

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 8379
  • Похвалили: 2167 раз(а)
Re: Борьба с руткитами
« Ответ #5 : 02/06/2011 17:29:47 »
"...тащить на себе системный блок..." Ы !!! Я даже в тяпницу не
смог бы додуматься до ТАКОГО изврата ... СиДюк в маааленькой
такой коробочке да флешка впридачу...
P.S. "- Перехватчик sptd.sys это зловредно?
        - Нет, если у вас есть ( или был) Alcohol 120% или Demon Tools."
P.P.S. 1) прочитать   "Q: Как я могу удалить  драйвер SPTD для 32-разрядных ОС?"
         2)  скачать по сЦыле SPTDinst-v143-x86.exe, запустить его и нажать  "Uninstall".
"Подавая руку помощи, не забудь увернуться от пинка благодарности." (с)
 

Оффлайн Юр

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 2067
  • Похвалили: 103 раз(а)
Re: Борьба с руткитами
« Ответ #6 : 02/06/2011 19:07:44 »
Антивирусники посмотрели мои логи и сказали, что могу спать спокойно. Тойсть, работать. :)
Есть только  миг
 

Онлайн GeorgSerg

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 8379
  • Похвалили: 2167 раз(а)
Re: Борьба с руткитами
« Ответ #7 : 02/06/2011 21:27:03 »
Дядь Юр , а вот тебе на закуску (в тяпницу , ессно) -  попробуй- ка  скачнуть
 и запустить утилиту Registry Trash Keys Finder - ты удивишься , увидев ,
скока и чего на твоем компе имеется, о чем ты даже и не подозреваешь ..

"Возможен просмотр содержимого найденных ключей Реестра,созданных
с помощью специального трюка , просмотр содержимого которых, равно
как и их редактирование и удаление, стандартными средствами невозможны.." (c)

Веселой ТЯПНИЦЫ после просмотра результата , коли в гости не желаешь !! 
 :D :D :D :D :D :D
"Подавая руку помощи, не забудь увернуться от пинка благодарности." (с)
 

Онлайн Master X

  • https://t.me/MasterX483
  • Глобальный модератор
  • Эксперт
  • ****
  • Сообщений: Я форумный маньяк!!
  • Похвалили: 1509 раз(а)
  • Для Спасибок:9+2!0№2;9!6%6(9)5_0
  • Откуда: г.Горький
    • АРХИВ_Профсоюза
Re: Борьба с руткитами
« Ответ #8 : 02/06/2011 22:14:29 »
GeorgSerg забыл UPS! Вирус в проге(Win32\Heur). на официальный источник  ;)
« Последнее редактирование: 03/06/2011 01:35:40 от Bit »
Linux is working. The future is open(Ц)IBM
Если найдёте ошибки в форуме или чего нужно исправить пишите мне в личку
 

Онлайн GeorgSerg

  • Резидент
  • Эксперт
  • ****
  • Сообщений: 8379
  • Похвалили: 2167 раз(а)
Re: Борьба с руткитами
« Ответ #9 : 03/06/2011 01:29:35 »
ЫЫЫххх ... ну .. ээ.. нет слов .. Весь коварный замысел  порушил ведь, редиска  !!
Ну вот представь - прочитал Дядь Юр мой пост - ессно , заинтересовалсо -стал
шарить по дебрям Инета - шарил, шарил - нету , надоело - ко мне в гости пришел !

М-да .. ну и мОлодежь нонеча пошла - не уважаешь ты мои старые фаберже ,
дорогой Мастер Х ..
P.S. не - я про зловредов всегда помню - стараюсь проверять сЦылы перед
выкладыванием в посте .. Но тут уже не все от меня зависит , ессно ...
« Последнее редактирование: 03/06/2011 01:54:48 от GeorgSerg »
"Подавая руку помощи, не забудь увернуться от пинка благодарности." (с)
 

 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24