(495) 743-98-83
491624410

отправить вопрос

Покупателям Партнерам Форум по продуктам

 запомнить на этом компьютере
забыли пароль? регистрация  
Ваша корзина пуста
Мои заказы

Главная / Форум / Разное / Курилка / "страшная сказка от омеги"

"страшная сказка от омеги"


Поиск  Пользователи  Правила 
Закрыть
Логин::
Пароль::
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1 2 След.
"страшная сказка от омеги", ...кому не лень много читать!
Всем приветы!
Ребята, понимаю,что тема и вопросы _несколько_ отступают от "классических" на данном форуме и по этому если "политика" не позволяет или это вовсе не интересно,то тему можно будет закрыть.Я не обижусь.
Я,как бы среднестатистический пользователь ПК,но сложилось так,что последнее время мне приходится помогать друзьям-товарищам по решению проблем с их компами,причем чисто "из любви к искусству". Ситуации разные,но как правило,всё сводится к переустановке ОСи и последующей "шлифовке" системы.Но суть не в этом.
Далее,просьба хомяками не кидаться,(кто из нас без греха,может первый запустить в меня рут-китом! :) )дистрибутив ОС естественно честно-тянутый с инета.Есть три сборки, две из которых я уже опробовал "на клиентах".Ну не буду же я им покупать или принуждать их к покупке "чесного продукта".Опробованные версии проходят регистрацию и обновления на офсайте и вполне работоспособны.
Но,в ходе событий, по первоначальной проверке установленной системы и минимально нужного ПО ,возникают весьма интересные моменты связанные с безопасностью и возможным вирусным заражением.
Теперь чуть ближе. После установки ОСи и в ходе дальнейшего "нафаршмачивания" пользуюсь всем известными программами и утилитами: AVZ, Hijackthis....Lavasoft...и Avast!Ну...первыми двумя, в силу своих возможностей и познаний, в основном для "видения" общей картины и создания скриптов для отключения ненужных служб в системе.Но в тоже время,имеют место быть некоторые вещи, которые уже вне досигаемости моего опыта,но выглядят _весьма_ подозрительно.Вот о них и будет речь чуть позже.
Теперь еще ближе. Решил я в спокойной,домашней обстановке сделать некоторые исследования.Как бы поэтапные.Попался под руки долговаляющийся хард,я его проверил на работоспособность,отформатировал и...в путь. Поотключал на компе все свои рабочие харды,поставил "подопытного" и загрузил на него ОС. Весь нужный утиль на флешке.
Установлено: ХР pro SP-3
Выпускать на обновление не стал,решил для начала проверить изначальный дистрибутив.Плюс,есть еще интересный, подозрительный момент (пока не проверено),но об этом позже.
После установки ОС, в ход пошли вышеперечисленные программы по исследованию и созданию логов.Далее,хард был перенесен на выносной USB бокс, уже для сканирования на моей основной системе Avast!-ом.
Итог такой:
==========
AVZ : установки (чекбоксы) по умолчанию,установлен драйвер расширенного мониторинга процессов.
Выполнены скрипты № 2,3 и 4 (на всяк случай)
Тут у меня конечно больше вопросов,начиная с пункта 1.5
Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89BA61F8 -> перехватчик не определен
и т.д....

Вопрос: что за перехватчик,чем и как его определять?И нужно ли на это вообще уделять внимание?(подразумеваю,что нужно!)
---------------
Далее,мне как-то подозрителен этот момент:
Анализатор - изучается процесс 1764 J:\Program Files\RBTray\RBTray.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!

