Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

keylogger и реестр (заявка № 5146)

  1. #1
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66

    Cool keylogger и реестр

    Здравствуйте Уважаемые знатоки!WinXP Home SP2+Norton Antivirus2005+Outpost 3.5Spyware-сканер сканировал комп.В реестре нашел мне такую запись в разделе HKLM\SOFTWARE\Licenses:Handy Keylogger и Elite Keylogger{R7C0DB872A3F777C0}{K7C0DB872A3F777C0}Дес кать она собирает инфу активности системы и чегой-то с ней делаетЯ пока не удалил эту заразу, а решил посоветоваться с вами.Вопросы:1. Какова достоверности идентификации?2. Какая программа позволяет определить источник и время генерации этих записей в реестре?3. как отследить куда передается(сохраняется) собранная кейлоггером информация? (локальный файл, адрес в инете, запись в реестре и пр.)4. Как расшифровать(прочитать) содержимое реестра? - там все в бинарном виде.5. какая программа поможет контролировать(защитить-восстановить) реестр от несанкционированных изменений?6. В этом же подразделе(HKLM\SOFTWARE\Licenses) реестра имеется еще пара записей - Outpost молчит, что в них непонятно, может тоже враг какой нить?7. Содержимое записей реестра могу выложить по запросу.8. Подскажите кто знает какие программы создают подраздел HKLM\SOFTWARE\Licenses.9. в WinXP можно настроить параметры доступа к разделам реестра. Каким разделам следует сопоставить какие разрешения(система, администратор, создатель-владелец, и т.д.)? 10. Дайте пожалуйста ссылку на ресурс который поможет настроить систему безопасности реестра. Да и вообще неплохо было бы иметь в арсенале программку, которая контролировала бы любые попытки доступа не только к реестру, но и файловой системе.Спасибо за внимание.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Начнем с http://helpme.virusinfo.info, потом можно просканировать моей утилитой (ссылка в подписи). Будет видно, сидит ли у вас кейлоггер либо детектируется запись в реестре, принадлежащая, возможно, обычному софту.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Din Gior
    2. Какая программа позволяет определить источник и время генерации этих записей в реестре?
    источник - никакая

    Цитата Сообщение от Din Gior
    3. как отследить куда передается(сохраняется) собранная кейлоггером информация? (локальный файл, адрес в инете, запись в реестре и пр.)
    для начала надо найти сам кейлоггер

    Цитата Сообщение от Din Gior
    4. Как расшифровать(прочитать) содержимое реестра? - там все в бинарном виде.
    стандартный Regedit.exe для активного реестра, RegView - для неактивного реестра

  5. #4
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66
    1. Xen Этот этап "http://helpme.virusinfo.info/" пройден, логи готовы. Не пойму куда выкладывать - В "Помогите" или продолжаем здесь?
    2. MOCT R7C0DB872A3F777C0, как я понимаю это в 16-ричном виде?
    А как это в обычные символы перевести? есть прога?
    В Regedit.exe каку кнобку ни жми - не переводит в нормальный вид

  6. #5
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66
    Кстати, согласно п.8 правил отключил восстановление системы.
    Пункта обратного включения не достиг за неимением такового в правилах.
    Мне что, так и плавать без прикрытия?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Din Gior
    1. Xen Этот этап "http://helpme.virusinfo.info/" пройден, логи готовы. Не пойму куда выкладывать - В "Помогите" или продолжаем здесь?
    создавать тему в Помогите! и класть туда

    Цитата Сообщение от Din Gior
    2. MOCT R7C0DB872A3F777C0, как я понимаю это в 16-ричном виде?
    А как это в обычные символы перевести? есть прога?
    В Regedit.exe каку кнобку ни жми - не переводит в нормальный вид
    нет, это не 16-ричный - там могут быть только буквы от A до F, и уж никак не R.
    это и так нормальный вид для этой записи.

  8. #7
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66
    Перехожу в "Помогите"

  9. #8
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66

    keylogger и реестр

    Выкладываю логи. Продолжение темыhttp://virusinfo.info/showthread.php?t=5146
    Последний раз редактировалось Din Gior; 29.06.2006 в 15:19.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Для начала согласно правилам нужно прислать:
    C:\WINDOWS\ATKKBService.exe
    c:\sysprep\patch\sysprep.cmd
    System32\atkdisp.dll
    Но это так сказать для профилактики .... в остальном кейлоггеры вроде как не заметны, возможно, ложное срабатывание того сканера, которые выдал это сообщение.

  11. #10
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66

    Cool keylogger и реестр

    c:\sysprep\patch\sysprep.cmd
    Нет такого файла на моей машине
    остальные прикладываю
    Последний раз редактировалось Din Gior; 29.06.2006 в 15:19.

  12. #11
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66

    Куда все ушли?

