» GMER - программа для обнаружения и удаления руткитов
GMER v2.0.18327
03-01-2013
Цитата:
http://www2.gmer.net/gmer.zip
03-01-2013
Цитата:
full x64 support has been released.
http://www2.gmer.net/gmer.zip
Скажите пжл, не будет конфликта с Кис-13 и есть лучше альтернатива, так как я видел тесты за этот антирутик за 2010г?
Спс за линки, Power заинтриговал, осталось за малом, сидеть и читать, чуйка у меня, что кис-13 дочстаточно=)
вышел новый гмерик
Цитата:
нажимаем кнопку скан и его щемит в инет.
меня удивило его стремление в сеть на погодный сайтик (http://173.245.60.83/) и ещё какой-то бизнес (http://64.4.11.42/ http://77.67.29.161/)
ни нтфс потоки, ни $файлов он до сих пор не видит.
остальное даже смотреть не буду, вечно напрягают бсоды, когда пытаешся грохнуть защищенный процесс.
вобщем, ссылки не достоен
Цитата:
GMER 2.1.19115 released 2013.02.26
нажимаем кнопку скан и его щемит в инет.
меня удивило его стремление в сеть на погодный сайтик (http://173.245.60.83/) и ещё какой-то бизнес (http://64.4.11.42/ http://77.67.29.161/)
ни нтфс потоки, ни $файлов он до сих пор не видит.
остальное даже смотреть не буду, вечно напрягают бсоды, когда пытаешся грохнуть защищенный процесс.
вобщем, ссылки не достоен
Цитата:
нажимаем кнопку скан и его щемит в инет.
У меня никуда не полез.
Цитата:
ни нтфс потоки, ни $файлов он до сих пор не видит.
Есть галка ADS, показывает скрываемые потоки.
KismetT
да, про галки это я сослепу.
а в сеть шарится дай божечки.
на другой машине, ещё и 199.7.48.72 подтянул.
скорее всего ничего страшного, так как чего-то проверяет-сверяет для делу.
но меня такие фортеля не устраивают.
(пакеты отправляет нехилые [more]
GET /Root.crl HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.1
Host: crl.globalsign.net
19154 байта улетело
GET /pki/crl/products/microsoftrootcert.crl HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.1
Host: crl.microsoft.com
7337 байтов улетело
...
потом посмотрю на первой пакеты. она сцуко легла)
[/more])
почему не видит ваша стенка, не знаю..может что чужими ручками, оконными, оне трогают
Добавлено:
ааа, дошло, сигнатуры тыкало)
что-то гмерику у меня не понравилось
да, про галки это я сослепу.
а в сеть шарится дай божечки.
на другой машине, ещё и 199.7.48.72 подтянул.
скорее всего ничего страшного, так как чего-то проверяет-сверяет для делу.
но меня такие фортеля не устраивают.
(пакеты отправляет нехилые [more]
GET /Root.crl HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.1
Host: crl.globalsign.net
19154 байта улетело
GET /pki/crl/products/microsoftrootcert.crl HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.1
Host: crl.microsoft.com
7337 байтов улетело
...
потом посмотрю на первой пакеты. она сцуко легла)
[/more])
почему не видит ваша стенка, не знаю..может что чужими ручками, оконными, оне трогают
Добавлено:
ааа, дошло, сигнатуры тыкало)
что-то гмерику у меня не понравилось
Попробовал снова, никуда не полез.
Судя по адресам, у тебя за сертификатами лезет, но по идее это должен быть svchost.
Судя по адресам, у тебя за сертификатами лезет, но по идее это должен быть svchost.
KismetT
Цитата:
так как svchost-у вообще всё запрещено что касается сети, кроме двух исходящих udp, то вполне возможно, у меня частный случай.
но, это не отменяет личного неудовольствия.
гмерик подкачивает и пихает для себя файло в user..\LocalLow\Microsoft\CryptnetUrlCache\MetaData\..
не люблю наглецов, которые считают, что не они для тебя, а ты для них
Цитата:
по идее это должен быть svchost
так как svchost-у вообще всё запрещено что касается сети, кроме двух исходящих udp, то вполне возможно, у меня частный случай.
но, это не отменяет личного неудовольствия.
гмерик подкачивает и пихает для себя файло в user..\LocalLow\Microsoft\CryptnetUrlCache\MetaData\..
не люблю наглецов, которые считают, что не они для тебя, а ты для них
Цитата:
гмерик подкачивает и пихает для себя файло в user..\LocalLow\Microsoft\CryptnetUrlCache\MetaData\..
У меня чисто, не появлялись или изменялись файлы с датой и временем до первого запуска Gmer.
Добавлено:
Цитата:
svchost-у вообще всё запрещено что касается сети, кроме двух исходящих udp
Наверное поэтому, сертификаты надо как то добывать.
При определенном раскладе запуска новых версий нескольких программ (ProcessHacker, PowerTool, XueTr) ГМЕР предыдущей версии начал показывать странную квртину на компе, тогда как новая версия этим не страдала, хоть и не выводила то, что должен выводить (3-й рисунок):
Плюс, в такие моменты (не всегда) обе версии не листали список автозапуска.
Сейчас в норме, и пред. версия тоже. Не понял, что произошло. Разве что я немного ранее добавил command.com, с проверкой комстроки, в недоверенные в Real-time Defender. После обнаружения этой странности (и того, что PowerTool в эти же дни начал вылетать при обращении к реестру) удалил то правило, опять добавил, и ничего...
