» AVZ - Anti-SpyWare, Anti-AdWare

gjf

Цитата:

Назовите хотя бы один руткит под х64

TDL4


Цитата:

буткиты не считаются

Буткит - это, грубо говоря, и есть руткит, частью которого является код, модифицирующий MBR и обеспечивающий, к примеру, отключение проверки подписи драйверов.

Benchmark

Цитата:

TDL4

Цитата:

буткиты не считаются

TDL4 - буткит. И его детект, равно как и лечение, на данный момент обеспечивается исключительно специфическими утилитами (ака TDSS Killer, кстати, на х64 работает тоже и ловит и другие буткиты в том числе). Ни один из антируткитов его не отлавливает. Так что я умышленно написал - буткиты не считаются.

Если нормально написанный код смог поставить свои перехваты до загрузки системы, то его уже не отловить.

Итого имеем: AVZ для ловли 80% троянов + Gmer для зачистки руткитов на х32
AVZ для ловли 95% троянов + TDSS Killer для зачистки буткитов на x64
(кстати, для такого рода заразы он и на х32 предпочтительнее Gmer'a)

Плюс - нестандартные ситуации с активной самозащитой, когда нужны сторонние утилиты - это и на х32, и на х64. Ситуации эти вообще никак кернелмода не касаются, а потому драйвера здесь не при чём.

То, что AVZ кое-чего "не видит" - это факт, но он отнюдь завязан не на драйверах. Будем надеяться, что в грядущей версии это будет поправлено.

Цитата:

TDL4 - буткит

*пожимает плечами*

Если нет понимания, что буткит - это всего лишь руткит с загрузочным функционалом, тогда говорить в принципе не о чем.

Benchmark
Просто я не демагогией занимаюсь, а системы заражённые лечу. И по мне как назвать - всё равно, хоть жёппкит, лишь бы можно было вылечить и была известна методика для этого.

На данный момент рабочий подход известен, и он не единственный. На мой взгляд Олегу надо внимание обратить вовсе не на драйверную компоненту, поскольку AVZ на данный момент куда актуальнее валят не "руткиты" под х64.

gjf

Ну, и туда же я бы добавил Process Hacker это один из немногих менеджеров процессов способных детектировать скрытые процессы, и понятное дело удалять их. Меня он выручал не раз, причём не только поисках заразы, но и в случе поиска защитных драйверов мешающих аварийному завершению демонов кривых сетевых пакетов. Приме Acer YOTA Meneger для их нетбуков. Пока не снимешь процесс скрытого драйвера завершить демон не сможешь, а он в свою очередь мешает корректно поставить драйвера на Wi-Fi моде базирующийся на чипе Intel 5150. В итоге машина сеть не видит. Я с этим делом перед новым годом несколько часов потратил пока отыскал эту пакость. После всё исправил за пять минут. Потому и этот инструмент и этот способ защиты от изменений среды как мне думается, стоит положить в копилку полезных знаний - кто знает, где и когда пригодится? И вот, что вылетело из головы - этот пакет сочетает в себе свойства отладчики и менеджера задач и процессов, поддерживает и х86 и х64 системы, а один из его авторов Марк Русинович. По мощности я бы скорее его к отладчикам отнёс. И учитывая наличие и установочного и портабельного вариантов, а так же среднюю частоту обновлений примерно раз в месяц и быструю реакцию авторов на баг-репорты Process Explorer из моего арсенала удалился на вторые роли.

Victor_VG, много вам радости! Первый случай, когда вижу миграцию программы с этой (...) .NET. Не написали бы - никогда б не подумал смотреть его опять.
(Ну нет этой платформы у меня, как и у большинства ещё, а так душа не тянет иметь такую программу в штате для компов с .NET, даже если очень полезна. Эта - была - самой востребованной программой на фреймворке)

Erekle

Главное, что она работает, своё дело делает и полезна.

Victor_VG
Нет, я чаще RkU юзаю в нештатных случаях. Но к ProcessHacker и Process Explorer испытываю исключительно уважения, регулярно обновляю и даже пару раз использовал

gjf

Ясно. Ну, я тебе тогда сейчас коли всё сработал без ошибок, и ещё TDM-GCC 4.5.1 R1 U3 подкину. 4.5.2 ещё нет - он только сам вышел, и что там будет изменено я пока не в курсе - автор обычно о своих планах пока не сделает не говорит. И я с ним согласен - лишняя "афиша" в работе помеха.

