Цитата:
Thread C:\WINDOWS\system32\csrss.exe
Попробуйте загрузится с загрузочного диска/флешки (Др. Веб или того же Касперского).
» GMER - программа для обнаружения и удаления руткитов
Цитата:
Попробуйте загрузится с загрузочного диска/флешки (Др. Веб или того же Касперского).
Спасибо, я тоже собираюсь это сделать, но нет ли лучших загрузочных утилит для обнаружения Rootkits, чем продукты от DrWeb or Kaspersky.
т.е предназначенных для уничтожения этой нечисти. Или сейчас уже антивирусные монстры научились и со шпионским ПО, rootkits и др. динамически изменяющейся, внедряющейся нечистью надежно бороться?
т.е предназначенных для уничтожения этой нечисти. Или сейчас уже антивирусные монстры научились и со шпионским ПО, rootkits и др. динамически изменяющейся, внедряющейся нечистью надежно бороться?
krserv
Из совета выше скажу, что собственно для целей лечения MBR утилита Касперского может быть запущена с Windows LiveCD. Есть всякие более сложные гадости, но против всего остального должно помочь сканирование с загрузочного диска всего раздела C: (или где у тебя Винда).
Из совета выше скажу, что собственно для целей лечения MBR утилита Касперского может быть запущена с Windows LiveCD. Есть всякие более сложные гадости, но против всего остального должно помочь сканирование с загрузочного диска всего раздела C: (или где у тебя Винда).
Если вредоносная программа неактивна (а при загрузке с LiveCD она как раз неактивна) - то поможет любая утилита с хорошим набором сигнатур. Там не нужен ни антируткит-движок, ни эвристика, скорее, они только ухудшают дело.
Цитата:
поможет любая утилита с хорошим набором сигнатур
Но не всегда. Есть всякие новые гадости, с которыми не умеет бороться почти ни один антивирус.
Victorkoly
В режиме LiveCD? Кривые руки пользователя?
Пример приведите, пожалуйста. Криптовальщики - не в счёт.
В режиме LiveCD? Кривые руки пользователя?
Пример приведите, пожалуйста. Криптовальщики - не в счёт.
Цитата:
Пример приведите, пожалуйста.
http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-levels-up-with-new-autostart-mechanism/
Для устранения нужно иметь LiveCD с функцией редактирования реестра и некоторые знания того, что искать.
Этот описан куда сложнее, но возможно оставляет следы работы:
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp__understanding-wmi-malware.pdf
В тесте с ним справился только Касперский.
З.Ы. Речь идет об этом:
https://www.anti-malware.ru/malware_treatment_test_2015
Victorkoly
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-levels-up-with-new-autostart-mechanism/- для устранения этого достаточно иметь парсер файлов реестра и поиск по сигнатуре.
Цитата:
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp__understanding-wmi-malware.pdf- тоже, парсер+сигнатура
Цитата:
https://www.anti-malware.ru/malware_treatment_test_2015
Цитата:
Тест антивирусов на лечение активного заражения (апрель 2015)- я Вам про LiveCD говорю. При чём здесь активное заражение и победа Касперского на проплаченном ресурсе?
Цитата:
При чём здесь активное заражение
Если нет активного заражения, то наверное и не нужны всякие утилиты для его лечения.
Образа Виндовс LiveCD под рукой нет, проверю на виртуалке специальный Linux.
[q][/q] я на всякий случай сделал Sfc /scannow - проблема не обнаружена и затем bootrec /fixmbr; /fixboot
Правда использовал не внешнюю загрузку, а загрузку с внутреннего образа средствами ОС при загрузке в среду восстановления ОС.
Добавлено:
сейчас закачаю Live CD и погоняю Каспера и Drweb
Давно уже не сталкивался с этим. Под Windows 10 нет ли какого-нибудь официального Microsoft или другого Live CD, чтобы не пользоваться пользовательскими сборками.
Но лидер в этой области - Malwarebytes - почему-то до сих пор не создал ни одну загрузочную утилиту.
Только что прогнал их Anti-Rootkit utility - все чисто.
Правда использовал не внешнюю загрузку, а загрузку с внутреннего образа средствами ОС при загрузке в среду восстановления ОС.
Добавлено:
сейчас закачаю Live CD и погоняю Каспера и Drweb
Давно уже не сталкивался с этим. Под Windows 10 нет ли какого-нибудь официального Microsoft или другого Live CD, чтобы не пользоваться пользовательскими сборками.
Но лидер в этой области - Malwarebytes - почему-то до сих пор не создал ни одну загрузочную утилиту.
Только что прогнал их Anti-Rootkit utility - все чисто.
