Главная категория > Компьютеры, сканеры ШК, Клавиатуры, принтеры и ПО и т.д.

Борьба с руткитами

(1/2) > >>

Юр:
Страшно мне сделалось, когда я посмотрел результат сканирования AVZ. Вот только часть:

--- Цитировать ---Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[64D0B716]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[64D0B9A6]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[64D0BB26]
Функция user32.dll:UnhookWinEvent (685) перехвачена, метод APICodeHijack.JmpTo[64D0B896]
Функция user32.dll:UnhookWindowsHookEx (687) перехвачена, метод APICodeHijack.JmpTo[64D0BCA6]
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ChangeServiceConfig2A (54) перехвачена, метод APICodeHijack.JmpTo[64D08286]
Функция advapi32.dll:ChangeServiceConfig2W (55) перехвачена, метод APICodeHijack.JmpTo[64D083B6]
Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод APICodeHijack.JmpTo[64D07AD6]
Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод APICodeHijack.JmpTo[64D07EC6]
Функция advapi32.dll:CreateServiceA (102) перехвачена, метод APICodeHijack.JmpTo[64D06E36]
Функция advapi32.dll:CreateServiceW (103) перехвачена, метод APICodeHijack.JmpTo[64D072A6]
Функция advapi32.dll:DeleteService (177) перехвачена, метод APICodeHijack.JmpTo[64D078D6]
Функция advapi32.dll:SetServiceObjectSecurity (572) перехвачена, метод APICodeHijack.JmpTo[64D09D36]
--- Конец цитаты ---


В ужасе бросился я искать антируткиты.
avgarkt 1.1.0.42 как Сизиф борется с каким-то скрытым драйвером в папке Drivers. После удаления он, видимо, восстанавливается, но под другим именем, потому что после ребута и запуска утилиты в этой папке появляется новый скрытый файл, который ранее утилита не находила.

Последний раз после запуска AVG я решил этот драувер не удалять, а проверить систему утилиткой Касперского TDSSKiller, но она этого драйвера не нашла, зато нашла там же другой драйвер sptd.sys, который, по-идее, является драйвером для работы виртуальных приводов.

Зато его нашла GMER. А еще кучу всяких страшных записей в логе, включая spqy.sys .

Но притом, что AVZ обнаруживает перехваты системных функций, в итоге она пишет:

--- Цитировать --- Проверка завершена
Просканировано файлов: 403, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
--- Конец цитаты ---


Касперская примочка тоже резюмирует: заражений не обнаружено.

В итоге я в недоумении, чем заражен мой комп и заражен ли вообще.

angre:
Можно попробовать Sophos Anti-Rootkit
http://downloads.sophos.com/support/cleaners/sar_15_sfx.exe

GeorgSerg:
Юр, а что критичного ты видишь ? Перехваты были, есть и будут всегда.
Кроме AVZ  ведь туева хуча  процессов (да и программ) запущена .
Попробуй, как angre прописал - он плохого не посоветует ! Как - то давненько
уже я по его рекомендации вылечился ComboFix_ом  , ессно аккуратно - зело
убойная прога .
Если не получится - ну  тогда приходи в гости в пятницу - RegRun Security Suite
 Gold и впридачу Каспер на Линуксе, запуск  с СиДюка , тебя ждут  ..

Юр:

--- Цитата: GeorgSerg от 02/06/2011 00:14:06 ---Юр, а что критичного ты видишь ? Перехваты были, есть и будут всегда.
--- Конец цитаты ---

Меня сильно смущает то, что эти неустановленные проги зачем-то размещают скрытые драйверы. Зачем легальной проге скрывать свои драйверы? Да и название у метода криминальное (угоня́ть самолёт, занима́ться возду́шным пира́тством, останови́ть автомобиль и т.п. с це́лью грабежа́; соверши́ть налёт, ограбле́ние, налёт). :)

Надо бы отправить отчеты антивирусологам, да их там и так завалили просьбами.


--- Цитата: GeorgSerg от 02/06/2011 00:14:06 ---Попробуй, как angre прописал - он плохого не посоветует !
--- Конец цитаты ---

Ну, это само собой. Просканировал Sophos-ом, он тоже ругается на скрытый sptd.sys, но категорично не предлагает его удалить. Еще нашла пару гадостей с неприлично длинными нечитабельными названиями в папке временных файлов Temporary Internet Files (позор Касперычу?), и они тоже зачем-то скрыты (ну, их-то точно казню).
А вот постоянно самовосстанавливающийся файл Sophos почему-то проигнорировал.

Еще ругается на экзешник от IDA Pro Advanced v5.5 (я пользуюсь младшей версией). Вот теперь думаю, запускать ли его?


--- Цитата: GeorgSerg от 02/06/2011 00:14:06 ---Если не получится - ну  тогда приходи в гости в пятницу - RegRun Security Suite
 Gold и впридачу Каспер на Линуксе, запуск  с СиДюка , тебя ждут  ..

--- Конец цитаты ---

Путешествие к тебе, конечно, всегда приятное предприятие, но на машину я не заработал, а тащить на себе системный блок мне не фартит. :)  Или ты про дистрибутивы?

angre, спасибо.

Юр:
Их хелпа AVZ:

--- Цитировать ---Обычные программы (не говоря уже о компонентах системы) не прибегают к маскировке своих процессов и файлов, поэтому маскирующийся процесс однозначно подозрителен. Однако однозначно судить о вредоносность нельзя - например, известен ряд безопасных программ, применяющих маскировку процесса и файлов для их защиты от обнаружения и удаления троянскими программами.
--- Конец цитаты ---
Но ряд таких программ мне пока не известен.
Надеюсь, что подмены сделаны антивирусным монитором.

Навигация

[0] Главная страница сообщений

[#] Следующая страница

Произошла ошибка благодарности
Думаю...
Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 
Перейти к полной версии