Скажите, а что это такое и есть ли повод для беспокойства?
В открытых портах UDP avz обнаруживает это.

И если есть повод для беспокойства какие шаги предпринять далее?

sisasebol
Похоже на вирь в процессе.

Aleks78
И что теперь делать? Может посоветуете? Только поподробнее а то я не очень разбираюсь в компьютерах.

sisasebol
live cd курить

opt_step
Вот этот pid 1508 слушает ещё и эти порты.

А вот службы за которые отвечает этот сервис

Возможно это связано с получением автоматических настроек от моего провайдера. Потому что IP которые слушает pid 1508 все моего провайдера.

Цитата:

live cd курить

Зачем его курить? У меня система стартует и работает нормально. Касперский не чего не находит. Куреит в безопасном режиме тоже. Я так понимаю что live cd используют в основном если не возможно загрузить систему? AVZ тоже не чего опасного не находит.

sisasebol
Взять ProcessExplorer и посмотреть что внутри процесса.

Цитата:

а то я не очень разбираюсь в компьютерах.

sisasebol

Цитата:

Я так понимаю что live cd используют в основном если не возможно загрузить систему?

да не только

Oleg_Zaitsev

Цитата:

Я так-же поздравляю всех с наступающим Новым Годом ! (кстати, после праздников выйдет версия AVZ 4.36)

Когда ожидается время "после праздников" ?

Наверно в этом месяце

Aleks78

По крайней мере я на днях заразу 4.35-й гонял. Вроде мелочь, обычный порно-банер требованием денег: садился в HKCU ... Run, длинна 77678 байт, тело в %APPDATA%\<16 цифр>\<16 цифр>.exe, в С:\ бинарник инсталлятора около 46 Кб, с именем test.exe и иконкой от NSIS, но точно не NSIS стуб установщика явно самописный, и в инсталляторе и в самой твари стоят вызовы Elevation и переключения контекста привилегий, тварь после запуска поднимает свои привилегии до уровня Local System блокируя работу оператора надоедливым окном на переднем плане с надписью "Вы пользовались гей-порно ресурсом ... более трёх часов. Заплатие 400 рублей и введите полученный код в этом окне тогда это сообщение исчезнет." и постоянно рвя сетевое соединение. В общем заштатная дурилка-шантажист, вышибаемая за пару минут с любого Live CD или снимаемая Process Hacker-ом в секунду, но не стандартным встроенным менеджером задач или Process Explorer/Iarsn TaskInfo - LSASS читая её ACL не позволяет это им сделать - типа правов у них на это нет - тварь сидит с правами системного процесса в контексте LSASS.

Я даже не стал разбираться какого оно года-роду племени-завода - просто запустил машину с FreeBSD UNIX DVD, и вынес этого паразита к лешему. Возится ещё с выяснением его фамильного древа. Пришиб, забыл, занялся другими делами, а у меня и без него их достаточно было, на всю ночь хватило возни с паяльником. Народ там с этой тварью несколько дней мирился, но вот странно то, что впервые её заметили через несколько дней после посещения офиса "для проверки лицензионности установленного софта" товарищами из известного ведомства. Собственно эти "контролёры" и устроили всю эту не нужную для меня работу. Какого спрашивается чёрта им потребовалось лезть проверять "Лицензионность установки Windows" в роутеры 3COM и SMC??? Что интересно эти идиоты там забыли? В итоге ясное дело, пожгли коробочки и пару системных блоков в придачу. Пришлось мне туда ехать, чипы перепаивать - всплыло это слишком поздно и гарантия уже на железки закончилась, да и иди сейчас докажи, что это именно они сделали коли местный электрик, добрая душа, уже вскрыл пломбы на корпусах - по его словам, он думал что там просто предохранители сгорели, типа заменит и всё будет работать.

sisasebol 15:27 23-01-2011
Цитата:

И что теперь делать? Может посоветуете? Только поподробнее а то я не очень разбираюсь в компьютерах.

заглянуть сюда http://forum.ru-board.com/topic.cgi?forum=62&topic=20225

sisasebol

Aleks78 дал верный совет -, только тут лучше сработает не Process Explorer, а его улучшенный вариант - Process Hacker (автор wj32, плюс ему помогли ребята из проекта React OS убрать зависимость от MS DOTNET для версий 2.х - им он уже не требуется, но они будут работать не ниже чем на XP SP2), ну и понятное дело, читайте документацию - если бездумно лезть куда угодно, то так можно и к Святому Петру на чай напросится.

