» Руткит в тумане.

Уже пара месяцев какая-то хрень параноидальная происходит. Сразу скажу, обращался на спец. форумы, толком ничего не присоветовали. Решил здесь создать ветку - может хоть в форме шутки кто поможет))

Короче, ОС Win 7 Ultimate, стоит Comodo (сразу скажу, ставлю себе и знакомым уже года 3-4 - нареканий не было) 3 в одном - антивирь, фаервол и проактивная защита. Периодически проверяю AVZ и Dr. Web Cureit..

В последнее время после запланированного сканирования Comodo выдаёт такую вот хрень:

Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\

Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\ThreadingModel

Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\

и т.д - всего 58 ключей реестра. Если нажать "очистить" - пишет не все удалось переместить в карантин, в карантине потом вообще пусто....

Самое интересное не это. Попробовал почистить эти ветки в реестре вручную - не даёт. С масимальными правами - не даёт. А самое интересное - загрузился с WinPE, попробовал удалить через ERDCommander (там есть специальный редактор реестра для неактивной ОС) - НЕ ДАЁТ!!!

Вот это у меня в голове не укладывается - как это я не могу удалить ветку на НЕАКТИВНОЙ ОС???


Причём, что интересно, попробовал удалить целиком HKEY_LOCAL_MACHINE\Software\Classes\CLSID - удалилось; система ессно после этого сдохла, благо был бэкап..

Такая вот мистика.. А может тупость.. Что-то я где торможу.. Какие мысли будут? А, да - все остальные антивири ничего не находят - может это и не руткит, но меня просто достал факт постоянного уведомления после сканирования о 58-ми проблемах!

Цитата:

Comodo выдаёт такую вот хрень

вот и подставил вас любимый антивирус
а вы и повелись на развод

Цитата:

С масимальными правами - не даёт.

запрет всегда главнее самых больших разрешений

Цитата:

удалить целиком HKEY_LOCAL_MACHINE\Software\Classes\CLSID

проще было удалить файлы реестра - результат один

если подозрение на вирус
есть у нас на форуме специальная тема
Помощь при лечении компьютера от вирусов

Diamond Member

Цитата:

проще было удалить файлы реестра - результат один

Не понял эту фразу...

forexmir

Цитата:

Не понял эту фразу

удаление CLSID равноценно удалению файла реестра

forexmir

Цитата:

Решил здесь создать ветку - может хоть в форме шутки кто поможет))

Если так... Удали че-нибудь. Антивирь, винду или системник.

tumber
самое главное забыл - прокладку

драйвер "прямые руки".
не пользуюсь никакими антивирями больше 10 лет. и никаких проблем.

Kaylang

Цитата:

не пользуюсь никакими антивирями больше 10 лет. и никаких проблем.

Частное лицо, грамотное, может себе такое позволить. Кому это лицо интересно, чтоб его ломать?

Юмор - это хорошо. Но всё-таки кто может ответить - как удалить данные ключи из реестра, которые Comodo - возможно ошибочно - считает следами руткита?

Как удалить без переустановки системы.

Доброй ночи, forexmir
Гугль рулит : http://lmgtfy.com/?q=604BB98A-A94F-4a5c-A67C-D8D3582C741C

http://forums.comodo.com/empty-t71577.0.html

Цитата:

Это так эта "чудная" программка ("Pinnacle Studio") свою регистрацию шифрует руткит-технологиями... Это нулевые ключи реестра(остатки Пинакля), потому CIS удалить и не может(нечего убивать).

Цитата:

старенькая прога, но свое дело знает туго Registry Trash Keys Finder как раз для удаления нулевых ключей и остатков всякого мусора в реестре, под нахождениt оного и "заточена".. )

forexmir
Весь жизненный опыт мне подсказывает, что проще и быстрее удалить систему и снова поставить, чем с ее глюками разбираться.

Alex_Piggy, спс счас попробую; гугл мне что-то не помог в этот раз(( И пинакль я ни разу не ставил!


Добавлено:
tumber

Цитата:

Весь жизненный опыт мне подсказывает, что проще и быстрее удалить систему и снова поставить, чем с ее глюками разбираться.

