-
Junior Member
- Вес репутации
- 60
Это нормально что кейлоггер не обнаруживается?
Скачал вчера АВЗ версия 4.30, 100% знаю что на компе стоит кейлоггер Elite Keylogger 4.1. Но АВЗ не находит его. причем кейлоггер стоит уже недели 2 - ставил для изучения работы, возможностей и тд. активен в момент работы АВЗ. но результат 0.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
т.е? АВЗ просто запущен и не находит?.. или не находит при сканировании?
пробовали Файл - Запустить сканирование
при этом что бы стояли галочки в главном окне выше "Протокол'а"
должен обнаружить...
если не сигнатурным детектом, то когда будет "дразнить" вводом теста, то запалит, или другим каким-нибудь способом...
-
Видит:
C:\WINDOWS\system32\drivers\mrx2k.sys | Подозрение на RootKit | Перехватчик KernelMode
-
-
Junior Member
- Вес репутации
- 60
по порядку. запускаю AVZ 4.3. запускаю "Файл-Запустить сканирование"
в Параметрах поисках всё по умолчанию.
в итоге
Просканировано файлов: 342, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.07.2008 15:18:09
Сканирование длилось 00:00:26
то есть даже подозрений нету.
все 3 галочки стоят, более того в закладке "параметры поиска" стоит максимальный уровень эвристики.
-
Сообщение от
AndreyKa
Видит:
Функция NtCreateKey (29) перехвачена (80623786->F8D6FD10), перехватчик C:\WINDOWS\system32\drivers\aec2k.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->F8D70642), перехватчик C:\WINDOWS\system32\drivers\aec2k.sys
Функция NtOpenKey (77) перехвачена (80624B58->F8D6FC9C), перехватчик C:\WINDOWS\system32\drivers\aec2k.sys
ПО драйвера устанавливает - их AVZ видит и успешно удаляет.
-
-
Junior Member
- Вес репутации
- 60
со всем уважением, но таких функции в логе не нахожу. хоть убейте или тут дело в том что триальный срок кейллогера истек? но он откликается - по команде с пуск-выполнить, открывается.
-
Сообщение от
TopTop
со всем уважением, но таких функции в логе не нахожу. хоть убейте
или тут дело в том что триальный срок кейллогера истек? но он откликается - по команде с пуск-выполнить, открывается.
В логе? В этом?:
10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
-
-
Junior Member
- Вес репутации
- 60
намек понял спасибо. сейчас сделаю всё и закину лог.
-
Сообщение от
TopTop
намек понял
спасибо. сейчас сделаю всё и закину лог.
Виден он, еще как. При сканировании:
Функция NtCreateKey (29) перехвачена (8056F063->FBE8CD10), перехватчик C:\WINDOWS\system32\drivers\fips2k.sys
Функция NtEnumerateKey (47) перехвачена (8056F76A->FBE8D642), перехватчик C:\WINDOWS\system32\drivers\fips2k.sys
Функция NtOpenKey (77) перехвачена (805684D5->FBE8CC9C), перехватчик C:\WINDOWS\system32\drivers\fips2k.sys
Это его перехватчики для защиты и маскировки ключей в реестре. Если задействовать нейтрализацию руткитов, то получим плюс к сообщению о снятах перехватах:
>>>> Подозрение на RootKit fips2k C:\WINDOWS\system32\drivers\fips2k.sys
>>>> Подозрение на RootKit intelex C:\WINDOWS\system32\drivers\intelex.sys
>>>> Подозрение на RootKit ndisnt C:\WINDOWS\system32\drivers\ndisnt.sys
В исследовании системы они видны как загруженные модули ядра, как драйвера ... и убиваются скриптом.
-
-
Сообщение от
zerocorporated
В логе? В этом?:
по-моему не в этом логе, а вот тут:
по порядку. запускаю AVZ 4.3. запускаю "Файл-Запустить сканирование"
ТС написал, что делает он именно так, а не делает лог в штмл формате...
Исходя из того, что кейлоггер прекрасно у всех находится, а у ТС - нет, можно предположить (с большой долей вероятности), вспомнив к тому же его слова о триальном сроке:
или тут дело в том что триальный срок кейллогера истек?
...что кейлоггер просто не работает и ничего не перехватывает и себя не скрывает - поэтому АВЗ ничего не находит - т.к искать нечего.
Дело обстоит скорее всего именно так, или: ТС что-то путает/неверно делает/не туда смотрит/у него проблемы со зрением/и далее в этом же духе.
-
Junior Member
- Вес репутации
- 60
да нет, проблемы со зрением пока отсутствуют. дело в том что логгер при вызове с "пуск-выполнить" дает посмотреть только предложение купить его или закрыть.
Убиваются временно я так понял? потому как при перезагрузке лог 1 в 1 похож на то что кидал. тогда вопрос другой - можно ли при помощи AVZ убить кейлоггер, и почему в отчете после сканирования AVZ пишет что даже подозрительного ничего нету, или то что он до определения кейлоггера "чтото" убил (убил якобы - так как при следуещей перезагрузке кейлоггер жив)?
-
дает посмотреть только предложение купить его или закрыть.
что и требовалось доказать - кейлоггер не функционирует и ничего не перехватывает - обнаруживать нечего
-
Сообщение от
TopTop
Убиваются временно я так понял? потому как при перезагрузке лог 1 в 1 похож на то что кидал. тогда вопрос другой - можно ли при помощи AVZ убить кейлоггер, и почему в отчете после сканирования AVZ пишет что даже подозрительного ничего нету, или то что он до определения кейлоггера "чтото" убил (убил якобы - так как при следуещей перезагрузке кейлоггер жив)?
Не временно. В avz есть функция отложенного удаления файлов + BootCleaner - они драйвера кейлоггера удаляют.
-