Victor_VG
Process Explorer вроде как поприятней будет, поначалу им процессы копал, понравился Ну можно и Хакером но им не пробовал.

Aleks78

Зато им удаётся и стек поглядеть, и снять совсем кривые процессы. Попробуй под ХР связку FileUlocker + Far 2.0. Поищи плагином блокированный файл, и скажи закрыть Far. А мы с Артёмом глянем как это у тебя выйдет. РЕ с задачей просмотра стека или снятия процесса в таком случае не справляется, а РН с обоими задачами справляется с лёгкостью. Только поставь его демона - тот этими фортелями и заведует.А что до внешнего вида, и удобства в работе - дизайн у них похож, не совсем, но близок - авторы то одни и те же люди, а вот возможности и их реализация - тут сравнение не в пользу Марка и РЕ выходит, хотя я Марка уважаю за его профессионализм, но вот РЕ у него как-то не задался, не везёт ему с ним, и всё тут...

Victor_VG

Цитата:

Зато им удаётся и стек поглядеть, и снять совсем кривые процессы.

Ну так пока не приходилось, просто несколько раз надо было испортил.экзе на составляющие разложить с чем PE справился А С ][ как-то не приходилось работать так близко, так если ради шутки...

А вот у меня AVZ не сработала - не нашла несколько троянов. Только касперыч помог, даж cureit от dr web ниче не нашла((

Цитата:

не везёт ему с ним, и всё тут...

не то что не везет, а скорее Марк прикручивает функции, которые ему нужны в работе, а на баги он просто закрывает глаза. взять хотя бы коряво реализованный драйвер PE. ведь с его помощью можно систему с легкостью в BSOD положить, причем если после разбираться в крешдампе, то выходит, что там еще и модули ядра фаззятся. у PH такого не наблюдается.
ну, теперь по сабжу. у AVZ есть один мелкий, но очень противный баг, а именно при загрузке своих дров в память (если до этого в системе был запущен ProcMon), сканирование памяти проходит, мягко говоря, не самым должным образом, хотя он и показывает, что да, в памяти висит дровишко прокмона. сам Зайцев пока молчит.

Aleks78

Попробуй и сравни для себя. Сам согласишься. Например поглядеть вкладку Диски и Сети d 14/01 даже не могу - не выводит нигде, ни в ХР, ни в 7, а РН - кажет всё, докладывает все точно, и чётко , а главное - удобно для понимания и принятия оперативных решений. А сиё особенно полезно когда попадается активно противодействующая своему поиску зараза. РН умеет искать скрытые процессы, а РЕ нет. Ещё один аргумент для выбора инструмента по месту.

Добавлено:
ComradG

Подождём что Олег скажет. Наверное разбирается как уту проблему устранить в зародыше. Я бы именно так сделал.

Victor_VG
причем самое занятно е в том, что багу уже срок как месяц, если не больше. сам Зацев, что-то говорил по этому поводу, но не более того. лично я пока тему глубоко не ковырял. тем паче, что после онкологии я едва ноги волочу, а потому ни программировать толком, ни дизассемблировать пока не могу. а между тем накопилось всего столько, что не разгрести. да и разобраться очень бы хотелось, в чем все же причина: в драйвере Process Monitor'а Руссиновича или все же в AVZ. чает мое сердце, что причина в первом, потому как я пробовал то же проделывать со старыми версиями, но AVZ при этом сканировал память корректно. бегло поглядев на карту памяти livekd, меня смутило несколько непоняток. но далее разбираться не в моготу, так как глаза болят и кости выламывает. в общем, други-братья, ежели какая информаия всплывет, то не в службу, а в дружбу, опубликуйте ее прямо здесь.

ComradG

Добро, выздоравливай!

Цитата:

у AVZ есть один мелкий, но очень противный баг, а именно при загрузке своих дров в память (если до этого в системе был запущен ProcMon)

Хм,надо проверить.Сам не использую Process Monitor,но глянуть не мешает.Что там за зверь такой,что AVZ мешает



Добавлено:
Victor_VG
У РН есть очень неприятный нюанс.Причину незнаю,но при переключении на вкладу сетевых соединений,прога закрывается с ошибкой.По крайней мере у меня на XP PRO SP3