-
Файл пришел - это однозначно не троян и не AdWare, похожий файл в часности устанавливал в систему AdWare.WinAd (но что ему толку было от VXD файла в XP - осталось загадкой). Сам файл содержит два десятка строк на ASM, cам по себе не опасен ... Аналогичный файл входит в дистрибуцию TuneUp Utilities, почему вир. аналитики окрестили его "Backdoor" - это вообще страшная тайна, ничего "бакдуристого" в нем точно нет.
В продолжение темы - я покорупал этот файлик - это что-то типа драйвера для прямого получения информации о HDD в Win9x, нечто очень похожее применяется некоторыми программами, которые привязываются к серийнику HDD.
-
офф
[QUOTE=Зайцев Олег]Почему вир. аналитики окрестили его "Backdoor" - это вообще страшная тайна, ничего "бакдуристого" в нем точно нет.[/QUOTE]
Ну не знаю как его аналитики обзывают, об этом файле как о бэкдоре, я только от Goodwin слышал :)
-
[QUOTE]Ну не знаю как его аналитики обзывают, об этом файле как о бэкдоре, я только от Goodwin слышал [/QUOTE]
Аналогично :)
хотя в данной конференции данный файл всплывал в темах про WinAd, но там у него имя было другое было - ide21201.vxd, первое упоминает про него в базах моего анализатора идет от 23.11.2004. Внутренности у того файла были в точности как у этого.
-
Вложений: 3
Я прогнал антивирусники по одному (блохастому диску). Если интересно, логи ниже. Только без nod32. Он чуть больше, но там постоянно отказ к доступу на проверку. Видимо NOD не умеет архивы открывать. А, что касается Троянов, я думал их в сети и без меня полно.
-
[QUOTE=Goodwin]Вы не судите меня строго, я не программист. Обычный юзер. Потому меня эта тема и волнует, что у всех разные мнения, а компьютер в любом случаи доволен.[/QUOTE]
Интересен лог "ATS" - что это за программа такая хитрая ? Видимо
Anti-Trojan Shield судя по аббревиатуре - такое впечатление, что большинство найденных в первом логе "троянов" таковыми не являются
-
Оба ATS и Ats2 пропатчены, может быть от это возникает какая нить ошибка при проверке.
-
Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
BEGIN_LOG:
S:\vir\Email-Worm.Win32.Sober\Email-Worm.Win32.Saber.C.zip/{ZIP}/Winzipped-Text_Data.txt .exe >>>>> Email-Worm.Win32.Sober.p
S:\vir\I-Worm.Bagle\I-Worm.Bagle.au.zip/{ZIP}/price.com >>>>> I-Worm.Bagle.au
S:\vir\I-Worm.Mydoom\part3.zip/{ZIP}/part3.exe >>>>> I-Worm.Mydoom.e
S:\vir\I-Worm.NetSky\I-Worm.NetSky.q.zip/{ZIP}/data.rtf .scr >>>>> I-Worm.Netsky.q
S:\vir\Trojan.Hookdump\tmp.zip/{ZIP}/tmp/HOOKDUMP.EXE >>>>> Trojan.Win16.HookDump.b
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/vhgtngzx.exe >>>>> TrojanDownloader.Win32.Agent.ae
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/localNrd.inf >>>>> AdvWare.BiSpy
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/localNRD.dll >>>>> AdvWare.BiSpy.s
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/preInsln.exe >>>>> AdvWare.BiSpy.o
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/polall1l.exe >>>>> TrojanDownloader.Win32.Agent.ae
S:\vir\TrojanDownloader.Win32.Dyfuca.gen\TrojanDownloader.Win32.Dyfuca.gen.zip/{ZIP}/nem219.dll >>>>> TrojanDownloader.Win32.Dyfuca.gen