Ну что я могу сказать о вашем жизненном опыте))) У меня на ноуте XP ужо 6-й (!!!) год без переустановок работает в весьма активном режиме. Как подумаю преустанавливать более 300-т прог - меня в дрожь кидает))

Цитата:

300-т прог - меня в дрожь кидает))

Мtня тоже кинуло. Они тебе точно все нужны?

tumber

Цитата:

Мtня тоже кинуло. Они тебе точно все нужны?

Абсолютно))

Alex_Piggy
Registry Trash Keys Finder помог. Наконец трабла решена!

forexmir
Успехов! Если чо, заходи. Либо поможем, либо посмеемся!

Цитата:

Причём, что интересно, попробовал удалить целиком HKEY_LOCAL_MACHINE\Software\Classes\CLSID - удалилось; система ессно после этого сдохла, благо был бэкап..

по приколу можно было б экспортнуть ветку реестра в текстовой, оттуда руками вытереть, удалить ветку, импортнуть из текстового файла.
Разумеется .под РЕ, подключив куст к реестру.

Но что не дает под неактивной - что-то слабо верится.

Добавлено:

Цитата:

Registry Trash Keys Finder помог. Наконец трабла решена!

тоже штука хорошая. Alex_Piggy

Цитата:

нулевые ключи реестра

почитал - http://wasm.ru/forum/viewtopic.php?pid=249655
удивился, уяснил..

Цитата:

Наконец трабла решена!

А в чем была трабла? Разобрались бы сначала. Может эти ключи создала какая-нибудь из программ и они ей нужны. Мало ли что там этот комодо пишет.
дрвеб тоже любит верещать по поводу и без повода.

Доброе утро всем.
forexmir
Замечательно! Буду знать как справлятся с подобным
Только, пожалуйста, закройте тему (с описанием решения), которую Вы начали на форуме Comodo. А то там не знают и маются (этот вопрос без ответа возникал много раз).
Исправлено:
Глупость сказал. Я же Вас на их форум о отправлял. Все равно, может поставят что-то типа метки "Решено"? И на ту тему, в которой, собственно и было решение.

bredonosec
Так понял, что проблема была не в правах, а специмени, содержащем недопустимые символы. Ситуация знакома по Far+"i украинское". Интересно, конечно...

aleksiom
Проблема была в ключе реестра, на который нельзя воздействовать. "А вот это - непорядок"(с)Леший

Добавлено:
Diamond Member
Может и с правами. Тогда только непонятно, как Registry Trash Keys Finder помог. Назначил себя "Самым главным реальным Одмином, которому можно конкретно все"?

Главная проблема:

Цитата:

на ноуте XP ужо 6-й (!!!) год без переустановок работает в весьма активном режиме
и
более 300-т прог

и не такие ключи могли появиться,
нельзя так запускать систему

Alex_Piggy
может и с правами, автор же их не проверял

tumber

Цитата:

Частное лицо, грамотное, может себе такое позволить. Кому это лицо интересно, чтоб его ломать?

Думаешь топикстартер и его знакомые работают в какой-нить супер-пупер важной конторе?

Kaylang
Да при чем тут супер-пупер. Просто - сам по себе, или есть еще от тебя зависящие. Вот и меры безопасности разные.

Цитата:

и не такие ключи могли появиться,
нельзя так запускать систему

Так эта трабла у меня была не на ноуте, а на стац компе, и тут относительно свежая семёрка..

Оказалось, трабла нифига не решена. То есть удалить-то я эти пустые ключи из реестра теперь могу - с помощью Registry Trash Keys Finder - но через некоторое время они появляются снова и Comodo опять волнуется)) Главное, и в исключения нельзя добавить!

Вопрос - как вычислить врага, т.е. прогу, которая оставляет после своей активности эти записи?


Цитата:

Это так эта "чудная" программка ("Pinnacle Studio") свою регистрацию шифрует руткит-технологиями... Это нулевые ключи реестра(остатки Пинакля), потому CIS удалить и не может(нечего убивать).

