Глядя на видео-обзор некого "профессора" drweb руткиты вообще не видит на win8.
#61
Отправлено 01 Май 2013 - 21:38
#62
Отправлено 01 Май 2013 - 22:52
Глядя на видео-обзор некого "профессора" drweb руткиты вообще не видит на win8.
Потому что под Win8 руткитов нет.
#63
Отправлено 02 Май 2013 - 11:45
Извиняюсь, но отправил в вирлаб файлы раньше, чем это сделал топиксастер.
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Tdlphaze.15, Trojan.Tdlphaze.15, Trojan.Tdlphaze.15, BackDoor.Tdss.9148, BackDoor.Tdss.5231
#64
Отправлено 02 Май 2013 - 16:50
Может ли быть признаком активности буткита постоянно восстанавливающийся перехват функции irp_mj_internal_device_control в atapi.sys неизвестным модулем?
А также первая запись, как на втором скрине? И невозможность сделать бэйкап бут-сектора?
Система заражена Pihar'ом.c.
Прикрепленные файлы:
Сообщение было изменено CatalystX: 02 Май 2013 - 16:51
#67
Отправлено 02 Май 2013 - 18:21
Программа хорошая, но вердиктов она не выносит. А что другие не видят ?
Ну начнем с того что у меня Win7 x64, а под нее анти-руткитов не так уж и много, я знаю только три: GMER, PCHunter64(на скринах) и Win64AST. Гмер выдает только DR0 - Sector 0: rootkit like behavior, Win64AST видит только хук на irp_mj_internal_device_control, а при чтении MBR похоже не замечает подмены, так как успешно читает с ядра, и с Ring3 и пишет что MBR при чтении с разных уровней совпадают.
#68
Отправлено 02 Май 2013 - 18:28
Программа хорошая, но вердиктов она не выносит. А что другие не видят ?
Ну начнем с того что у меня Win7 x64, а под нее анти-руткитов не так уж и много, я знаю только три: GMER, PCHunter64(на скринах) и Win64AST. Гмер выдает только DR0 - Sector 0: rootkit like behavior, Win64AST видит только хук на irp_mj_internal_device_control, а при чтении MBR похоже не замечает подмены, так как успешно читает с ядра, и с Ring3 и пишет что MBR при чтении с разных уровней совпадают.
Понятно. Если лечить то с LiveCD (DrWeb!). Если исследовать - Там есть дисассемблер (шутка). aswMBR не помню точно вроде работает. Сделайте уже тогда экзаменирование PCHunter-ом и покажите.
#69
Отправлено 02 Май 2013 - 18:59
Проверю aswMBR чуть позже.
Сейчас опишу что получил от сравнения чистой и зараженной.
На чистой в Atapi.sys были перехваты неизвестным модулем не только irp_mj_internal_device_control, а и irp_mj_create, irp_mj_close, irp_mj_device_control. Но кнопочка Restore All эти перехваты исправила и перехват irp_mj_internal_device_control не восстанавливался. Во вкладке Object Hijack остались лишь DeviceObject - 2058707732 и Kernelmodule - oem-drv64.sys. И бейкап бут-сектора успешно создался.
Сообщение было изменено CatalystX: 02 Май 2013 - 19:00
#70
Отправлено 02 Май 2013 - 19:59
то есть drweb не знал эти вирусы? какой же тогда мог быть тест на лечение?Извиняюсь, но отправил в вирлаб файлы раньше
И Вы давайте номера тикетов.
#71
Отправлено 02 Май 2013 - 20:13
Дроппер нет, базы от 30 апреля.
#72
Отправлено 02 Май 2013 - 20:20
Вот лог сканера на момент создания темы, т.е. 30 апреля.
Прикрепленные файлы:
#73
Отправлено 03 Май 2013 - 10:16
то есть drweb не знал эти вирусы?
Какую-то часть компонентов не детектил
какой же тогда мог быть тест на лечение?
Обычный. MBR детектит, значит должен вылечить, несмотря на все неизвестное активное в системе.
И Вы давайте номера тикетов.
[drweb.com #4041165] Обработано: SUBMITTED CURE REQUEST
Сообщение было изменено RomaNNN: 03 Май 2013 - 10:16
#75
Отправлено 04 Май 2013 - 12:49
У меня все лечит корректно CureIt-ом.
#76
Отправлено 05 Май 2013 - 09:48
У меня все лечит корректно CureIt-ом.
Подтверждаю, скачал сегодняшний CureIT - Pihar.C вылечен без проблем.
#77
Отправлено 05 Май 2013 - 10:13
Подтверждаю, скачал сегодняшний CureIT - Pihar.C вылечен без проблем.
Почитал аналитику http://www.securelist.com/ru/analysis/208050704/TDL4_Top_Bot , там много вариантов, если дать ему себя проявить (описание за 2011)
Какие вредоносные программы загружает сам TDL-4? С начала этого года на ботнет было установлено около 30 дополнительных вредоносных программ, включая фальшивые антивирусы, рекламные модули и спамбот Pushdo.
#78
Отправлено 05 Май 2013 - 20:55
Наткнулся на пастбине на такую штуку: http://pastebin.com/ZJ9Gdhgm
Красивая реклама, а на деле неудачный клон TDL3.
#79
Отправлено 05 Май 2013 - 21:11
Наткнулся на пастбине на такую штуку: http://pastebin.com/ZJ9Gdhgm
Красивая реклама, а на деле неудачный клон TDL3.
Надеюсь у них нет пробного периода и промоакций ?!
http://eric71.geekstogo.com/tools/MbrScan.exe а я такую прогу нашёл - TDL4 детектит
Device\Harddisk0\DR0 298.1 Go [Fixed] ==> Possible TDL4 MBR Code
Also tagged with one or more of these keywords: Dr.web, Pihar, TDL4
Русские форумы →
Общие вопросы →
доктор не удаляетсяАвтор: enenergo , 29 янв 2024 не удаляется, Dr.Web, ошибка 902 |
|
|
||
|
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
дайте ссылку на скачивание Dr.Web Desctop Security Suite 10 сертифицированный ФСТЭКАвтор: Feld82 , 07 апр 2023 Dr.Web, 10 |
|
|
|
Русские форумы →
Dr.Web для Unix →
Ошибка при обработке защищенного соединия SpIDer Gate на Astra Linux SmolenskАвтор: vokin , 16 янв 2022 Dr.Web, Astra Linux Smolensk и еще 2… |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Не могу удалить и установить ключАвтор: karteller , 07 фев 2020 Ключ, Enterprise Suite, Dr.Web |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Dr.Web ES и ALSEАвтор: Jbanchic , 30 ноя 2018 Dr.Web, ALSE |
|
|
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых