Перейти к содержанию
mishka

Проблема с антивирусом

Recommended Posts

Chaman

Андрей-001

Систему пришлось переустановить

Еще был найден Win32/Srizbi.Gen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Chaman

Систему пришлось переустановить

Сочувствую.

Win32/Srizbi.Gen по определению NOD32?

Попадался. Тоже спорный "товарищ". Для одних он трояно-руткит, для других ни бе, ни ме.

У KAV - это Trojan.Win32.Srizbi

Его можно было вырезать из системы в безопасном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman

Андрей-001

Да, по версии NOD32

Проще было уже переустановить, тем более, как после прогона винта на другой системы больше ничего небыло найдено, а проблемы остались

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Chaman

больше ничего небыло найдено, а проблемы остались

Да, особо вредные проявляют себя только в активной "облюбованной" ими системе. Даже после кропотливой ручной чистки самых распространённых мест "облюбования".

Если есть возможность, то лучше не мучиться и вручную затирать Documents and Settings и WINDOWS, убивать все RECYCLER и System Volume Information. А потом переустанавливать ОС.

Не лишним также будет потом проверить в BIOS отображение информации на девайсах - нет ли кракозябров, вроде @0@1@2@s@3@x@ (это пример, но не образец). Если будут, то потребуется обычная перепрошивка мат.платы.

Проверяйте периодически исполняемые процессы и Автозагрузку, как в нормальном, так и в безопасном режиме.

Как менеджер процессов, Автозагрузки и служб идеально подходит программа Starter. Работает даже в безопасном режиме и после переустановки системы.

Безопасно скачать можно отсюда. Вот мой аттачмент как пример чистой системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Как я обещал выше sl1 нашёл в своём архиве и предлагаю для ознакомления один из случаев, показывающий бессилие известных антивирусов, а также утилит AVZ, HijackThis и др. помочь в похожих ситуациях (моя цитата из поста от 14.05.2008, 1:48). Давно взял за правило делать скины интересных случаев, если есть возможность. Иногда клиентам на память, иногда себе.

Повторяю, привожу данный случай только как реальный факт - для ознакомления. В полемику, споры и обсуждения вступать не собираюсь. Никаких претензий ни к кому из а/в компаний не предъявляю и не принимаю. :)

Вот подробное изложение событий того апрельского вечера.

1) Антивирус Касперского у клиента стоял-работал-обновлялся, но вылетел после включения ПК - на прощание сказал "Произошла ошибка сервисной службы" и закрылся. Удалили. Почистили систему от файлов, ключей, баз, логов, префетч-файлов. Заново не ставился - выдавал ошибку! (картинка 1-kav.JPG).

2) Восстановление системы отключили, все рекомендованные мною операции провели, чтобы исключить повторное заражение.

3) DoctorWeb (полугодовой купленный в комп. магазине с компьютером) тоже не ставился - выдавал ошибку. (Увы не записали и не сделали скрин).

4) Сканер CureIt запускался, работал, но ничего не находил ни одним из способов.

5) AVZ сначала чуть не спалил комп выдачей бесконечной череды окон-ошибок. А после некоторых ручных манипуляций с замеченными мною подозрительными файлами и их ключами (такими, что нет описаний нигде - ни в какой А/В базе), стал запускаться, но не в нормальном виде (картинка 2-avz.JPG).

6) Все утилиты ВирусХантера не запускались и выдавали сообщения "Попытка обращения к неверному адресу".

7) Новоявленный сканер PREVXCSIFREE.EXE упрямо находил только один системный файл ntvdm.exe, который он называл Руткитом (см. 4-Prevx CSI.JPG и Prevx CSI.log), но тот как будто настоящий системный файл.

8) Rootkit Unhooker LE v.3.7.300.509 при запуске выдавал громкое сообщение (см. 5-Unhooker.JPG). После нажатия ОК, писал, что "Паразит удалён, продолжаю загрузку". Он снова сканирует, потом создаёт лог, внизу которого написано !!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =) (см. Unhooker.log). Запускаешь снова - циферьки только меняются и всё повторяется.

9) HijackThis видимо тоже отыскал проблемные места, но реально пофиксить ни одним из способов их не смог - гады и подозрительные модули остались на своих местах (см. 3-hijackthis.JPG и 6-hijackthis.JPG и hijackthis.log).

10) a-squared Anti-Malware (лиц.) без проблем запускался, работал, обновлялся. Его встроенная утилита a2HiJackFree помогла почистить систему и сложные места от некоторых подозрительных файлов и служб, и проблема решилась, деятельность mp3res и xprot.sys была прервана. (7-a-squared.JPG, скрин a2HiJackFree).

11) После этого антивирус Касперского наконец смог установиться, обновиться и начать работать. Проверка системных файлов гадов - mp3res и xprot.sys - не выявила. Они были поочерёдно найдены и обезврежены только в процессе работы по своему поведению (см. очерёдность в файле 8-KAV.JPG). Один в тот же вечер, а другой на следующий день, при первом подключении к Интернету.

