ѕоказано с 1 по 17 из 17.

Ќеуловимый мощный –”“ »“

  1. #1
    Junior Member –епутаци€
    –егистраци€
    15.10.2007
    —ообщений
    5
    ¬ес репутации
    34

    Ќеуловимый мощный –”“ »“

    ” мен€ 100% уверенность о наличии на компьютере руткита.

     раткие особенности его работы в »нтернете собранны по данным Agnitum Outpost Security Suite Pro 2007(5.0.1252.7915.619).

    ќбозначаетс€ этот процесс как Ђнедоступної (n/a).
    “.е. внести его в список неразрешенный приложений, блокировать или просто разорвать соединение нельз€. ћожет пытатьс€ пробитьс€ в »нтернет одновременно как более одиннадцати процессов.
    –уткит использует дес€тки сотен портов.  ак только кака€-то программа выходит в »нтернет, руткит пытаетс€ пробитьс€ через ее порт, иногда от ее имени при этом не наруша€ ее работы. (Ќапример: n/a: разрешить Opera DNS UDP connection или Download Master DNS UDP connection).
    –уткит использует протоколы TCP,UDP, IPIIP,EGP,SKIP,TMuX, ICMPv6 (немного обновившись), пытаетс€ установить ICMP соединение, посылает широковещательные пакеты NetBIOS, использует IGMP атаку, хотел использовать RAWSOCKET (!) и т.п. »ногда отображаетс€ как SYSTEM.
    ѕытаетс€ прин€ть транзитные пакеты
    ќбновл€€сь, способен Ђзвонитьї в »нтернет как dialer (а может вообще вз€ть под контроль модем), может скачивать червей, шпионов и вирусоподобные программы, способен модифицировать Svchost и т.п. Ќо основные усили€ направлены на собственное укоренение в системе.
    –уткит Ђприсоедин€етс€ї при копировании ЋёЅџ’ данных на ЋёЅџ≈ носители информации.

    ƒополнительна€ информаци€ по данным программ AVZ 4.27, GMER 1.0.13 и RootkitUnhooker 3.7.300.509.

    1. AVZ видит (сервис Ђмодули пространства €драї) адрес руткита в системе: F7473000. Ётот адрес посто€нный (т.е. после перезагрузки компьютера не измен€етс€), копировать в карантин нельз€, но можно сн€ть дамп пам€ти. ≈го размер 98304 байт.
    ќсобенно подозрительно, что часто происходит сбой при работе антируткита. —истема, защита, др. антируткиты, неправильное обновление или сам avz.exe не причем.
    2. GMER раньше обнаруживал руткит как группу (до п€ти) спр€танных модулей: name: (noname) value: ***hidden***
    –азмер модулей от 2944 до 91776 байт.
    “еперь он видит его как Ђдобропор€дочного руткитаї и ничего странного в нем не находит:
    name: ______ value:
    3. RkU делает откат изменений Ђunknown module filenameї в SSDT, в Shadow SSDT, загруженных кодах (Hooked codes).
    ¬ драйверах значитс€ Ђпустой драйверї -никакой информации о нем в таблице нет (кроме известного адреса и размера). ≈сть также и 37 Ђлевыхї драйверов. »м€ и место загрузки Ц Ђunknown_irp_handlerї. ѕо его данным размер драйверов от 512 до 4064 байт.

    ¬роде бы всеЕ –еб€та, пожалуйста, ну постарайтесь!

    PS:  омпьютеры, инфицированные руткитом исчисл€ютс€ дес€тками, и их число посто€нно увеличиваетс€ : от тупых ламмеров до целых институтов.
    ¬ложени€ ¬ложени€
    ѕоследний раз редактировалось drongo; 15.10.2007 в 23:33.

  2. –еклама
     

  3. #2
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1497
    virusinfo_syscure.zip - вы прислали карантин(уберите из темы) ... нужен лог получаемый при выполнении стандартного скрипта 3 ....
    выполните скрипт...
     од:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
    QuarantineFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\Rar$EX00.656\pwl\pwlshell.dll','');
    QuarantineFile('\SystemRoot\system32\DRIVERS\sd20_nt.sys','');
    QuarantineFile('C:\WINDOWS\system32\tsseShrd.dll','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложени€ 3 правил ...

