Показано с 1 по 13 из 13.

Это нормально что кейлоггер не обнаруживается?

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    17
    Вес репутации
    58

    Это нормально что кейлоггер не обнаруживается?

    Скачал вчера АВЗ версия 4.30, 100% знаю что на компе стоит кейлоггер Elite Keylogger 4.1. Но АВЗ не находит его. причем кейлоггер стоит уже недели 2 - ставил для изучения работы, возможностей и тд. активен в момент работы АВЗ. но результат 0.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Но АВЗ не находит его.
    т.е? АВЗ просто запущен и не находит?.. или не находит при сканировании?
    пробовали Файл - Запустить сканирование
    при этом что бы стояли галочки в главном окне выше "Протокол'а"
    должен обнаружить...
    если не сигнатурным детектом, то когда будет "дразнить" вводом теста, то запалит, или другим каким-нибудь способом...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Видит:
    C:\WINDOWS\system32\drivers\mrx2k.sys | Подозрение на RootKit | Перехватчик KernelMode

  5. #4
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    17
    Вес репутации
    58
    по порядку. запускаю AVZ 4.3. запускаю "Файл-Запустить сканирование"
    в Параметрах поисках всё по умолчанию.
    в итоге
    Просканировано файлов: 342, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 17.07.2008 15:18:09
    Сканирование длилось 00:00:26
    то есть даже подозрений нету.
    все 3 галочки стоят, более того в закладке "параметры поиска" стоит максимальный уровень эвристики.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Видит:
    Функция NtCreateKey (29) перехвачена (80623786->F8D6FD10), перехватчик C:\WINDOWS\system32\drivers\aec2k.sys
    Функция NtEnumerateKey (47) перехвачена (80623FC6->F8D70642), перехватчик C:\WINDOWS\system32\drivers\aec2k.sys
    Функция NtOpenKey (77) перехвачена (80624B58->F8D6FC9C), перехватчик C:\WINDOWS\system32\drivers\aec2k.sys
    ПО драйвера устанавливает - их AVZ видит и успешно удаляет.

  7. #6
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    17
    Вес репутации
    58
    со всем уважением, но таких функции в логе не нахожу. хоть убейте или тут дело в том что триальный срок кейллогера истек? но он откликается - по команде с пуск-выполнить, открывается.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от TopTop Посмотреть сообщение
    со всем уважением, но таких функции в логе не нахожу. хоть убейте или тут дело в том что триальный срок кейллогера истек? но он откликается - по команде с пуск-выполнить, открывается.
    В логе? В этом?:

    10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

  9. #8
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    17
    Вес репутации
    58
    намек понял спасибо. сейчас сделаю всё и закину лог.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от TopTop Посмотреть сообщение
    намек понял спасибо. сейчас сделаю всё и закину лог.
    Виден он, еще как. При сканировании:
    Функция NtCreateKey (29) перехвачена (8056F063->FBE8CD10), перехватчик C:\WINDOWS\system32\drivers\fips2k.sys
    Функция NtEnumerateKey (47) перехвачена (8056F76A->FBE8D642), перехватчик C:\WINDOWS\system32\drivers\fips2k.sys
    Функция NtOpenKey (77) перехвачена (805684D5->FBE8CC9C), перехватчик C:\WINDOWS\system32\drivers\fips2k.sys

    Это его перехватчики для защиты и маскировки ключей в реестре. Если задействовать нейтрализацию руткитов, то получим плюс к сообщению о снятах перехватах:
    >>>> Подозрение на RootKit fips2k C:\WINDOWS\system32\drivers\fips2k.sys
    >>>> Подозрение на RootKit intelex C:\WINDOWS\system32\drivers\intelex.sys
    >>>> Подозрение на RootKit ndisnt C:\WINDOWS\system32\drivers\ndisnt.sys

    В исследовании системы они видны как загруженные модули ядра, как драйвера ... и убиваются скриптом.

  11. #10
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    В логе? В этом?:
    по-моему не в этом логе, а вот тут:
    по порядку. запускаю AVZ 4.3. запускаю "Файл-Запустить сканирование"
    ТС написал, что делает он именно так, а не делает лог в штмл формате...

    Исходя из того, что кейлоггер прекрасно у всех находится, а у ТС - нет, можно предположить (с большой долей вероятности), вспомнив к тому же его слова о триальном сроке:
    или тут дело в том что триальный срок кейллогера истек?
    ...что кейлоггер просто не работает и ничего не перехватывает и себя не скрывает - поэтому АВЗ ничего не находит - т.к искать нечего.

    Дело обстоит скорее всего именно так, или: ТС что-то путает/неверно делает/не туда смотрит/у него проблемы со зрением/и далее в этом же духе.

  12. #11
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    17
    Вес репутации
    58
    да нет, проблемы со зрением пока отсутствуют. дело в том что логгер при вызове с "пуск-выполнить" дает посмотреть только предложение купить его или закрыть.
    Убиваются временно я так понял? потому как при перезагрузке лог 1 в 1 похож на то что кидал. тогда вопрос другой - можно ли при помощи AVZ убить кейлоггер, и почему в отчете после сканирования AVZ пишет что даже подозрительного ничего нету, или то что он до определения кейлоггера "чтото" убил (убил якобы - так как при следуещей перезагрузке кейлоггер жив)?

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    дает посмотреть только предложение купить его или закрыть.
    что и требовалось доказать - кейлоггер не функционирует и ничего не перехватывает - обнаруживать нечего

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от TopTop Посмотреть сообщение
    Убиваются временно я так понял? потому как при перезагрузке лог 1 в 1 похож на то что кидал. тогда вопрос другой - можно ли при помощи AVZ убить кейлоггер, и почему в отчете после сканирования AVZ пишет что даже подозрительного ничего нету, или то что он до определения кейлоггера "чтото" убил (убил якобы - так как при следуещей перезагрузке кейлоггер жив)?
    Не временно. В avz есть функция отложенного удаления файлов + BootCleaner - они драйвера кейлоггера удаляют.

Похожие темы

  1. Обнаруживается вирус
    От serrvis в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 11.11.2010, 15:08
  2. Вирус не обнаруживается
    От 4ek в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 17.12.2009, 00:35
  3. RootKit не обнаруживается
    От Nautical в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 01.12.2009, 14:47
  4. Не обнаруживается Вирус.
    От KonaeJer в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 20.01.2009, 21:27
  5. Вирус не обнаруживается!
    От gk17 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 28.10.2008, 13:26

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01285 seconds with 19 queries