Проблемы_с_АВ.zip

Проблемы_с_АВ.zip

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

По-моему, это говорит не о том, что "хорошие утилиты" так здоровски созданы, а о том, что они малопопулярны. Для себя я сделал вывод, что Олегу Зайцеву стоит что-то сотворить с утилитой, дабы противостоять новым зловредам.

А вообще, спасибо. Было интересно почитать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
Chaman

Не лишним также будет потом проверить в BIOS отображение информации на девайсах - нет ли кракозябров, вроде @0@1@2@s@3@x@ (это пример, но не образец). Если будут, то потребуется обычная перепрошивка мат.платы.

Бред.

Проверяйте периодически исполняемые процессы и Автозагрузку, как в нормальном, так и в безопасном режиме.

Вот это делать можно, только процентов 90 вирей Вы так не определите, даже если они есть в системе.

Так что пользы от такой проверки весьма мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
Как я обещал выше sl1 нашёл в своём архиве и предлагаю для ознакомления один из случаев, показывающий бессилие известных антивирусов, а также утилит AVZ, HijackThis и др. помочь в похожих ситуациях (моя цитата из поста от 14.05.2008, 1:48).

[skip]

Вообще в этом случае достаточно было только 2-х утилит - HijackThis и RKU

Вот в логе HijackThis виден один подозрительный файл:

O20 - Winlogon Notify: mp3res - C:\WINDOWS\SYSTEM32\mp3res.dll

Вот в логе RKU виден ещё один подозрительный файл:

>SSDT State

NtCreateProcess

Actual Address 0xF89EA08D

Hooked by: C:\WINDOWS\system32\xprot.sys

>Hooks

ntoskrnl.exe-->IoCreateFile, Type: Inline - RelativeJump at address 0x805714F7 hook handler located in [xprot.sys]

ntoskrnl.exe-->IoGetCurrentProcess, Type: Inline - RelativeJump at address 0x804E4BDF hook handler located in [xprot.sys]

Кстати, там же, только чуть пониже также виден и обнаруженный ранее mp3res.dll, так что, в принципе, для обнаружения вирей на этом компьютере было бы достаточно только лога от RKU.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

а лечить с Rescue CD не пробовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Хоть я и написал выше, что не буду ничего объяснять, но невнимательность и торопливость желающих вставить своё, без сомнения, умное замечание, к тому обязывает.

Иван

а лечит с Rescue CD не пробовали?

Клиентский комп - хозяин ничего не знал.
Winny

Вообще в этом случае достаточно было только 2-х утилит - HijackThis и RKU

Winny

Кстати, там же, только чуть пониже также виден и обнаруженный ранее mp3res.dll, так что, в принципе, для обнаружения вирей... было бы достаточно только лога от RKU.

А я и без них знал, кто там засел. Ради спорт. интереса запускал разные утилиты. Но пофиксить HijackThis и RKU в тот раз систему и обеззаразить её от mp3res и xprot.sys не смогли. Пришлось им помочь.

Посмотрите по дате создания, когда вышли их последние версии - то-то же. А малварь плодится каждый час.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..
@0@1@2@s@3@x@
Бред.

Точна! У моей знакомой в прошлом году в биосе на дисководе такая же - ну очень похожая - [ерунда] была. Сам видел.

Тоже перепрошивкой знакомый специалист убирал. Стало нормально название отображаться и дисковод заработал как двд.

Отредактировал Umnik
  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
А я и без них знал, кто там засел. Ради спорт. интереса запускал разные утилиты. Но пофиксить HijackThis и RKU в тот раз систему и обеззаразить её от mp3res и xprot.sys не смогли.

С АВЗ еще и работать уметь надо - скрипты и т.д.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ad-

Вопрос:

Апочему RKU версии 3.0.7ххх пытается шпиков насажать в систему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Winny Ответьте человеку?

Апочему RKU версии 3.0.7ххх пытается шпиков насажать в систему?

Как Вы там?

>Hooks

ntoskrnl.exe-->IoCreateFile

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
Winny Ответьте человеку?

А что отвечать, если RKU ничего подобного не делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Winny А что отвечать, если RKU ничего подобного не делает?

Я тоже подобного за RKU не замечал.

ad- Сделайте, пожалуйста, скриншот (снимок) окна программы, которой пользуетесь или опишите её действия, которая определяет RKU по вашей версии как "распространителя шпиков". Нужно разобраться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ad-
А что отвечать, если RKU ничего подобного не делает?

Проблема в том что делает. С 2-х источников качал. Но на обоих кажись модифицированный.

Вопрос - а нормальная версия его водится?

Кстати пытается создать файл типа 5OFGSWE87.EXE, в папке система32 - на котором антизверь и ловит.

Virus.JPG

post-4354-1211638116_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Проблема в том что делает. С 2-х источников качал. Но на обоих кажись модифицированный.