  4. #3
    VIP –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    07.07.2005
    јдрес
    Moscow region
    —ообщений
    30,463
    ¬ес репутации
    2495
    ?dStringFileInfo@040904E4DCompanyNameTeknum Systems AS\FileDescriptionShared Shell Menu Handler4 FileVersion5.4.0.122"InternalNamev)LegalCopyri ghtCopyright © 1994-2001, Teknum Systems AS*LegalTrademarks> OriginalFilenamessmenu.dllTProductNameShared Shell Menu Handler4ProductVersion1.0.0.0ƒVCommentsContext menu handler for Windows Explorer that can be shared by multiply applicationsDVarFileInfo$Translation дFE2XES.NET_DLL', Res); end.ЉUФЁи16:217,іђYіђY‘POS1»ђY»ђYјTroj an.PSW ?дђYдђY§HЂYHЂYШ<*Y ц[hIYPYДШ©Yь©ПГП,P,NШ©YАмLАмL
    - вот это сила. ѕервый раз такое вижу в логах.

    ќчень много вс€кого антивирусного в системе стоит. „увствую, исследовани€ проводились в большом объеме. —леды всех антируткитеров надо повычищать.
    ѕавел
    AVZ HijackThis помощь с 10-00 до 18-00ћ— 

    Windows7, SEP(work)
    WindowsXP KIS(home)

    Ќа up не реагирую

  5. #4
    Junior Member –епутаци€
    –егистраци€
    15.10.2007
    —ообщений
    5
    ¬ес репутации
    34

    ќ рутките (ответ)

    Ќадо же! я вроде должен был прислать нужный лог. ¬идимо в спешке что-то перепутал.
    я отослал результат стандартного 3его скрипта и карантин.

    „то б вы там голову попусту не ломали, расскажу вам, каких это жуков у мен€ AVZ нашел.
    Officekey.exe или PSWTool.Win32.RAS.a -это мой жучок, одомашненный.
    Klister вовсе не Backdoor.Win32.BO2K, а антируткит дл€ windows 2000. («абыл удалить).
    Ѕедный KnownExt Ц вполне полезна€ и безобидна€ программа дл€ получени€ информации о расширении файлов.
    Ђsskbfd.sys подозрение на Monitor.Win32.SpySweeperї -действительно. Ќо ничего страшного € в этом не вижу.
    Interceptor.dll -компонент антишпиона. ћногие пытаютс€ его грохнуть.
    TsseShrd.dll Цкомпонент от HandyBitsFil Shredder. Ёто программка дл€ удалени€ файлов без возможности восстановлени€. ѕо иронии судьбы € его самого удалить не могу.
    sd20_nt.sys -файл от какой-то проги, , € уже и не помню какой и где она лежит.
    DelDrv Ц кака€-то фигн€ от моего ћ–3 плеера.
    [–уткит тем временем процветает, а AVZ не может определить перехватчика.]

    Ќасчет конкретных исследований вы правы. ѕосле самовключаемого модема и чистого Ќј√Ћќ√ќ издевательства над компами друзей у мен€ параной€.
    јнтивирусник один ЦDrWeb. Ѕыл NOD32, но пришлось удалить. ’отел установить  асперского 7, не получилось. ” соседа стоит, обновл€етс€, а вот руткита не видитЕ

    PS:Ђ—ила, брат, за тем, за кем правда стоитї

    ƒобавлено через 6 минут

     стати, у вас тут путаница - или файлы отправить http://virusinfo.info/upload_virus.php, а может быть сюда. Ќо € сделал первое. “ам же и карантин.
    ѕоследний раз редактировалось яpоcлaв; 16.10.2007 в 17:43. ѕричина: ƒобавлено

  6. #5
    VIP –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    07.07.2005
    јдрес
    Moscow region
    —ообщений
    30,463
    ¬ес репутации
    2495
    ‘айлы логов прикрепл€ютс€ сюда.
     арантин загружаетс€ по ссылке в надежное место, чтобы врагам не досталс€, да и дуракам тоже.

