Скорее всего не раньше, чем появятся руткиты на таких системахСообщение от Fileas
Скорее всего не раньше, чем появятся руткиты на таких системах
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нельзя ли реализовать хотя бы часть поддержки, не лезущую в ядро? А то ведь сейчас даже виртуализация ФС не выключается.
Буду иметь в виду....с надеюсь Виндус 7 есть 32разрядный....Значит,пользоваться 64разрядками я не буду... А то случись что - на лаги напорешься
AVZ выдал мне такую вещь: (Windows 98)
Глянул--действительно, импорт заполняется так, что многие (если не все) API вызываются следующим образом:1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF676A8
Детектирована модификация IAT: GetProcAddress - 00000002<>BFF66D80
push [адрес Api]
JMP KERNEL32.BFF85CC1
А там такой код:
Что бы это значило??BFF85CC1 . 9C PUSHFD
BFF85CC2 . FC CLD
BFF85CC3 . 50 PUSH EAX
BFF85CC4 . 53 PUSH EBX
BFF85CC5 . 52 PUSH EDX
BFF85CC6 . 64:8B15 20000000 MOV EDX,DWORD PTR FS:[20]
BFF85CCD . 0BD2 OR EDX,EDX
BFF85CCF . 74 09 JE SHORT BFF85CDA
BFF85CD1 . 8B42 04 MOV EAX,DWORD PTR DS:[EDX+4]
BFF85CD4 . 0BC0 OR EAX,EAX
BFF85CD6 . 74 07 JE SHORT BFF85CDF
BFF85CD8 . EB 42 JMP SHORT BFF85D1C
BFF85CDA > 5A POP EDX
BFF85CDB . 5B POP EBX
BFF85CDC . 58 POP EAX
BFF85CDD . 9D POPFD
BFF85CDE . C3 RET
BFF85CDF > 51 PUSH ECX
BFF85CE0 . 52 PUSH EDX
BFF85CE1 . A1 F4BCFBBF MOV EAX,DWORD PTR DS:[BFFBBCF4]
BFF85CE6 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
BFF85CE8 . 8B40 54 MOV EAX,DWORD PTR DS:[EAX+54]
BFF85CEB . 0BC0 OR EAX,EAX
BFF85CED . 74 14 JE SHORT BFF85D03
BFF85CEF . 8B40 14 MOV EAX,DWORD PTR DS:[EAX+14]
BFF85CF2 . 0BC0 OR EAX,EAX
BFF85CF4 . 74 0D JE SHORT BFF85D03
BFF85CF6 . 6A 40 PUSH 40 ; /Arg3 = 00000040
BFF85CF8 . 68 DC000000 PUSH 0DC ; |Arg2 = 000000DC
BFF85CFD . 50 PUSH EAX ; |Arg1
BFF85CFE . E8 A848FEFF CALL BFF6A5AB ;\KERNEL32.BFF6A5AB
BFF85D03 > 5A POP EDX
BFF85D04 . 59 POP ECX
BFF85D05 . 0BC0 OR EAX,EAX
BFF85D07 .^ 74 D1 JE SHORT BFF85CDA
BFF85D09 . C740 0C 225EF8BF MOV DWORD PTR DS:[EAX+C],BFF85E22
BFF85D10 . 8942 04 MOV DWORD PTR DS:[EDX+4],EAX
BFF85D13 . 8910 MOV DWORD PTR DS:[EAX],EDX
BFF85D15 . EB 05 JMP SHORT BFF85D1C
BFF85D17 . E9 D3000000 JMP BFF85DEF
BFF85D1C > 64:A3 20000000 MOV DWORD PTR FS:[20],EAX
BFF85D22 . C740 08 00000000 MOV DWORD PTR DS:[EAX+8],0
BFF85D29 . 817C24 10 F987F7BF CMP DWORD PTR SS:[ESP+10],RtlUnwind
BFF85D31 . 74 1E JE SHORT BFF85D51
BFF85D33 . 817C24 10 3829F6BF CMP DWORD PTR SS:[ESP+10],FT_Thunk
BFF85D3B . 74 14 JE SHORT BFF85D51
BFF85D3D . 64:8B1D 00000000 MOV EBX,DWORD PTR FS:[0]
BFF85D44 . 8958 08 MOV DWORD PTR DS:[EAX+8],EBX
BFF85D47 . 8D58 08 LEA EBX,DWORD PTR DS:[EAX+8]
