» Руткит в тумане.

forexmir
А Вы не посмотрели/не помните - "^^^Upload to DepositFiles.com^^^" - пустой ключ или ведет куда-то (в смысле, что-то запускает)? Если ведет, то куда и что там (какие файлы с какими датами)?
А так очень интересно - у Вас в реестр гадят две не установленные программы. Откуда?
И ProcMon - он был запущен и пропустил создание ключей? С каким фильтром?
Проверьте систему с sysinternals autoruns. Может что тайком запускается... Но в Ccleaner должно было бы быть видно.

Цитата:

А Вы не посмотрели/не помните - "^^^Upload to DepositFiles.com^^^" - пустой ключ или ведет куда-то (в смысле, что-то запускает)? Если ведет, то куда и что там (какие файлы с какими датами)?

Смотрел - пустой был.


Цитата:

И ProcMon - он был запущен и пропустил создание ключей? С каким фильтром?

Не был он запущен. Я тогда его запустил, подождал 2 дня и выключил. Думал, не появится.
Цитата:

"Path" "contains" "{604BB98A-A94F-4a5c-A67C-D8D3582C741C}" "include"

Был вот так запущен.


Цитата:

Проверьте систему с sysinternals autoruns.

Проверял уже сто раз - по крайней мере я ничего подозрительного там не вижу.

forexmir
Действительно, становится все чудесатее и чудесатее.
1. Попробуйте ProcMon последить несколько дней (действительно, просто закиньте его в автозагрузку и в конце для проверяйте. Только подобаваляйте туда все подозрительные CLSID и "DepositFiles").
2. Обратитесь за помощью в Помощь при лечении компьютера от вирусов . Только пожалуйста, сначала сделайте то, что указано в шапке и предоставьте им логи. Если что-то троянистое, они помогут вычистить. А сейчас на это все больше и больше похоже.

Добавлено:
Да, еще что. С Комодо не знаком. У него есть проактивка? Она включена? Можно ли поставить в ней повышеное внимание к изменению CLSID? Должна замечать создание подозрительных ключей.
А систему переставить всегда успеете.

Цитата:

Да, еще что. С Комодо не знаком. У него есть проактивка? Она включена? Можно ли поставить в ней повышеное внимание к изменению CLSID? Должна замечать создание подозрительных ключей.

Проактивка есть, включена. Насчет повышенного внимания - такого вроде нет. Но можно эту ветку реестра поместить в защищенные и тогда при попытке её изменить будет оповещение. Почему я раньше так не сделал?

Опять эта хрень появилась, Сomodo промолчал, паразит, хотя я весь CLSID поместил в защищенные ветки..

Alex_Piggy

Цитата:

"Path" "contains" "{604BB98A-A94F-4a5c-A67C-D8D3582C741C}" "include"

Если вместо {604BB98A-A94F-4a5c-A67C-D8D3582C741C} поставить CLSID, то по идее ProcMon будет отслеживать всю ветку или нет? И надо ли брать в скобки?

Вот так нормально?


Добавлено:
Потому как эта хрень прописывается всё время по-разному, но каждый раз в ветку CLSID..



Добавлено:
Еще что пришло в голову - я пока не удалял в очередной раз эти мусорные ключи, потому как подумал - если я их удалю, должен ли запущенный в этот момент ProcMon отреагировать на это? Ведь удаление - это тоже изменение реестра? Жду мнений)) Пока не удаляю..

Добрый день,forexmir
Всю ветку CLSID в Procmon нежелательно, так как туда достаточно часто обращаются за чтением. Хотя можно указать еще и "Operation" "is" "RegSetValue" "include" (только изменение значений), но неизвестно, будет ли работать - все таки ключ нестандартный и неизвестно, каким методом его создают. Да, нормально, только "отношение" ("relation") - не "равно" (это полное совпадение), а "contains" ("содержит"). Фигурные скобки - это часть имени каждого подраздела в разделе CLSID.

