-
Junior Member
- Вес репутации
- 58
AVZ находит CallBack, а Касперский - нет
После обнаружения в системе руткита (его обнаружил PCTools Spyware Doctor) было принято решение о переустановке системы: важных сведений не было, система давно не переставлялась, глюков было много, так что проблем и до руткита хватало.
1) Перед установкой на всякий пожарный был перезаписан mbr-файл программой "Testdisk"
2) Установлена свежая система WinXP на отформатированный системный раздел диска.
3) На свежую WinXP был установлен "Kaspersky Crystal", с помощью которого (с максимальными настройками, как и указано в инструкции http://virusinfo.info/showthread.php?t=12112 ) были выявлены и удалены\вылечены какие-то там трояны.
4) Dr.Web CureIt! в безопасном режиме ничего не нашел.
На протяжении всего этого времени, как и до переустановки системы, при проверке c включенным эвристическим анализом и параметром "Блокировать работу RootKit Kernel-Mode" АVZ продолжал выдавать наличие какого-то там колбэка, который, как утверждал AVZ, после повторной проверки (без перезакрузки), он благополучно нейтролизовал:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001453F8
Disable callback - уже нейтирализованы
Но после перезагрузки все каждый раз возвращалось на круги своя: снова AVZ обнаруживал callback, который он снова якобы удачно нейтрализовал.
А через некоторое время стали появляться кроме этого колбэка еще какие-то ntfs-руткиты, источник которых AVZ выявить не смог. И прежние проблемы, которые были замечены еще в прошлой установке системы, тоже стали возвращаться: самостоятельно открывались какие-то порты, администратор понижен в правах, имена пользователей в диспетчере задач вообще не отображаются (может, дело вовсе и не в рутките, конечно). Прошло всего 2 недели, и "Касперский" заявил, что какой-то там его модуль не прошел проверку подлинности и не захотел загружаться. После полной переустановки "Касперский Кристал" снова не захотел запускаться, т.к. подлинность какого-то там его модуля была нарушена. Пришлось Касперского удалить и сделать восстановление системы с помощью AVZ (меню "файл\восстановление системы"). После перезагрузки обнаружилось, что ntfs-руткиты, источник которых AVZ выявить не смог, пропали. Но все же остался злополучный "CmpCallCallBacks", обнаруживаемый при проверке AVZ c включенным параметром "Блокировать работу RootKit Kernel-Mode". Попробую сейчас снова "Kaspersky Crystal" установить. Может, после исчезновения ntfs-руткитов, получится.
Муж говорит, что у меня - security-фобия. Он прав? Я действительно проблему выдумала или таки она имеется?
Спасибо заранее.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Плохого не увидел, муж прав судя по всему.
-