Плюс, в такие моменты (не всегда) обе версии не листали список автозапуска.
Сейчас в норме, и пред. версия тоже. Не понял, что произошло. Разве что я немного ранее добавил command.com, с проверкой комстроки, в недоверенные в Real-time Defender. После обнаружения этой странности (и того, что PowerTool в эти же дни начал вылетать при обращении к реестру) удалил то правило, опять добавил, и ничего...
Цитата:
The latest version of GMER 2.1.19163 released 2013.04.04
http://www.gmer.net/#files
а последняя стянутая была 27 февраля. 2.1.19115 ... чот я не заметил 163-115 = аж 48 релизов)
и функционально что-то без новинок. хоть бы рассказывал, что выглаживал и оптимизировал каждый божий день
есть кто использует данную прогу ?
Конечно. А чаще всего её используют пользователи, имеющие Аваст на своём компе, так как она является составной частью этого антивируса.
KismetT
ну вот у меня стоит avast.... правда ,версия-старая 4.8
что значит-составной частью антивируса ?
ну вот у меня стоит avast.... правда ,версия-старая 4.8
что значит-составной частью антивируса ?
Цитата:
что значит-составной частью антивируса ?
Работает антируткитом в Аваст-е.
KismetT начиная с какой версии ? и где это посмотреть ?
ты сам пробовал пользоваться непосредственно этой утилитой gmer (без аваста) ?
ты сам пробовал пользоваться непосредственно этой утилитой gmer (без аваста) ?
Цитата:
начиная с какой версии ?
Не помню, но в 2010 Аваст уже купил Gmer.
Цитата:
ты сам пробовал пользоваться непосредственно этой утилитой gmer
Пользовался в качестве самообразования и опытах над вирусами.
Как пользоваться можешь прочитать здесь, как интерпретировать результаты - учись сам, ищи статьи, где упоминается Gmer, читай логи с заражённых машин (для этого необходимо вступить в студенты на форуме где этим занимаются, хоть бы и на Virusinfo).
KismetT
вот в чем и проблема- как интерпретировать результаты....
Добавлено:
т.е. как я понял, если утилита данная что-то находит в системе-непременно всплывает окошко с сообщением, прерывая сканирование ?
вот в чем и проблема- как интерпретировать результаты....
Добавлено:
т.е. как я понял, если утилита данная что-то находит в системе-непременно всплывает окошко с сообщением, прерывая сканирование ?
Последний билд у меня не работает на Win8x64, начинается сканирование и она вылетает. С предыдущим не было проблем
kaxa
я пробовал ее на win 7 64 бит-все хорошо прошло.
я пробовал ее на win 7 64 бит-все хорошо прошло.
Думаю многим понравится и пригодится Парсер логов GMER . Думаю, что даже в шапку стоит поднять ссылку.
Добавлено:
Цитата:
на Virusinfo логи Гмер не изучают, а на SafeZone изучают, но на втором курсе.
Добавлено:
Цитата:
вступить в студенты на форуме где этим занимаются, хоть бы и на Virusinfo
на Virusinfo логи Гмер не изучают, а на SafeZone изучают, но на втором курсе.
мне Gmer выдает вот такое сообщение после сканирования:
Thread C:\WINDOWS\system32\csrss.exe [708:1016] fffff96165524060
Что это значит?
Thread C:\WINDOWS\system32\csrss.exe [708:1016] fffff96165524060
Что это значит?
krserv
возможно инжект в процесс
возможно инжект в процесс
вот так это выглядит сейчас, но я так глубоко анализировать проблемы с безопасностью не имею.
Запустил MBAM; AdwCleaner и т.д они ничего не находят.
Недавно решил попробовать поставить BullGuard Internet Security - так он не смог установить Firewall.
ОS Windows 10 x 64
Обратился в их техподдержку. Они мне предложили прогнать RogueKiller.exe
так он нашел 60 проблем, и не смог их удалить.
Запускаю KAV removal tools - сканирую ничего не находит.
Что посоветуете?
RoguerKiller - находит именно проблемы с csrss и svchost процессами.
GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-07-12 13:14:09
Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002f ST3500418AS rev.CC49 465.76GB
Running: gmer.exe; Driver: C:\Users\Guard\AppData\Local\Temp\kfrdipob.sys
---- Threads - GMER 2.2 ----
Thread C:\WINDOWS\system32\csrss.exe [632:780] fffff961de514030
---- EOF - GMER 2.2 ----
Запустил MBAM; AdwCleaner и т.д они ничего не находят.
Недавно решил попробовать поставить BullGuard Internet Security - так он не смог установить Firewall.
ОS Windows 10 x 64
Обратился в их техподдержку. Они мне предложили прогнать RogueKiller.exe
так он нашел 60 проблем, и не смог их удалить.
Запускаю KAV removal tools - сканирую ничего не находит.
Что посоветуете?
RoguerKiller - находит именно проблемы с csrss и svchost процессами.
GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-07-12 13:14:09
Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002f ST3500418AS rev.CC49 465.76GB
Running: gmer.exe; Driver: C:\Users\Guard\AppData\Local\Temp\kfrdipob.sys
---- Threads - GMER 2.2 ----
Thread C:\WINDOWS\system32\csrss.exe [632:780] fffff961de514030
---- EOF - GMER 2.2 ----
Предыдущая тема: Anvir Task Manager
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.