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownloader.Win32.Stubby.c.zip/{ZIP}/conscorr.exe >>>>> TrojanDownloader.Win32.Stubby.c
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownloader.Win32.Stubby.c.zip/{ZIP}/conscorr.inf >>>>> TrojanDownloader.Win32.Stubby.c
S:\vir\Worm.Win32.Datom\Worm.Win32.Datom.zip/{ZIP}/MSVXD.EXE >>>>> Worm.Win32.Datom
S:\vir\Worm.Win32.Lovesan\msblast.zip/{ZIP}/msblast_src.exe >>>>> I-Worm.MSBlast.unp
S:\vir\Worm.Win32.Sasser.b\avserve2.zip/{ZIP}/avserve2.exe >>>>> Worm.Win32.Sasser.a
S:\vir\Worm.Win32.Welchia\antiBlast.zip/{ZIP}/DLLHOST.EXE >>>>> Worm.Win32.Welchia.a
END_LOG
А вот список тех вирей, которые там находятся:
BEGIN_DIRECTORY_LIST
+---Email-Worm.Win32.Sober
+---Email-Worm.Win32.Wukill
+---Exploit.Win32.Sassdor
+---I-Worm.Bagle
+---I-Worm.Dumaru
+---I-Worm.Mimail.p
+---I-Worm.Mydoom
+---I-Worm.NetSky
+---I-Worm.Plexus
+---I-Worm.Wallon.a
+---Net-Worm.Win32.Maslan.a
+---Trojan.Hookdump
+---Trojan.JS.Seeker
+---Trojan.VBS.Starter.a
+---Trojan.Win32.Komoron
+---Trojan-Downloader.Win32.Agent.acd
+---TrojanDownloader.Win32.Agent.ae
+---TrojanDownloader.Win32.Dyfuca.gen
+---TrojanDownloader.Win32.Stubby.c
+---VB.Redlof
+---Virus.Win32.Neshta.a
+---Win32.Parite
+---Worm.SpyBot.cl
+---Worm.Win32.Datom
+---Worm.Win32.Lastas
+---Worm.Win32.Lovesan
+---Worm.Win32.Sasser.b
+---Worm.Win32.Welchia
END_DIRECTORY_LIST
P.S. Еще раз приношу свои извинения. Попытка посыла архива с вирусами почему-то не удалась, о причине я писал на этом же форуме выше. Если нужно будет, то вышлю почтой.
-
[QUOTE=blackcat]Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
А вот список тех вирей, которые там находятся:
[/QUOTE]
проблема-то в чем? имена не совпадают? так у каждого антивируса своя классификация
-
Из 28-ми вирусов, там лежащих, авз определил только 17(!). И дело не в разных названиях.
-
[QUOTE=blackcat]Из 28-ми вирусов, там лежащих, авз определил только 17(!). И дело не в разных названиях.[/QUOTE]
ну так присылайте недетектирующиеся!
-
как насчет ложного срабатывания на Avast?
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
-
[QUOTE=MadRat]как насчет ложного срабатывания на Avast?
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши[/QUOTE]
тоже присылайте. только это не совсем ложное срабатывание - это же ведь и правда перехватчик событий ;)
-
Очепятки:
Раздел справки
Работа с программой
...
См. также:
...
Группа "Параметры лечения" - не соответсвует в окне программы "Методика лечения"
...
Типы файлов
...
не рукомендуется
-
Олег, а нельзя ли выкладывать обновления еще и отдельно для скачивания, не посредством встроенного апдейтера? Не могу обновить никак.
-
Поддерживаю. Не всегда есть возможность обновить по месту применения. И вообще всем удобнее - скачать один раз и применить многажды.
-
[QUOTE=anton_dr]Олег, а нельзя ли выкладывать обновления еще и отдельно для скачивания, не посредством встроенного апдейтера? Не могу обновить никак.[/QUOTE]
Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.
-
Та хоть через ж :). Как для тебя лучше, так и сделай. Лишь бы скачать.