    ƒобавлено через 2 минуты

    ƒобавлю, что ни карантина, ни логов € не увидел. —ообщение об успешной загрузки было?

    «.џ. Ќе обижайс€. ѕровер€ть приходитс€ все и вс€, особенно если на машине столько всего наставлено.
    ѕоследний раз редактировалось PavelA; 16.10.2007 в 17:51. ѕричина: ƒобавлено
    ѕавел
    AVZ HijackThis помощь с 10-00 до 18-00ћ— 

    Windows7, SEP(work)
    WindowsXP KIS(home)

    Ќа up не реагирую

  7. #6
    Junior Member –епутаци€
    –егистраци€
    15.10.2007
    —ообщений
    5
    ¬ес репутации
    34
    «а что ж мне на вас обижатьс€? Ќапротив Ц спасибо, что вы мен€ еще терпите. Ќу, в принципе, приходитьс€ .
    ‘айлы точно отправились. ƒумаю, уже все пройдет без приключений.

    Ќо карантин вр€д ли поможет. ¬сЄ не так плохо как вы думаете, все намного хуже.. .ћне кажетс€ это творение серьезных реб€т. ≈сли такой рут попадет в офис (скорее всего это уже произошло) это повлечет непредсказуемые последстви€: от серьезного ущерба компании из-за потери данных до шантажа благодар€ уже краденой информации. —оздатели очень хорошо постарались.
    Ѕлагодар€ моему соседу и мне руткит гул€ет уже по дес€ткам компьютерам Цесли в ближайшие 3мес€ца от него не получитс€ избавитьс€, компы, точнее windowsТы, будут лететь один за другим.
    —кажите лично свою точку зрени€, с чем € имею дело?  ак € его мог подцепить?  акой шанс его загасить?
    » мен€ тут недавно BSODнуло (осенило). ћожно ли с другой операционки, таки Windows 3.1 или тот же Linux, найти руткита? Ќа них, по идеи, он не сможет существовать и скрыватьс€. ѕошаритьс€ по виндовской system32 и найти ранее неотображавшийс€ драйвер.  ак вы думайте?
    ¬ложени€ ¬ложени€

  8. #7
    Senior Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    21.04.2005
    јдрес
    Perm, Russia
    —ообщений
    5,794
    ¬ес репутации
    2265
    ярослав, или как вас правильнее назвать? ¬ам там на руткитс.ру больше зан€тьс€ нечем, кроме как отбирать врем€ у хелперов?
    Ќе мешайте, пожалуйста, люд€м работать.

  9. #8
    Junior Member –епутаци€
    –егистраци€
    15.10.2007
    —ообщений
    5
    ¬ес репутации
    34
    ј как же руткит? я уже пытаюсь его полгода прибить! ¬от как раз что и помогите. ¬ек буду благодарен.
    ј вот ваш "выбор" нифига не помог.  стати, верси€ последн€€.

  10. #9
    Senior Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    21.04.2005
    јдрес
    Perm, Russia
    —ообщений
    5,794
    ¬ес репутации
    2265
    ѕоехали в юмор.

    ƒобавлено через 1 минуту

    ј ваш руткит элементарно прибиваетс€ приватной версией RKU, вы разве не знали?

    ƒобавлено через 2 минуты

     стати, этот руткит вс€ко анриал, раз его ни авз, никто другой не может поймать. ќн же неуловимый.
    ѕоследний раз редактировалось anton_dr; 16.10.2007 в 22:36. ѕричина: ƒобавлено

  11. #10
    Junior Member –епутаци€
    –егистраци€
    15.10.2007
    —ообщений
    5
    ¬ес репутации
    34
    —ерьезно! Kaspersky Internet Security 7.0.0.124. –уткит обновл€етс€, делает IGMP атаки, а  асперский спит! ¬от Agnitum Outpost - это супер!
    ѕросто нигде, кроме как здесь мне спасени€ не ждать. ѕоверьте -очень непри€тно жить на компьютере с руткитом - от теб€ бо€тс€ брать диски.

