Зараннее хочу извиниться если кого то обидел из за своей неопытности и бедности в технических терминах просто накипело...
сам я начинающий сис.админ сталкнулся с такой фигней вы его описываете как рутрик - я бы сказал бекдор. код прописываеться в "биос" машины занимает он около 8 мб. не убиваеться ни чем даже после обновления биос. как я помню фактически биос 512мв а програмно меньше и он просто встает рядом.ставлю win он автоматом
прописывает бек-дор на винт и тупо тянет всю гадость что описана у вас на сайте на машину.многие в это не верят но и на fedore 12 после установки ее на эту машину и проверки ее avast находятся вирусы!!!
кстати он элементарен как все гиниальное обьясню на примере linux
вы заходите под обычным пользователем у вас нет прав root но подскажите мне с какими правами вы отправляете ну скажем команду на принтер распечатать файл? а теперь представим себе что система вместо того чтобы отправить файл на печать дает команду поднять ну скажем удаленного пользователя до root. я думаю вы меня поняли.
теперь про винду если мне не изменяет память ключ реестра S-1-5-21
являеться ключем пользоватей доменной системы вин. но почему то он используеться и заполнен?очень много щас заливают себе win с загрузочных образов сделаных "умельцами" ...не говоря уже об открытых портах.. там тупо стоит вторая система "терминальная" как правило win95.и ни один ан-вир не видет ее он опознает ее как родные файлы win/.многие хвалят или ругают тот или иной ан-вир.поделюсь своими впечатлениями.каспер. хороший удобный и изначально правельный ан-вир но как показала практика он эфиктивен только от общеизвесных угроз. он привязан к реестру и любой мало мальски прыщавый хакер просто "глушит" его в реестре.
ребята видно просто устали ....avz респект и уважение но олег где анализатор целосности диска?(я имею ввиду облать что за пределами системы) + не справляеться он с теми бяками что лежат в "байтах" я думаю после проверки avz у всех или почти у всех выскакивала красная строчка типа
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000022]
или что то подобное лезет то это все из вне из вне системы а не из сети из сети идет только часть.
вопрос зачем людям описывать принцип действия??? чтобы они тут же нашли принцип противодействия???? Или мало работы? Про Nod скажу поверхностный очень отражает атаки хорошо не дает зацепиться вирусу но если сидят на компе мало помогает да и как может быть антивирус сам взломан?Вам не кажеться это глупым?
Norton очень громоздок в плане настроек и не всегда управляем обычным пользователем.
web пропускает при сканировании много файлов даже не задумываясь об их проверки.у каждого есть свои недостатки... Просьба моя заключаеться вот в чем не могли бы вы мне помочь написать скрит чтобы он анализировал всю область дискового пространства независимо от операционной системы.или хотя бы подсказать как сделать это или к кому обратиться! С Уважением лодырь!!!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
включаю по переменно из своей практики замечал что видит один то не видит другой.как мне вам переслать скрипт под названием
virusinfo_syscure или он у вас есть мне кажеться в нем есть причины для беспокойства
Добавлено через 52 секунды
если все в порядке почему столько красного выдает avz?
Добавлено через 1 минуту
>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805C1324->F89F5CCE), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (806188BC->F89F6410), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805C8CB8->F89F5E6E), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
CmpCallCallBacks = 00088FF6
Disable callback OK
Проверка IDT и SYSENTER завершена
после перезагрузки тоже самое
Добавлено через 54 минуты
это из лога micro hijackThis вашей же программы прописываеться в папку
System Volume Information переностся на все сменные носители и определяеться как троян или рутрик взависимости от ан-вира
C:\WINDOWS\system32\ctfmon.exe
да ребят если не знаете так и напишите а что за что отвечает я и сам знаю!!! я помоему скопировал из логов вам .....
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80553020
KiST = 80501BA4 (284)
Функция NtCreateKey (29) перехвачена (8061A336->F89F5EA6), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (8061A7C6->F89F61C2), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (8061A996->F89F62CC), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8061B708->F89F603, перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805C1324->F89F5CCE), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (806188BC->F89F6410), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805C8CB8->F89F5E6E), перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
CmpCallCallBacks = 00088FF6
Disable callback OK
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit ImmunetMonitorDriver C:\WINDOWS\system32\DRIVERS\ImmunetMonitor.sys
>>>> Подозрение на RootKit ImmunetProtect C:\Program Files\ClamAV for Windows\1.0.26\agent.exe
>>>> Подозрение на RootKit ImmunetProtectDriver C:\WINDOWS\system32\DRIVERS\ImmunetProtect.sys
>>>> Подозрение на RootKit ImmunetSelfProtectDriver C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
1.4 Поиск маскировки процессов и драйверовПросканировано файлов: 89, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 11.04.2010 2:24:55
!!! Внимание !!! Восстановлено 7 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятель....
AVZ ПИШЕТ ВОСТАНОВЛЕНИЕ СИСТЕМЫ ВКЛЮЧЕННО? ИНЕТЕРЕСНО КАК ОН ОПРЕДЕЛИЛ ТО ЕСЛИ Я В ПРОФИЛЕ СЛУЖБУ ОТКЛЮЧИЛ!!!
Конечно легче лечить знакомые вирусы а розобраться в сути зачем....
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
может кто то знает?
Сообщение от thyrex
, перехватчик C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