Цитата:
Но лидер в этой области - Malwarebytes
МБАМ - конечно не самый плохой бесплатный сканер. Хотя Eset будет явно лучше, а МБАМ без интернета очень тормозно стартует свой скан.
Victorkoly (16:40 12-07-2016)
Цитата:
Вы не понимаете определения, что такое активное заражение.
Активное заражение - это когда вредоносная программа функционирует. При сканировании с LiveCD вредоносная программа не функционирует, поскольку заражённая система не запущена. В этом случае все её механизмы сокрытия и противодействия отсутствуют, а потому её легко идентифицировать и удалить.
Регулярно проводятся меряния пиписьками по теме лечения активного заражения - по факту ни один антивирус не позволяет это сделать в реальности. Все эти сравнения делаются в таком формате и режиме, чтобы вывести заранее проплаченного фаворита и обеспечить ему рекламу.
LiveCD - наиболее универсальный, быстрый и надёжный способ лечения активного заражения (которое, по сути, неактивно в процессе сканирования и лечения). Дальше вопрос только в количестве сигнатур, их актуальности и качестве подпрограмм лечения.
Цитата:
Если нет активного заражения, то наверное и не нужны всякие утилиты для его лечения.
Вы не понимаете определения, что такое активное заражение.
Активное заражение - это когда вредоносная программа функционирует. При сканировании с LiveCD вредоносная программа не функционирует, поскольку заражённая система не запущена. В этом случае все её механизмы сокрытия и противодействия отсутствуют, а потому её легко идентифицировать и удалить.
Регулярно проводятся меряния пиписьками по теме лечения активного заражения - по факту ни один антивирус не позволяет это сделать в реальности. Все эти сравнения делаются в таком формате и режиме, чтобы вывести заранее проплаченного фаворита и обеспечить ему рекламу.
LiveCD - наиболее универсальный, быстрый и надёжный способ лечения активного заражения (которое, по сути, неактивно в процессе сканирования и лечения). Дальше вопрос только в количестве сигнатур, их актуальности и качестве подпрограмм лечения.
Цитата:
Из совета выше скажу, что собственно для целей лечения MBR утилита Касперского может быть запущена с Windows LiveCD. Есть всякие более сложные гадости, но против всего остального должно помочь сканирование с загрузочного диска всего раздела C:
Cкачал я Kaspersky rescue disk 10 - загрузился с него, запустил сканирование последний раз видел его работу на 99%, через некоторое время захожу, окно сканирования закрылось. Запускаю заново - пишет база данных повреждена, пробую обновить - не обновляется.
Придется искать Live CD и запускать с него Kaspersky removable tools.
Как-то обсуждение отклонилось от темы топика - GMER, но началось то с его результата сканирования. Сейчас после очистки компа еще раз проверю GMER.
Live CD DrWeb обнаружил 6 вредоносов, в том числе в Logon; Task manager и т.д. Каспер со второго раза, ничего не обнаружил, а первый раз как я написал выше произошло повреждение его базы данных, или воздействие на его копию в оперативной памяти вредоноса, который не позволил касперу выполнить проверку. Т.е DrWeb оказался на высоте, но вот решил ли полностью проблему посмотрим.
Также я общаюсь с техподдержкой MBAM, посмотрим как они будут помогать дальше если проблема полностью не решится. Сначала их утилиты ничего не нашли.
Цитата:
мне Gmer выдает вот такое сообщение после сканирования: Thread C:\WINDOWS\system32\csrss.exe [708:1016] fffff96165524060
Проверил на еще двух компах выдает тоже самое. На обоих как и на этом стоит одинаковая ось - Win 10
На этом компе сделал - Refresh ОS c удалением всех приложений и данных на системном диске. Сразу же после обновления системы запустил gmer- результат тот же.
Что это? Народ попробуйте у себя на Windows 10 будет у вас такое сообщение или нет.
krserv
Цитата:
У меня все нормально...
Версия Gmer 2.2.19882
Цитата:
Народ попробуйте у себя на Windows 10 будет у вас такое сообщение или нет.
У меня все нормально...
Версия Gmer 2.2.19882
т.е Gmer проходит и не выдает ни одной подозрительной записи?
Попробую на чистый винт новую Windows установить и сразу Gmer проверить.
Что меня удивляет, что gmer у меня выдает проблему на всех компьютерах, при этом антивирусники ничего не находят. Странная проблема, буду исходить из теории "Чистого листа" на новой установке.
Попробую на чистый винт новую Windows установить и сразу Gmer проверить.
Что меня удивляет, что gmer у меня выдает проблему на всех компьютерах, при этом антивирусники ничего не находят. Странная проблема, буду исходить из теории "Чистого листа" на новой установке.
krserv
Цитата:
Не обратил внимания вначале, таки присутствует запись:
#
А в чем ее подозрительность?