    ƒобавлено через 8 минут

    ѕоследн€€ верси€ RkU это случайно ни 3.7.300.509?
    Ќеуловимый -ну, около 10 антивирусов, 30анти -шпионов и -тро€нов. ¬се возможные антируткиты. Ќапример, GMER 1.0.13. ¬идит в нете его Outpost (в отличии от касперского), программы осознают лишь факт его присутстви€.

    ƒобавлено через 13 минут

    Ќе могу отправить карантин. ќшибка. ≈ще и интернет тормозит....
    ѕоследний раз редактировалось яpоcлaв; 16.10.2007 в 23:00. ѕричина: ƒобавлено

  12. #11
    Senior Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ јватар дл€ ¬одку√лыть
    –егистраци€
    08.05.2006
    јдрес
    ќмск
    —ообщений
    399
    ¬ес репутации
    128
    ƒурь кака€-то...
    Ѕыстро,  ачественно, ƒЄшево - вычеркните лишнее слово.
    http://www.pcmag.ru/images/pcm_it_specialist.png

  13. #12
    Senior Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ јватар дл€ Muzzle
    –егистраци€
    07.02.2007
    јдрес
    ¬ладивосток
    —ообщений
    1,068
    ¬ес репутации
    62
    на флэшмоб какой-то смахивает

  14. #13
    Full Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ јватар дл€ [500mhz]
    –егистраци€
    05.11.2007
    —ообщений
    290
    ¬ес репутации
    116
    имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти

  15. #14
    Senior Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    21.04.2005
    јдрес
    Perm, Russia
    —ообщений
    5,794
    ¬ес репутации
    2265
    ÷итата —ообщение от [500mhz] ѕосмотреть сообщение
    имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти
    »ћ’ќ, руткит в голове и лечитс€ трепанацией

  16. #15
    Full Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ јватар дл€ [500mhz]
    –егистраци€
    05.11.2007
    —ообщений
    290
    ¬ес репутации
    116
    ќћ√!
    ƒжонни ћнемоник с руткитом в голове!

  17. #16
    –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    27.08.2006
    —ообщений
    2,453
    ¬ес репутации
    0
    ÷итата —ообщение от [500mhz] ѕосмотреть сообщение
    имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти
    ќдин из вариантов, да. ѕока, возможно, некоторые смеютс€, но ƒжоанна –утковска уже достаточно давно пишет о таких вещах... http://www.antirootkit.com/blog/category/bios-rootkits/ http://theinvisiblethings.blogspot.com/ Paul

  18. #17
    Full Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ јватар дл€ [500mhz]
    –егистраци€
    05.11.2007
    —ообщений
    290
    ¬ес репутации
    116
    Paul
    еще во времена мсдоса были такие попуки, запускать дос в вмоде
    не помню как вирус называлс€, гдето вал€етс€

ѕохожие темы

  1. Ќеуловимый руткит?
    ќт ne_kodim в разделе ѕомогите!
    ќтветов: 3
    ѕоследнее сообщение: 16.06.2011, 11:45
  2. Microsoft обвин€ет в зависани€х Windows XP неуловимый руткит
    ќт SDA в разделе Ќовости компьютерной безопасности
    ќтветов: 0
    ѕоследнее сообщение: 15.02.2010, 13:17
  3. ¬зломанный Torrentreactor предлагает мощный коктейль из эксплоитов
    ќт SDA в разделе Ќовости компьютерной безопасности
    ќтветов: 0
    ѕоследнее сообщение: 02.07.2009, 13:08
  4. IBM создала самый мощный суперкомпьютер в мире
    ќт ALEX(XX) в разделе ¬ысокие технологии
    ќтветов: 1
    ѕоследнее сообщение: 11.06.2008, 01:56
  5. ќтветов: 1
    ѕоследнее сообщение: 24.12.2006, 21:04

—вернуть/–азвернуть ¬аши права в разделе

  • ¬ы не можете создавать новые темы
  • ¬ы не можете отвечать в темах
  • ¬ы не можете прикрепл€ть вложени€
  • ¬ы не можете редактировать свои сообщени€
  •  
Page generated in 0.01392 seconds with 26 queries