-
[quote=Зайцев Олег]Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.[/quote]
а заход на страницу прибавит еще страничного траффика...
-
Представилась очередная возможность протестировать AVZ.
Антивирус выдал: [IMG]http://img88.imageshack.us/img88/1949/vir9wn.jpg[/IMG]
"Натравил" AVZ:
[QUOTE]3. Сканирование дисков
C:\Documents and Settings\Mishutka\Local Settings\Temporary Internet Files\Content.IE5\YBS3UZEP\301[1].exe >>> подозрение на Trojan.Win32.Dialer.hc ( 09792C1E 08F71171 0009E254 00000000 9632)[/QUOTE] Почему только подозрение? Убил вручную...
[QUOTE]C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)[/QUOTE] Безопасно...
[QUOTE]C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039477.exe >>>>> Trojan-Downloader.Win32.Agent.ip успешно удален
C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039613.dll >>> подозрение на AdvWare.Win32.Minibug ( 0068D239 0B2C97BB 002032CD 001DE3D9 538216)
[/QUOTE] Даже сюда забрался... Почему второй не тронул?
[QUOTE]
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL[/QUOTE] Писал раньше и посылал Олегу - это плагин.
[QUOTE]6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 79 TCP портов и 17 UDP портов
>>> Обратите внимание: Порт 33333 TCP - PcShare 2.0, Blakharaz, Prosiak (c:\windows\system32\service.exe)[/QUOTE] На что намекает?
Почему AVZ не заметил ''червь'', о кототором ''кричит'' антивирь?
Как правильно сейчас с ним расправиться?
-
И еще один момент: [B]ZoneAlarm[/B] [I]заловил [/I]во время работы AVZ ''обращение'': [IMG]http://img101.imageshack.us/img101/184/srgu5jy.jpg[/IMG]
Физически [B]sgru.exe[/B] на диске нет...
-
Этот [I]зверь [/I]создает в папке [B]C:\WINDOWS\Downloaded Program Files[/B] файлы, которые ''простым'' способом не удалишь...
Последний из них, например, AUTO_299_N.exe.
Кто-нибудь уже сталкивался?
-
[QUOTE=DimaT]
Физически [B]sgru.exe[/B] на диске нет...[/QUOTE]
наверно XP непатченая...
-
[QUOTE=MOCT]наверно XP непатченая...[/QUOTE]
Да, SP2 не стоит, но обновления делаются регулярно...
Но [B]Trojan.Win32.Dialer.lw[/B] ''пролез'' не из-за этого...
-
KeyLogger
Прстая функция GetAsyncKeyState.
////////////////////////////////////////////////////
procedure TForm1.Timer1Timer(Sender: TObject);
........
begin
keyscount:=0;
For i:= 0 to 255 do
begin
key:=GetAsyncKeyState(i);
if key<>0 then
begin
keys[keyscount]:=i;
inc(keyscount);
end;// key<>0
end;// for i
.......
{логим в файл}
end;
//////////////////////////////
Никакой реакции.
Anti-keylogger v7.2 ([url]http://www.bezpeka.biz[/url]) - тоже никак не отреагировал.
И еще несколько вопросов:
1) Можно ли сохранять выбранные настройки (очень понравился параноидальный уровень эвристического анализатора) или загружать их из скрипта? - т.к. при перезапуске программы они загружаются по-умолчанию.
2) Нельзя ли AVZGuard загружать список исполняемых файлов (например из заранее сформированного txt-файла с их полными путями), а то их по-одному как-то неудобно....
(Классная прога! Большое спасибо!)
-
[QUOTE=Mad Scientist]1) Можно ли сохранять выбранные настройки (очень понравился параноидальный уровень эвристического анализатора) или загружать их из скрипта? - т.к. при перезапуске программы они загружаются по-умолчанию.
[/QUOTE]
настройки можно задавать через скрипт (например командой вида "SetupAVZ('ScanProcess=N');") или параметры командной строки. в хэлпе к программе про это написано.