    Я чего- то не так сделал? Не молчите - давайте общаться,Если чего нарушил - не нарочно.Зайцев, Xen, Мост, Ау!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    >> Вопросы:1. Какова достоверности идентификации?
    Когдато у вас на компьютере действительно стоял кейлогер, антивирус его удалил.

    >> 2. Какая программа позволяет определить источник и время генерации этих записей в реестре?
    Никакая, ключи реестра не имеют даты создания.

    >> 3. как отследить куда передается(сохраняется) собранная кейлоггером информация?
    (локальный файл, адрес в инете, запись в реестре и пр.)
    Уже поздно. Несколько утилит для подобных раскопок можно найти на www.sysinternals.com

    4. Как расшифровать(прочитать) содержимое реестра? - там все в бинарном виде.
    Выгрузить в файл, хотя скорее всего информация зашифрована, и расшифровать можно только имея в руках программу которая эти данные шифровала и то не во всех случаях. Зависит от применённого шифра.

    5. какая программа поможет контролировать(защитить-восстановить) реестр от несанкционированных изменений?
    Частично умеет Касперский 2006, частично WinPatrool, частично сам Windows.
    В Windows смотрите Audit и резервное копирование. Так-же очень можно использовать для защиты - ShadowUser или ShadowSurfer и ещё неплохую защиту даёт - DefenseWall Host Intrusion Prevention.
    Как вариант можно использовать Drop my right

    6. В этом же подразделе(HKLM\SOFTWARE\Licenses) реестра имеется еще пара записей - Outpost молчит,
    8. Подскажите кто знает какие программы создают подраздел HKLM\SOFTWARE\Licenses. что в них непонятно, может тоже враг какой нить?7. Содержимое записей реестра могу выложить по запросу.
    Скорее всего какая-то из програм сложила регистрационные ключи, а на самом деле может быть что угодно. RegMon от Sysinternals может показать чья это "заначка".

    9. в WinXP можно настроить параметры доступа к разделам реестра.
    Каким разделам следует сопоставить какие разрешения(система, администратор, создатель-владелец, и т.д.)?
    На каждый ключ надо настраивать по своему, общих рекомендаций увы нет.

    10. Дайте пожалуйста ссылку на ресурс который поможет настроить систему безопасности реестра.
    msdn.microsoft.com но копаться будете долго, там есть всё, но что-то найти очень трудно.
    Узнать вы уже ничего не сможете, потому как антивирус все остальные "улики" добросовестно почистил.

    Чтобы убрать весь оставшийся мусор можете создать рег файл след. содержимого и добивить его в реестр -
    Код:
    REGEDIT4
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4BEF2011-88FB-0546-1BD1-FCD02B406654}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A8809076-71C2-4B90-8DD6-6BF107F4F029}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7EBC9879-80A3-4F7C-8962-CB66B7D25F19}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D1008EEB-37BC-4E5C-8A18-F30A111D98DF}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EEA8E1E1-81D8-4AB9-B796-58C5A057A022}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AC348A2D-469C-4346-A115-4CB9F1EC5FEB}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LaunchInIE.Launch]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LaunchInIE.Launch.1]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\RockinFewl\LaunchinIE]
    
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVCHOST]
    
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCHOST]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
    "TrapPollTimeMilliSecs" = -
    
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Window_Placement" = -

  14. #13
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66
    Благодарю за исчерпывающие ответы.
    С помощью regmon отловил прогу. Ничего страшного.
    Код в реестр бросил. Если можно вкраце по русски что в этом коде?

    Всех благ!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Din Gior
    Если можно вкраце по русски что в этом коде?
    Можно - это выжимка из рекомендаций Symantec по уборке мусора за этим трояном .. пойди сюда удали то, пойди туда удали это - собранно мною до кучи в виде одного *.reg файла.

  16. #15
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66
    Расскажу анекдот.
    Жена мимоходом выключает свет в туалете. Оттуда раздается крик отчаяния.
    Она в ужасе открывает дверь. Муж с облегчением произносит:
    -Слава богу это ты! А я думал глаза лопнули!

    Со мной ситуация аналогичная:
    Мой комп с трудом сдерживая мои и вирусные атаки пытается работать.
    Вы предлагаете отправить Вам три файла. Я благополучно высылаю два - которые нашел и выключаю компьютер.
    Назавтра включаю комп и... О ужас! Комп работает в режиме минимального разрешения, цветность 4 бита.
    Ну все думаю капец - комп завалили. Вирус победил. Надо понять мое душевное состояние. Глубочайшее отчаяние - это мягко сказано.
    Восстановить нормальную работу видеокарты не смог. Работать с таким экраном невозможно. Собрался сносить систему.
    Последний взгляд на остатки рабочего стола зацепился за Zip который я Вам отправил. И что я в нем обнаружил?
    Правильно, видеодрова, которые я переместил из системной папки.
    Туда я их и вернул. Да будет свет!

