[QUOTE=Geser;212288]Конечно легче тыкнуть на прямую ссылку чем заморачиваться со всем остальным. Хотя я бы на месте Олега напрямую не отдавал, а только через скриптик который рекламу крутит :)[/QUOTE]Ага, ещё и в AVZ встроить рекламный модуль.
Printable View
[QUOTE=Geser;212288]Конечно легче тыкнуть на прямую ссылку чем заморачиваться со всем остальным. Хотя я бы на месте Олега напрямую не отдавал, а только через скриптик который рекламу крутит :)[/QUOTE]Ага, ещё и в AVZ встроить рекламный модуль.
Я что то не понял, здесь обсуждение как скачать, или как работает новая версия?
[QUOTE=Зайцев Олег;212257]Люди не хотят качать что-то из P2P !! Большинство даже зеркала игнорирует - тащут по прямой ссылке файла и всего делов ...[/QUOTE]
Мне вот лень емула запускать, так как уже давно торрент основной клиент :( да и не надо это всё... ведь как происходит - скачал версию, кинул на СД и флэшку... а на месте так бывает, что забыл это всё где нибудь, зато инет есть - вот и идёшь на z-oleg за программой...
кстати, новый антируткит хочется потестить...
Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.
[quote=Mad Scientist;212837]Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.[/quote]
Это эмулятор CD безобразничает, он в логе чуть выше. Хотя вот этот перехваты странные: \driver\disk[IRP_MJ_READ] = 89DC8788, такое в логах пока не попадалось
Ога!
Перехваты disk.sys - это от буткита :). Советую проверить свежайшим CureIt! ;)
[quote=vaber;212859]Ога!
Перехваты disk.sys - это от буткита :). Советую проверить свежайшим CureIt! ;)[/quote]
Да - я тоже заинтересовался этими перехватами, похоже действительно последняя версия буткита (старая только два IRP перехватывала - он прогрессирует однако). У меня CD-эмулятор хукнул только IRP в NTFS ...
Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.
Это дохтар вэб шалит вроде, с ирп и нтфс.
[quote=vaber;212873]Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.[/quote]
Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен
т.е. в отличие от вышеприведенного лога перехватчики размещаются по трем адресам, а не по одному, как в логе поста #24
[quote=Surfer;212881]Это дохтар вэб шалит вроде, с ирп и нтфс.[/quote]
Не шалит.
[quote=Зайцев Олег;212882]Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления
[SIZE=1][COLOR=#666686][B][I]Добавлено через 8 минут[/I][/B][/COLOR][/SIZE]
на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен[/quote]
Угу -я вчера три сампла скачал и именно эту картину в лдоге и видел, поэтому сразу сделал вывод о нем :)
fixmbr в консоли восстановления Windows поможет?
А это от чего? Может стоит справку составить?
[QUOTE]
\FileSystem\ntfs[IRP_MJ_CREATE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867DA1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 862ED500 -> перехватчик не определен
[/QUOTE]
fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.
Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.
[quote=Mad Scientist;212904]Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.[/quote]
Попробуйте деинсталлировать эмулятор CD и прогнать еще раз AVZ. будут перехваты IRP обработчиков DISK.sys или нет...а то мало ли все же эмулятор виновен :))
З.Ы. наверное рано я шум поднял по поводу буткита - все же действительно, скорее всего, это драйвер старого даемон тула хуки ставит... :)
[QUOTE=vaber;212897]fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.[/QUOTE]
fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.
На всех остальных доступных дисках MBR останется троянской и будет нуждаться в лечении. Т.е. есть прямой смысл не извращаться, а сразу пролечить CureIt.
Не пробовал подсовывать врагу флешки, но думаю, что ему пофигу, что это за диск, запишется и туда.
P.S. Читал, что троян якобы даже восстанавливался после fixmbr, но так и не понял, с какого перепугу и что для этого надо было проделать. Видимо, сменить загрузочный диск, но это точно редкий изврат.
CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....
-----
Сейчас перепроверил - после запуска CureIt часть перехватов в логах AVZ пропадает до следущей перезагрузки (до этого я думал на WMWare)
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89D7CEB0 -> перехватчик не определен
Проверка завершена
[quote=Alexey P.;212912]fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.
[/quote]
Угу - но этого достаточно, чтобы тело буткита не загрузилось в память. А mbr на других дисках в теории может вылечить тот антивирус, который стоит в системе.
[quote=Mad Scientist;212929]CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....[/quote]
Угу, и после деинсталляции эмулятора CD лог AVZ сюда прикрепите.
З.Ы. Все же нужно в правила теперь добавлять обязательную деинсталляцию таких программ.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Mad Scientist
Сделайте лог не запуская CureIt - перезагрузитесь, и после старта системы сделайте проверку AVZ, предварительно удалив даемон тул и алкоголь.
Вот как раз попался перехватчик IRP. И не снялся... А я подумал, что будет...Пошто так? Почему нельзя снять такие перехваты?