Насчет этого - никакого пинакля никогда не ставил, так что хз((

Добрый день, forexmir
Попробуйте Sysinternals Process Monitor (запускаете в начале дня, лучше - автозагрузка с ключами "/minimized" и "/quiet", и время от времени проверяете)
Только реестр, в фильтре укажите один или все сомнительные ветви реестра. Желательно указывать и дубль ветки в HKCR\CLSID (например)
"Path" "begins with" "HKCR\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}" "include"
"Path" "begins with" "HKLM\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}" "include"
Для проверки сами через regedit измените что-нибудь - заметит/не заметит.

Добавлено:
Подумал, что можно проще:
"Path" "contains" "{604BB98A-A94F-4a5c-A67C-D8D3582C741C}" "include"

Цитата:

Подумал, что можно проще:
"Path" "contains" "{604BB98A-A94F-4a5c-A67C-D8D3582C741C}" "include"

WTF??? Можно теперь это перевести? Это в Sysinternals Process Monitor надо вводить?


Добавлено:
Sysinternals Process Monitor пытался освоить, нашел даже русскую версию.. но.. пока туп. Например, в фильтре у меня реестра нет:



Добавлено:

Цитата:

"Path" "contains" "{604BB98A-A94F-4a5c-A67C-D8D3582C741C}" "include"

Всё, разобрался)) В моем случае это "путь" а дальше так же.. Ну вот включил я его с этим фильтром, теперь я понял так, что когда опять прога х создаст эти ключи в ресстре, я узнаю имя оной? Пусть висит запущенным, о результате сообщу..

Добавлено:
Кстати, раз уж тема во флейме, может кто подкинет линк на толковый мануал\статью\учебник\и т.д. по Sysinternals Process Monitor на русском?

forexmir
http://forum.ru-board.com/topic.cgi?forum=5&topic=21388

Diamond Member

Цитата:

forexmir
http://forum.ru-board.com/topic.cgi?forum=5&topic=21388

Это к чему? Я там был неоднократно. Но! мне это никак не помогло ПОНЯТЬ и освоить данную прогу; но всё равно спасибо)))

Цитата:

Это к чему?

это тема по Process Monitor

там можно спросить о работе программы
и попросить - мануал\статью\учебник\и т.д.

Так, опять эта гадость появилась..
Вот что пишет Registry Trash Keys Finder



Судя по времени создания этой записи, никого за компом не было - я спал. Проверил на вирустотале ole32.dll - чисто.

Еще одна фигня - может совпадение, хз..

У меня в контекстном меню была вот такая хрень (красным выделил)



Я её на днях оттуда удалил с помощью Ccleaner
А сейчас она опять там появилась, но в Ccleaner её уже нет.. И с помощью него её уже не удалить.



Подкиньте идею, как узнать, какая зараза помещает этот пункт в контекстное меню?
И как считаете, есть ли связь этими мусорными ключами, на которые ругается Comodo и которые после их удаления с помощью Registry Trash Keys Finder (больше их никак не удалить) через некоторое время - несколько дней - появляются опять?

Добрый день, forexmir
DepositFiles Uploader у Вас стоит, что ли?
Чтобы удалить, regedit и поищите "^^^Upload to DepositFiles.com^^^" (или просто "DepositFiles")
Вроде селится в ветвях "HKLM\SOFTWARE\Classes\*\shell\" и "HKLM\SOFTWARE\Classes\Folder\shell\"
ProcMon - "Path" "contain" "DepositFiles" "include"

Так понимаю, что ProcMon не поймал вредителя. Странно.
У Вас есть время модификации. Посмотрите, может в том районе запускалась какая-то задача планировщиком задач? Или записались какие-то события системы?

Alex_Piggy

Цитата:

DepositFiles Uploader у Вас стоит, что ли?

Нету такой гадости.
В реестре нашел, удалил, сейчас ребутну и посмотрю..


Цитата:

У Вас есть время модификации. Посмотрите, может в том районе запускалась какая-то задача планировщиком задач? Или записались какие-то события системы?

Планировщик выключен; в журнале событий на этот момент записей не было.

Да, из контекстного меню я это убрал; спасибо за подсказку)) А с этими мусорными ключами я уже устал бороться.. Наверное, придется ось переставить..