BFF85D4A . 64:891D 00000000 MOV DWORD PTR FS:[0],EBX
BFF85D51 > 8D58 10 LEA EBX,DWORD PTR DS:[EAX+10]
BFF85D54 . 8B4424 08 MOV EAX,DWORD PTR SS:[ESP+8]
BFF85D58 . 8983 B0000000 MOV DWORD PTR DS:[EBX+B0],EAX
BFF85D5E . 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
BFF85D62 . 8983 A4000000 MOV DWORD PTR DS:[EBX+A4],EAX
BFF85D68 . 898B AC000000 MOV DWORD PTR DS:[EBX+AC],ECX
BFF85D6E . 8B0424 MOV EAX,DWORD PTR SS:[ESP]
BFF85D71 . 8983 A8000000 MOV DWORD PTR DS:[EBX+A8],EAX
BFF85D77 . 89B3 A0000000 MOV DWORD PTR DS:[EBX+A0],ESI
BFF85D7D . 89BB 9C000000 MOV DWORD PTR DS:[EBX+9C],EDI
BFF85D83 . 66:8C9B 98000000 MOV WORD PTR DS:[EBX+98],DS
BFF85D8A . 66:8C83 94000000 MOV WORD PTR DS:[EBX+94],ES
BFF85D91 . 66:8CA3 90000000 MOV WORD PTR DS:[EBX+90],FS
BFF85D98 . 66:8CAB 8C000000 MOV WORD PTR DS:[EBX+8C],GS
BFF85D9F . 89AB B4000000 MOV DWORD PTR DS:[EBX+B4],EBP
BFF85DA5 . B8 EF5DF8BF MOV EAX,BFF85DEF
BFF85DAA . 874424 14 XCHG DWORD PTR SS:[ESP+14],EAX
BFF85DAE . 8983 B8000000 MOV DWORD PTR DS:[EBX+B8],EAX
BFF85DB4 . 66:8C8B BC000000 MOV WORD PTR DS:[EBX+BC],CS
BFF85DBB . A1 F0BCFBBF MOV EAX,DWORD PTR DS:[BFFBBCF0]
BFF85DC0 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
BFF85DC2 . 66:0FBA70 24 01 BTR WORD PTR DS:[EAX+24],1
BFF85DC8 . 1BC0 SBB EAX,EAX
BFF85DCA . 25 00010000 AND EAX,100
BFF85DCF . 0B4424 0C OR EAX,DWORD PTR SS:[ESP+C]
BFF85DD3 . 8983 C0000000 MOV DWORD PTR DS:[EBX+C0],EAX
BFF85DD9 . 8D4424 18 LEA EAX,DWORD PTR SS:[ESP+18]
BFF85DDD . 8983 C4000000 MOV DWORD PTR DS:[EBX+C4],EAX
BFF85DE3 . 66:8C93 C8000000 MOV WORD PTR DS:[EBX+C8],SS
BFF85DEA .^ E9 EBFEFFFF JMP BFF85CDA
BFF85DEF > 53 PUSH EBX
BFF85DF0 . 64:8B1D 20000000 MOV EBX,DWORD PTR FS:[20]
BFF85DF7 . 8B1B MOV EBX,DWORD PTR DS:[EBX]
BFF85DF9 . 64:871D 20000000 XCHG DWORD PTR FS:[20],EBX
BFF85E00 . 837B 08 00 CMP DWORD PTR DS:[EBX+8],0
BFF85E04 . 74 0A JE SHORT BFF85E10
BFF85E06 . FF73 08 PUSH DWORD PTR DS:[EBX+8]
BFF85E09 . 64:8F05 00000000 POP DWORD PTR FS:[0]
BFF85E10 > FFB3 D0000000 PUSH DWORD PTR DS:[EBX+D0]
BFF85E16 . 8B9B C8000000 MOV EBX,DWORD PTR DS:[EBX+C8]
BFF85E1C . 875C24 04 XCHG DWORD PTR SS:[ESP+4],EBX
BFF85E20 . 9D POPFD
BFF85E21 . C3 RET
BFF85E22 . 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
BFF85E26 . F740 04 06000000 TEST DWORD PTR DS:[EAX+4],6
BFF85E2D . 74 0E JE SHORT BFF85E3D
BFF85E2F . 64:A1 20000000 MOV EAX,DWORD PTR FS:[20]
BFF85E35 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
BFF85E37 . 64:A3 20000000 MOV DWORD PTR FS:[20],EAX
BFF85E3D > B8 01000000 MOV EAX,1
BFF85E42 . C3 RET
По окончании проверки , удалил и выгрузил драйвер расшир-го мониторинга процессов, выключил AVZGuard, вышел, перезагрузился.