Цитата:
т.е Gmer проходит и не выдает ни одной подозрительной записи?
Не обратил внимания вначале, таки присутствует запись:
#
А в чем ее подозрительность?
Это у Вас записи где в разделе Rootkits? А если зайти в ключи реестра там есть красные папки? Если бы я знал что это такое? Но программа показывает, на подозрительную активность, но я не силен в этом. Поэтому в теме и обсуждаю, что это.
И как я увидел у Вас много разных записей присутствует, у меня сейчас только одна. Как я понимаю, в идеале не должно в Rootkits/malware не быть ни одной. Или нужно разбираться основательно какой процесс ведет себя так, что программа подозревает его как Rootkit.
И как я увидел у Вас много разных записей присутствует, у меня сейчас только одна. Как я понимаю, в идеале не должно в Rootkits/malware не быть ни одной. Или нужно разбираться основательно какой процесс ведет себя так, что программа подозревает его как Rootkit.
krserv
Цитата:
Да
Цитата:
Ничего красного нет
P.S. Эти записи на реальной машине с большим количеством установленных программ.
Проверил на чистой 10-ке на виртуалке - только одна эта запись в разделе Rootkits
Цитата:
Это у Вас записи где в разделе Rootkits?
Да
Цитата:
А если зайти в ключи реестра там есть красные папки?
Ничего красного нет
P.S. Эти записи на реальной машине с большим количеством установленных программ.
Проверил на чистой 10-ке на виртуалке - только одна эта запись в разделе Rootkits
надо будет поиском в инет посмотреть что народ по поводу этой записи пишет. И у разработчиков спросить, видно этот процесс видет себя так. Интересно посмотреть на других версиях Windows будет такая запись или только на 10?
Погружаюсь в теорию, но времени глубоко вникать нет:
Книга внутреннее устройство Windows Руссинович.
Системные процессы: Подсистема Windows Csrss.exe
Основной поток Smss выполняет следующие инициализирующие операции:
.....
11. Запускает процессы подсистем, в том числе Csrss
12 Запускает процесс Winlogon
После выполнения этих операций основной поток Smss переходит к бесконечному ожиданию описателей процессор Csrss и Winlogon. Поскольку от этих процессов зависит функционирование Windows, в случае их неожиданного завершения Smss вызывает крах системы.
Подсистема Windows состоит из процесса подсистемы окружения (csrss.exe), предоставляющего поддержку консольных окон, создание и удаление процессов и потоков; множество других функций....
она загружается еще до Winlogon и загрузки драйверов, т.е ее можно рассматривать как Rootkit, другое дело, наверное разработчикам известны стандартные потоки и действия, которые должна совершать Csrss, и раз Gmer показывает какой-то возникший поток в разделе Rootkits, то хотелось бы понять почему.
Нужно запустить Process Explorer Sysinternals и посмотреть что там делает Сsrss
Добавлено:
установил Process Explorer - он мне выдает ошибку открытия процесса Csrss
Установил Process Monitor - смотрю на этот процесс в нем, еще бы понимать бы что-нибудь
Знатоки, подключайтесь!
Погружаюсь в теорию, но времени глубоко вникать нет:
Книга внутреннее устройство Windows Руссинович.
Системные процессы: Подсистема Windows Csrss.exe
Основной поток Smss выполняет следующие инициализирующие операции:
.....
11. Запускает процессы подсистем, в том числе Csrss
12 Запускает процесс Winlogon
После выполнения этих операций основной поток Smss переходит к бесконечному ожиданию описателей процессор Csrss и Winlogon. Поскольку от этих процессов зависит функционирование Windows, в случае их неожиданного завершения Smss вызывает крах системы.
Подсистема Windows состоит из процесса подсистемы окружения (csrss.exe), предоставляющего поддержку консольных окон, создание и удаление процессов и потоков; множество других функций....
она загружается еще до Winlogon и загрузки драйверов, т.е ее можно рассматривать как Rootkit, другое дело, наверное разработчикам известны стандартные потоки и действия, которые должна совершать Csrss, и раз Gmer показывает какой-то возникший поток в разделе Rootkits, то хотелось бы понять почему.
Нужно запустить Process Explorer Sysinternals и посмотреть что там делает Сsrss
Добавлено:
установил Process Explorer - он мне выдает ошибку открытия процесса Csrss
Установил Process Monitor - смотрю на этот процесс в нем, еще бы понимать бы что-нибудь
Знатоки, подключайтесь!
почитав интернет, я понял, что Gmer - выдает много ложных записей ключей реестра, я установил чистую ось, и с самого начала Gmer выдал несколько ключей реестра и эту запись с csrss.
Предыдущая тема: Anvir Task Manager
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.