    Пользуясь случаем хочу спросить вот о чем:
    Вчера включил AVZGuard. И все... пипец. До перезагрузки ни одну программу не смог запустить.
    Ругань стоит по поводу моих прав запускать что либо. Ну перезагрузился, прочитал Help к AVZ все понял.
    Но произошло еще во что:
    При загрузке Windows нашла новое устройство и начала искать к нему дрова. Я в систему.
    Действительно новое устройство с вопросами. Посмотрел - оказалось AVZ_Legalis_0000
    Ну или что-то подобное.

    Вопросы: Что за устройство? Что оно в моей машине собирается работать? Какие функции выполнять? Ставить ли к нему дрова и где их взять.
    Если это непорядок то как с этим бороться?

    Всего доброго!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    При загрузке Windows нашла новое устройство и начала искать к нему дрова. Я в систему.
    Действительно новое устройство с вопросами. Посмотрел - оказалось AVZ_Legalis_0000
    Ну или что-то подобное.

    Вопросы: Что за устройство? Что оно в моей машине собирается работать? Какие функции выполнять? Ставить ли к нему дрова и где их взять.
    Если это непорядок то как с этим бороться?
    Ответ автора:
    http://virusinfo.info/showpost.php?p...&postcount=138

  18. #17
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66
    Во первых хочу поблагодарить Олега Зайцева и всех, кто ему помогает в разработке AVZ за помощь в диагностике и лечении моего компьютера.
    Считаю, что в скором времени AVZ займет не последнее место в арсенале антивирусных средств каждого компьютера. Нужная программа. Если я сейчас удалю её с машины, наверное почувствую себя голым, несмотря на наличие Нортона Антивиря.

    Xen! тебе тоже большой респект. Твоя прога влет отмониторила Gator, tricler пропись в реестр,
    тоже нет желания удалять, хочется пользовать.

    RIC благодарю за обсоятельное разъяснение и Отмывочный код.
    Благодарю также за полезные ссылки.

    --------------------------------------------------------------------------------

    c:\sysprep\patch\sysprep.cmd - этот файл по видимому производитель компа(ASUS) патчил XP при установке
    и видимо как-то связано с PEBuilder имхо просто остался мусор в реестре, а сам файл отсутствует.



    Вопрос по AVZ : После Автокарантина в карантине файлов около 16Мег, среди них и Symantec и прочие вроде вполне благополучные файлы.
    Вам их высылать? Дело в том что некоторые в качестве служб отображаются в черном цвете, т. е. они вам нужны для пополнения базы чистых или нет?
    Или они вероятно грязные и их необходимо проанализировать?

    При сканировании такие строки:
    Функция ZwOpenThread (6F) перехвачена (804DEE3A->81D8E6C, перехватчик не определен это может быть враг?

    И еще я уже спрашивал, ответа нет: Windows восстановление системы теперь можно включать или пускай живет без неё?

    Всего бодрого!

  19. #18
    Junior Member Репутация
    Регистрация
    31.03.2006
    Адрес
    февральский
    Сообщений
    44
    Вес репутации
    66
    И еще вопросик
    Контроль компонентов Аутпост показал:
    13.04.2006 21:07:57 Компонент был изменен IEXPLORE.EXE incdshx.dll 186785823ce47bb2377d7ed95fb62ca5
    21:41:39 Компонент был изменен IEXPLORE.EXE dmiehlp.dll

    Как вы считаете - это нормальное поведение IEXPLORE.EXE по отношению к компонентам INCD(NERO) и Download Master соответственно?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Как вариант: если в настройках DM и Nero велено делать автообновления, то они, видимо, их сделали. По-хорошему, надо следствие провести.

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Din Gior
    И еще вопросик
    Контроль компонентов Аутпост показал:
    13.04.2006 21:07:57 Компонент был изменен IEXPLORE.EXE incdshx.dll 186785823ce47bb2377d7ed95fb62ca5
    21:41:39 Компонент был изменен IEXPLORE.EXE dmiehlp.dll

    Как вы считаете - это нормальное поведение IEXPLORE.EXE по отношению к компонентам INCD(NERO) и Download Master соответственно?
    Outpost реагирует на подгрузку новой DLL в процессы, имеющие выход в Инет, и на любое изменение DLL (он проверяет контрольную сумму). Это конечно раздражает, но очень полезно, т.к. позволяет изловить многих шпионов. Нужно просто убедиться, что DLL не опасна ...
    16 мб карантина - это конечно многовато, веротяно если выкинуть из результатов карантина Symantec, то размер резко сократится ...

  • Уважаемый(ая) Din Gior, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. keylogger
      От Natsume Yuki в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.06.2011, 06:15
    2. PDM KeyLogger
      От Gravinias в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.01.2011, 13:52
    3. PDM.Keylogger
      От CauJIep в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 29.06.2009, 20:55
    4. Keylogger
      От orbison в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.06.2009, 18:21
    5. Keylogger
      От Ambi в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.06.2009, 17:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01188 seconds with 19 queries