Вопрос - а нормальная версия его водится?

Кстати пытается создать файл типа 5OFGSWE87.EXE, в папке система32 - на котором антизверь и ловит.

Должен создавать \system32\drivers\rkhdrv40.sys ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Кстати пытается создать файл типа 5OFGSWE87.EXE, в папке система32 - на котором антизверь и ловит.

Это называется False Positive.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ad-
Должен создавать \system32\drivers\rkhdrv40.sys ..

А зачем мне это?

Это называется False Positive.

Ложное срабатывание это когда Каспер на невинном диске (записанном в 2003 году :) ) на каждом шагу по вирусу находит. А я проверял - прога все время разные файлы создать пытается.

К тому-же... Кто знает ОФ сайт RKU ???

Приложение - скрин с перехваченными файлами. Или вы утверждаете что это чтото другое? Проверьте свои компы. если такого типа скрытые файлы присутствуют- то это в крайнем случае ненормально.

statistic.JPG

post-4354-1211705120_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
А зачем мне это?

Это не Вам, это RKU.

Ложное срабатывание это когда Каспер на невинном диске (записанном в 2003 году :) ) на каждом шагу по вирусу находит. А я проверял - прога все время разные файлы создать пытается.

Способ чуть-чуть защититься от противодействия.

К тому-же... Кто знает ОФ сайт RKU ???

Был http://rku.nm.ru/

Сейчас разработка программы прекращена и сайт свободен.

Приложение - скрин с перехваченными файлами. Или вы утверждаете что это чтото другое? Проверьте свои компы. если такого типа скрытые файлы присутствуют- то это в крайнем случае ненормально.

Напишите производителю Вашего AV, чтобы устранил ложное срабатывание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ad-
Напишите производителю Вашего AV, чтобы устранил ложное срабатывание.

А если это не ложное срабатывание?

Т.к. если система должна вписать файл то имя у него должно быть всегда одинаковым. А это судя по всему всетаки троян.

Был http://rku.nm.ru/

Сейчас разработка программы прекращена и сайт свободен.

Тото и оно.

Файл отправил. Подождем результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
А если это не ложное срабатывание?

Т.к. если система должна вписать файл то имя у него должно быть всегда одинаковым.

А это ещё почему??? :blink:

P.S.

Кстати, сам RKU при каждой инсталляции тоже создаёт для себя другое имя.

Сейчас у меня его имя - hk452c7lhePNl0OhT4.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ad-

Anti-virus Research Lab has analyzed the file(s) you have sent from your Virus Vault. Below you can find the results for each file. The final verdict on the file is either a correct detection or a false positive detection.

"C:\WINDOWS\system32\22F859D0.exe" - detection is correc

Вот и вердикт. Надеюсь перевод ненужен.

Вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вот и вердикт. Надеюсь перевод ненужен.

Вопросы?

Есть.

нахрена зачем посылать троян, если грешите на RkU как его источник ? у вас RkU сомнения вызывает - ну так его и шлите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] (!) Невозможно открыть процесс: start.exe [2960] Полное имя                  START.EXE
      Имя файла                   START.EXE
      Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
       ---------------------                         Самый обычный запуск и чистая система. Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат...  
    • PR55.RP55
      В окнах -  появилась реклама. ( ожидаемо ) uVS этого не видит. ------------ New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows" -Name "Explorer" -force New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Explorer" -Name "DisableNotificationCenter" -PropertyType "DWord" -Value 1 New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\PushNotifications" -Name "ToastEnabled" -PropertyType "DWord" -Value 0 ----------------- # Add HKEY_Users as a PS Drive New-PSDrive -PSProvider Registry -Name HKU -Root HKEY_USERS # Add the default user's registry hive so it is viewable/browsable by PowerShell Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE LOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove notification group policies from current user Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove notification group policies from local machine Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer' -Name 'DisableNotificationCenter' -Force # Remove notification group policies from default user Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove default user's registry hive Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE UNLOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove HKU_Users from PowerShell Remove-PSDrive -Name HKU --------------- Disable Security and Maintenance Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance Value Name: Enabled (DWORD)
      Value: 0 Disable OneDrive Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.SkyDrive.Desktop Value Name: Enabled (DWORD)
      Value: 0 Disable Photos Notifications HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.Windows.Photos_8wekyb3d8bbwe!App    
    • PR55.RP55
      Как оказалось всё гораздо хуже... Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника ) значит работает 32-х битный модуль... на 64-х битной системе.    
    • PR55.RP55
      В общем судя по всему активации 64-х бит. модуля мешал Windows Defender По хорошему нужно логи\журналы защитника в образ автозапуска сохранять. Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть. Возможно чтобы антивирусы так не реагировали что-то придумать.
    • PR55.RP55
      uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language  [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000  [C:\WINDOWS] (!) Не удалось активировать 64-х битный модуль ----------- Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download
×