Должен отреагировать. Кстати, Comodo тоже. Чтобы проверить - не обязательно удалять, достаточно в этом разделе создать новый раздел/ключ (минимум два раза подряд он создавал у Вас в разделе "HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}") и посмотреть, отреагирует/не отреагирует (например, из комстроки "reg add HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\123 /v test /d 123" Внимательно проверьте, пожалуйста цифры - набирал с экрана.). И только после того, как убедились что реагирует, удаляйте мусорный ключ и тоже смотрите - отреагирует/не отреагирует. Вообще CLSID должны быть уникальными но воспроизводимыми при получении на данной системе для каждой программы. Я все таки за добавление в список ловли очередного значения CLSID (сейчас - "{47629D4B-2AD3-4e50-B716-A66C15C63153}")

PS. А в Comodo Вы добавляли только "HKLM\Software\Classes\CLSID\" или и его дубли ("HKCR\CLSID\", "HKCU\Software\Classes\CLSID\" - это то, что я знаю)?
PPS. "DepositFiles" не появлялось?

Цитата:

"DepositFiles" не появлялось?

Нет))


Цитата:

А в Comodo Вы добавляли только "HKLM\Software\Classes\CLSID\" или и его дубли ("HKCR\CLSID\", "HKCU\Software\Classes\CLSID\" - это то, что я знаю)?

Присмотрелся - оказывается, эти ветки и так в Comodo числятся в защищенных. Может, там есть какое-то правило, что если доверенное приложение записывает в эти ветки, то не оповещать..


Цитата:

Должен отреагировать.

Отреагировал. Теперь не знаю, что с этими данными делать. Пришел с работы, там куча записей из CSLID, сохранил в HTM - получился файлик 182Мб!! Наверное, в следующий раз настрою фильтр на конкретные ключи (их каждый раз появляется 10)...




Добавлено:
ProcMon тоже мне пока мозг выносит - после ребута попробовал его запустить - несколько раз писал "нет событий - захват выключен" - в левом нижнем углу. После очередного запуска заработал.. Тёмный лес..

Ну вот у меня есть конкрентный вопрос по ProcMon. Сделал миниролик . В первую секунду там видно, с какими параметрами создан фильтр, потом видно, что при модификации реестра ProcMon никак не реагирует. Модифицированы десятки ключей. Вопрос - я неправильно настроил фильтр или прога тупит?

Вопрос продублировал в теме по Procmon .

Добрый вечер, forexmir
Это то, из-за чего я несколько раз (спрашивал про)/(упоминал) ветки-дубли ("HKLM\Software\Classes\CLSID\", "HKCR\CLSID\", "HKCU\Software\Classes\CLSID\").
Во всяком случае у меня все изменения "HKLM\Software\Classes\CLSID\" определяются только как изменения, сделанные в "HKCR\CLSID\".

Добавлено:
Наверное правильнее будет сказать не ветки-дубли, а ветки-отражения. Она-то на самом деле одна... Не знаю, как объяснить. Наверное точнее всего будет определение "точки монтирования". Или "жесткие ссылки"?

Цитата:

Добрый вечер, forexmir
Это то, из-за чего я несколько раз (спрашивал про)/(упоминал) ветки-дубли ("HKLM\Software\Classes\CLSID\", "HKCR\CLSID\", "HKCU\Software\Classes\CLSID\").
Во всяком случае у меня все изменения "HKLM\Software\Classes\CLSID\" определяются только как изменения, сделанные в "HKCR\CLSID\".

Добавлено:
Наверное правильнее будет сказать не ветки-дубли, а ветки-отражения. Она-то на самом деле одна... Не знаю, как объяснить. Наверное точнее всего будет определение "точки монтирования". Или "жесткие ссылки"?

Так я не понял, в ролике я фильтр тогда должен настроить не HKLM\Software\Classes\CLSID\, а Software\Classes\CLSID\ ? Я так пробовал, но тогда там тысячи записей за 5 минут.. а через примерно полтора часа ProcMon виснет и вываливается с ошибкой APPCRACH(((((

forexmir
Да. Или на HKCR\CLSID\.
http://forum.ru-board.com/topic.cgi?forum=29&bm=1&topic=14453&start=35&limit=1#1

Цитата:

Всю ветку CLSID в Procmon нежелательно, так как туда достаточно часто обращаются за чтением. Хотя можно указать еще и "Operation" "is" "RegSetValue" "include" (только изменение значений), но неизвестно, будет ли работать - все таки ключ нестандартный и неизвестно, каким методом его создают.

Цитата:

CLSID должны быть уникальными но воспроизводимыми при получении на данной системе для каждой программы. Я все таки за добавление в список ловли очередного значения CLSID (сейчас - "{47629D4B-2AD3-4e50-B716-A66C15C63153}")

Прошла неделя - руткит себя никак не проявил. Надеюсь, я его всё-таки угробил непонятно как)))