Появилось предложение установить найденное неизв.оборудование. Отменяю при каждом включении компа. Связано ли с AVZ и как бороться?
Спасибо )
Удалите это неизвестное устройство.
Насчёт перехватчиков по утилите...
Было дело...видела по отчёту,что восстановлено 7-8 функций в ходе работы антируткинта.
А может ли отсутствовать звук из за вируса? Если по одному отчёту восстановлено 44функции в ходе работы антируткинта...Даже понятия не имею,сколько он у людей сидит,а интернет есть... Но вирус есть... Только не a-connect, а z-connect
Nvidia, вирусы с москировкой под аудио прибевал не раз
не все
да я смотрю и по логам в разделе Помогите бывает туча замаскированных процессов...Интересно,чтобы оно значило...
если перехватчики не все являются руткинтами,оно ещё может бытьо результатом работы антивиря(того же Касперского)...То когда утилита конкретно говорит в отчёте,что обнаружена маскировка процесса - это что?
Это именно оно и есть - подтвержденный файкт маскировки процесса или какой-то аномалии с ним. А причин может быть миллион - утечка хендлов например, быстрый перезапуск неких процессов (например, CGI на WEB сервере), маскировка любым методом, конфликт с антивирем и иным защитным ПО, глюк и т.п. ...
полиморфный даже сам себя по логам боится! (это даже хорошо, вирусы его не палят)
Зайцев Олег, как продвигается работа над новой версией? будет ли добавлен механизм работы с удаленным реестром? (если зараженная система не запущена то реестр: обычный текстовый фаил, почемубы не чистить его при сканировании всякой нечисти?)
Под удалённым реестром обычно подразумевают доступ к реестру работающей машины через сеть. В Windows XP Home Edition такой фокус не пройдёт, про Vista и семёрку не в курсе. А для незапущенной системы есть RunScanner, упоминался в ветке про AVZ на LiveCD
P.S. И давно файлы реестра стали текстовыми?
RunScanner пользуюсь далеко не все он делает как хотелосьбы а то что делает очень часто с глюками !есть RunScanner, P.S. И давно файлы реестра стали текстовыми?
текстовым он был изначально , структура его малочем отлечается от ини файла (по сути) а то что у него нет расширения это не помеха...
Здравствуйте. Скачал АВЗ с сайта автора, а при распаковке архива (конкретно распаковка баз) winrar выдаёт вот такое:
Пользуюсь вашим продуктом очень давно, за что очень Вам признателен.
По роду работы часто приходиться иметь дело с зараженными машинами. Использую флешку защищенную от записи.... но вот возник вопрос, а нельзя ли с помощью ключей коммандной строка переопределить место хранения каталога BackUp с файлом tsw.zbk
а то при попытки внести какие либо исправления с такой флешки выдает сообщение
Cannot create file "E:\WORK\avz4\Backup\tsw.zbk". Системе не удается найти указанный путь.
Tvill, Ну во первых "rebuilt.avz4.zip" уже указывает на то, что архив скачался не полностью/побитым. Так что лучше всего скачать его заново.
The worst foe lies within the self...
кто может сказать что єто такое:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504460 (284)
........ Проверка завершена
помогите, никак не избавлюсь.
to neon161275
виртуальный диск, типа Alcohol, DeamonTools удалите и будет счастье
Анекдот в тему - показывает пациент доктору обрывок от бумажки с результатами анализа мочи и спрашивает - "доктор, что вы можете сказать по поводу моего зуба - там пульпит или кариес ?"Если серьезно - для точного ответа обрывка лога естественно недостаточно, нужно в разеделе "Помогите" сделать исследование по правилам, приложить все логи - тогда можно сказать, однозначно и объективно (и помочь в лечении заразы, если таковая обнаружится)
to Зайцев Олег
цитата неполная, там еще spxt.sys упоминался
Ваши права в разделе
