|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Руткит активность ??? |
|
|
Руткит активность ???
|
|
Пользователь Сообщения: 99 |
Глянул свой комп программой "Rootkit unhooker". (Аналогично McafeeRootkitDetective 1.1). Фрагмент лога:
>Состояние SSDT NtCreateThread; Фактический адрес: 0xF7D32E0C; Перехват установлен: Неизвестное имя модуля NtOpenProcess; Фактический адрес: 0xF7D32DF8; Перехват установлен: Неизвестное имя модуля NtOpenThread; Фактический адрес: 0xF7D32DFD; Перехват установлен: Неизвестное имя модуля NtTerminateProcess; Фактический адрес: 0xF7D32E07; Перехват установлен: Неизвестное имя модуля NtWriteVirtualMemory; Фактический адрес: 0xF7D32E02; Перехват установлен: Неизвестное имя модуля Честно говоря, не знаю что это за модули, но прочитая наименования, достаточно чтобы насторожиться. Фактический адрес меняется после очередной перезагрузки. Как выявить то, что причастно к перехвату? |
|
|
Отправлено: 17:18, 13-11-2007 |
|
Ветеран Сообщения: 3487
|
Профиль | Сайт | Отправить PM | Цитировать Скачай AVZ в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. |
|
------- Отправлено: 21:21, 13-11-2007 | #2 |
|
Пользователь Сообщения: 99
|
Профиль | Отправить PM | Цитировать Вот он лог:
|
|
Отправлено: 11:49, 14-11-2007 | #3 |
|
Пользователь Сообщения: 99
|
Профиль | Отправить PM | Цитировать с первого раза отправить не удалось.
Вот он лог: |
|
Отправлено: 11:52, 14-11-2007 | #4 |
Ветеран Сообщения: 637
|
Профиль | Отправить PM | Цитировать Barit, перехваты перечисляются и в AVZ - в основном окне, если запустить сканирование (можно и памяти, без файлов).
(В логе ОК. Вообще-то перехваты могут осуществить, в первую очередь, антивирусы, файерволлы... У меня перехвачено 33 из 284, из них AVG Anti-Spyware и RegDefend делают это открыто, а Симантек - анонимно. Поди-гадай теперь, что принадлежит из 21 перехвата антивирусу, а что - потенциальному руткиту.  ) |
|
|
------- Отправлено: 00:19, 15-11-2007 | #5 |
|
Пользователь Сообщения: 99
|
Профиль | Отправить PM | Цитировать Ну вот и сегодня ухлопал уйму времени, пытаясь выяснить кто и зачем перехватывает
NtCreateThread; NtOpenProcess; NtOpenThread; NtTerminateProcess; NtWriteVirtualMemory. Тотальная проверка Ad-Aware SE Personal и AntiVir PersonalEdition Classic никакого криминала не находят. В логах файерволла подозрительной активности не наблюдается. Перечисление перехватов AVZ идентично перечисленному в начале темы. Ходить гадать - это не наш метод! Ведь честному прятать нечего!!!  Похоже тему в архив. |
|
Отправлено: 16:59, 15-11-2007 | #6 |
|
Ветеран Сообщения: 637
|
Профиль | Отправить PM | Цитировать Цитата Barit:
|
|
|
------- Отправлено: 02:53, 16-11-2007 | #7 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Подозрение на руткит: скрытая служба, неизвестное устройство, BSODы. | paulkorotoon | Лечение систем от вредоносных программ | 19 | 19-12-2009 00:07 | |
| Странная активность | zeroua | Лечение систем от вредоносных программ | 9 | 07-10-2009 12:53 | |
| Руткит | zongo | Лечение систем от вредоносных программ | 1 | 08-09-2009 11:47 | |
| [решено] ПОМОГИТЕ! Что такое руткит? | Vicky | Лечение систем от вредоносных программ | 8 | 27-04-2008 21:21 | |
| Активность окна | XCodeR | Microsoft Windows 2000/XP | 2 | 10-04-2006 10:35 | |
|
|
Время: 00:37. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