-
Acronis TrueImage 9.0
Регулярно сканирую комп AVZ последней версией и базы обновляю регулярно. Никакой заразы не находит, что конечно радует!
После последнего формата и переустановки ОС всё настроил, поставил себе Acronis TrueImage 9.0 и сделал имидж жесткого. С тех пор в логе AVZ всё время вижу:
C:\Program Files\Acronis\TrueImage\MediaBuilder.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\tishell.dll Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImage.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImageTerminal.exe Invalid file - not a PKZip file
C:\Program Files\Common Files\Acronis\TrueImage\TrueImageNotify.exe Invalid file - not a PKZip file
C:\Program Files\Common Files\Acronis\TrueImage\TrueImageService.exe Invalid file - not a PKZip file
Что я опять сделал не так?:)
-
Копирование файла в карантин сейчас не различает файлы, к которым нет доступа, и файлы, которых не удалось найти.
Пример. Копирую в карантин по списку dll от Look2Me.
[code]
Процесс добавления файлов запущен
Процесс добавления файлов завершен
[/code]
Надо расширить диагностику
[code]
Процесс добавления файлов запущен
xxx.dll - нет доступа
yyy.dll - файл не найден
Процесс добавления файлов завершен
[/code]
А то создается ложное ощущение, что файла нет.
-
Отошлите этих инвалидов Олегу - пусть выяснит, почему программа их за архивы принимает.
-
Ругательство на C:\Program Files\Acronis\TrueImage\MediaBuilder.exe и аналогичные - нормальное явление, у них в хвосте EXE файла есть данные, по виду очень похожие на ZIP архив ...
-
to [B]_HEKTO_[/B]
Диагностику расширю, это нетрудно
to [B]Mad Scientist[/B]
на такой пример почти ни одно приложение не реагирует - этот пример (или похожий) я приводил в моей статье за прошлый год в КомпьютерПресс как пример простого и пости недетектируемого логгера. Поймать его можно только мониторингом всей системы
1. Пока можно скриптом, скоро приделаю поддержку профилей настроек
2. Да, такое возможно - но AVZ запустит каждую программу из списка, т.к. разрешение дается на процесс, а не на все процессы заданного исполняемого файла
to [B]DimaT [/B]
Файлик c:\windows\system32\service.exe нужно на анализ выслать - в XP точно такого файла в System32 нету, вероятно это троян.
-
K сожалению так и не дождался ценных указаний.
Пришлось удалять дедовским способом.
Почему AVZ нe ''осилил'' Trojan [B]Downloader.VХА[/B] cfgmngr32.dll ?
Причем, [B]cfgmngr32.dll в system32 (не путать с cfgmgr32.dll) [/B]не удавалось удалить [U]даже в safe mode[/U], так как кроме [B]екслплорера [/B]он был завязан на [B]winlogon[/B].
[B]Олег, знатоки[/B],
Хотелось бы услышать [I]разбор полетов[/I]...
Как бы это сделали Вы ?
-
[QUOTE=Зайцев Олег]
to [B]DimaT [/B]
Файлик c:\windows\system32\service.exe нужно на анализ выслать - в XP точно такого файла в System32 нету, вероятно это троян.[/QUOTE]
Одновременно написали посты... :)
На [email][email protected][/email] ушла посылка...
Хотелось бы узнать о результатах...
-
При попытке убрать service.exe с помощью Unlockerа выдало:
[QUOTE]Ошибка
---------------------------
[B]Удаление объекта невозможно[/B]
Выполнить операцию удаления при следующей загрузке системы?
---------------------------
Да Нет
[/QUOTE] Выбрал Да.
-
[QUOTE=DimaT]При попытке убрать service.exe с помощью Unlockerа выдало:
Выбрал Да.[/QUOTE]
По поводу service.exe - это троян, сжат UPX ... причем из новых, его толком не детектит никто:
AntiVir 6.34.0.24 04.20.2006 Heuristic/Trojan.Downloader
Avast 4.6.695.0 04.21.2006 no virus found
AVG 386 04.22.2006 no virus found
Avira 6.34.0.56 04.22.2006 no virus found
BitDefender 7.2 04.22.2006 BehavesLike:Win32.Backdoor
CAT-QuickHeal 8.00 04.21.2006 no virus found
ClamAV devel-20060202 04.22.2006 no virus found
DrWeb 4.33 04.22.2006 DLOADER.Trojan
eTrust-InoculateIT 23.71.136 04.22.2006 no virus found
eTrust-Vet 12.4.2171 04.21.2006 no virus found
Ewido 3.5 04.22.2006 no virus found
Fortinet 2.71.0.0 04.22.2006 suspicious
F-Prot 3.16c 04.21.2006 no virus found
Ikarus 0.2.59.0 04.21.2006 no virus found
Kaspersky 4.0.2.24 04.22.2006 no virus found
McAfee 4746 04.21.2006 no virus found
NOD32v2 1.1502 04.22.2006 no virus found
Norman 5.90.16 04.21.2006 W32/Malware
Panda 9.0.0.4 04.22.2006 Suspicious file
Sophos 4.04.0 04.22.2006 no virus found
Symantec 8.0 04.22.2006 no virus found
TheHacker 5.9.7.133 04.22.2006 no virus found
UNA 1.83 04.21.2006 no virus found
VBA32 3.11.0 04.22.2006 no virus found
----
Так что файл этот нужно прибить, через отложенное удаление AVZ.
-
Олег, два вопроса:
1) Можно ли просто добавить возможность поиска и нейтрализации RootKit, скажем, в меню "Файл" ? Неудобно только ради этой цели запускать "обычное" сканирование.
2) Англоязычная версия еще планируется или вычеркнута из планов?
-
[QUOTE=Зайцев Олег]По поводу service.exe - это троян, сжат UPX ... причем из новых, его толком не детектит никто...
Так что файл этот нужно прибить, через отложенное удаление AVZ.[/QUOTE] Понял.
Спасибо. Сделаю, если Unlocker не выполнил свои обещания.
А замаскировался хорошо, 2001 года...
Хотелось бы все-таки услышать анализ, рекомендации, разбор действий по остальным моментам...
-
Anti-keylogger
Anti-keylogger v7.2 ([url]http://www.bezpeka.biz[/url])
1) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ.
AVZ -> сервис -> диспетчер процессов =>
Anti-keylogger заносит его в черный список.
После этого AVZ умирает. Запуск после этого AVZGuard тоже не помогает.
Если выйти из AVZ, то больше он не запустится(Сообщение винды "Ошибка в приложении...")
Консоль avz.exe AG=Y - отказано в доступе.
Возвращаюсь к SnapShot'у виртуалки
2) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ. Запускаю AVZGuard.
AVZ -> сервис -> диспетчер процессов =>
Anti-keylogger заносит его в черный список.
аналогично...
Возвращаюсь к SnapShot'у виртуалки
3) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ.
Параметры-> блокировать работу rootkit в обоих режимах-> доходит до "1.2 Поиск перехватчиков API, работающих в KernelMode" -> смотрим на синий экран смерти (причина - AVZ.exe и дальше дамп пошел.. (XP SP II))
Похоже Anti-keylogger v7.2 использует Root-Kit технологию, устанавливая свой драйвер для невидимости(C:\WINDOWS\system32\drivers\krnl_akl.sys) и для того, чтобы подавлять процессы в черном списке.
(AVZ определяет перехват API и в User и Kernel Modes, в Kernel Mode перехватчик не определяется)
AVZ считает подозрительным файл hide.dll который
WMware Workstation 5.5 ставит в гостевую виртуальную машину(Install VMware Tools).
-
VMware
Извиняюсь, не hide.dll a hook.dll
C:\Program Files\VMware\VMware Tools\hook.dll
(AVZ считает его подозрительным)
-
[url]http://virusinfo.info/showthread.php?t=5331[/url]
Олег, сделай наконец что бы выдавалось предупреждение о не латинских символах в именах файлов
-
Я решил попробовать написать что-то, что могло бы блокировать работу програм и в частности
AVZ, благо он свой процесс не прячет и его можно дернуть FProcessEntry32 (в Delphi)
/////////////////////////////////////////////////////////
function KillTask(ExeFileName: string): integer;
const
PROCESS_TERMINATE=$0001;
var
...
FProcessEntry32: TProcessEntry32;
begin
result := 0;
...
while integer(ContinueLoop) <> 0 do
begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
UpperCase(ExeFileName)) ... then
Result := Integer(TerminateProcess(OpenProcess(
PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
end;
{if not FoundProcess then MessageDlg('Program not running.', mtWarning, [mbOK], 0);}
CloseHandle(FSnapshotHandle);
end;
///////////////////////////////////////////////////////////
для системных процессов
//////////////////////////////////////////////////////////
function ProcessTerminate(dwPID:Cardinal):Boolean;
var
...
begin
Result:=false;
// "Добавляем" привилегию SeDebugPrivilege
....
// Для начала получаем токен нашего процесса
...
// Получаем LUID привилегии
.....
// "Добавляем" привилегию к нашему процессу
AdjustTokenPrivileges(hToken,false,tkp,SizeOf(tkp),tkp,ReturnLength);
if GetLastError()< > ERROR_SUCCESS then exit;
// Завершаем процесс. Если у нас есть SeDebugPrivilege, то мы можем
// завершить и системный процесс
// Получаем дескриптор процесса для его завершения
hProcess := OpenProcess(PROCESS_TERMINATE, FALSE, dwPID);
if hProcess =0 then exit;
// Завершаем процесс
if not TerminateProcess(hProcess, DWORD(-1)) then exit;
CloseHandle( hProcess );
// "Удаляем" привилегию
tkp.Privileges[0].Attributes := 0;
AdjustTokenPrivileges(hToken, FALSE, tkp, SizeOf(tkp), tkp, ReturnLength);
if GetLastError() < > ERROR_SUCCESS
then exit;
Result:=true;
end;
//////////////////////////////////////////////////////
(Все взято из Delphi World)
//////////////////////////////////////////////////////
Дальше пихаем это KillTask в таймер с интервалом в 1.
Но, допустим, поменяв avz.exe на avz2.exe KillTask(ExeFileName: string) уже не прокатит.
Тогда сканим хоть тем же KillTask, заносим новые процессы с полным именем используя
EnumProcessModules (вот зачем этот нужен - не знаю, но без него не работает) и
GetModuleFileNameEx
В StingList, проверяя каждый новый процесс на MD5. Как только совпадают - убиваем при помощи
ProcessTerminate(dwPID:Cardinal);
Все. Теперь AVZ не запускается и с avz.exe AG=Y.
Загрузка процессора(AMD Athlon 2400) такой прогой - 0%(по таск менеджеру)
Вообщем задолбать можно все что видно, кроме критических процессов, т.к. они приведут
экстреннму завершению работы системы.
Пробовал AVZ пожать UPX - не получилось. Вообщем надо AVZ убирать из списка процессов -
делать из него что-то вроде руткита, чтобы он скрывал свой процесс и свои файлы, возможно
модифицировал их (как Morfine), чтобы его невозможно было определить
ни при копировании, ни при запуске, ни при работе(что, наверное, сложнее).
Спасибо, что я мог принять хоть какое-то участие (я так думаю) в тестировании, тем более я слаб в программировании и это пойдет мне на пользу (извините, что мессага такая большая вышла).
Page generated in 0.01369 seconds with 10 queries