---------------
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
J:\Program Files\RBTray\RBHook.dll --> Подозрение на Keylogger или троянскую DLL
J:\Program Files\RBTray\RBHook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
2. Опрашивает состояние клавиш
J:\Program Files\RBTray\RBHook.dll>>> Нейросеть: файл с вероятностью 99.80% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

Вопрос: вроде картина понятна,но как все-таки выяснить данная "бифидобактерия" dll полезная или таки казачёк внедренный?
!!! На метку тома J: не обращаем внимания,читаем как C:
-----------------
Ну по поводу служб,там б.м. все понятно.
На что еще следует обратить внимание?
А короче, вопрос и просьба обычные,посмотрите плз. логи (прилагаются одним зип-архивом,там же и от Хайджека. Извиняйте,если что не так сделал. )
Что в данном, конкретном случае надо пофиксить.Если можно,с небольшими комментами "от чего и почему".
=============================
Проверка сканером от Lavasoft:
В данном варианте,проверка ничего не дала.Но!Возвращяясь к вышеупомянутому могу сказать,что в предыдущих установках (3 раза)с полным обновлением на сайте Майкрософта, и последующим сканированием на malware, каждый раз был выловлен червь. Причем с самым высоким рейтингом. К сожалению ни точного названия,ни его местонахождения в системе не помню.
Первый раз,несколько перепугался.Нажал автоматом -удалить.Винда долго ругалась,что удален важный системный файл и требовала восстановления оного с загрузочного диска.Но, пустил это дело в глубокий игнор....и ничего,все работает!
Вот по этому моменту,у меня есть подозрение,что с обновлением присылается этот казачёк.Но тут я пока в непонятках,так как на месте исследований не проводил( не до того было ) Думаю,надо провести и этот эксперимент.
!!! Сканирования проводились сразу же после установки патчей, до каких то нибыло доп.установок и блуждания по инету.
=============================
Ну и наконец,сканирование Avast!-ом.
Тут тоже все весело и непонятно.
Поймано три зверушки:
вот скринчик

далее следующе:
При обнаружении,даю команду "в хранилище", а Аваст жалуется ,что не может совершить данную операцию из-за нехватки места на
диске. Объясните,как это можно интерпритировать при следующих условиях:
Системный диск(где находится Аваст) объём 80Гб свободно 28Гб
Проверяемый диск 25 Гб в разделе и установлена только голая ось.
Может ли этот процесс использовать темпЫ Виндов? Просто эта часть,-темпЫ Виндов и интернета, у меня вынесены на другой логический диск.А там свободы около 4-х гигов.Вобщем,в первые сталкиваюсь с подобным.
Далее,проверяю один из трех, который HD Tune.exe , на Вирустотал:
http://www.virustotal.com/ru/analisis/29fed9402010d588fc26daa109e600da

Ну тут,как бы тоже...вроде и стрёмно, но не совсем убедительно...
А вот с двумя остальными совсем не понятно.
Короче,из предложенного мне выбора,я переместил все это хозяйство в Авастовскую папку...\DATA\moved с измененным расширением с
.sis на .vir
Я конечно понимаю,что в этом ничего не смыслю....,но не разу не слышал,чтоб какой-нибудь зверек весил аж под ДВА гига!Точнее их два по 1.99 каждый!

Или это просто цифры,а сам процесс заключается в другом?
И что подразумевается под перемещением?Типа "вырезано-вставлено"?Но почему выскакивают такие большие цифры,а вес не изменился.Как было под 6 гигов,так и осталось.
И что теперь делать с этими файлами?
Далее, попробовал эту "простреленную" систему...все работает.

Подводя итог,напрашивается вопрос: что же в самом деле творится в данном хозяйстве,поправимо ли (что и где) и стОит ли связываться?

Господа,уважая ваши познания и опыт в данной области,надеюсь на понимание моего скромного интереса или любопытства в этом конкретном
случае.Мне был бы интересен конструктивный диалог,если бы на данном примере вы могли показать некоторые тонкости,например как правильно читать логи,на что обращать внимание и тому подобное.Что-то типа "мастер-класса".Конечно понятно, если это не касается каких-то глубин в познании законов программирования и не требует досканального знания операционной системы от А до Я. То бишь,мне не интересно,если кто-то даст скрипт и скажет где какую кнопку нажать и все заработает.Мне хотелось ,хотя бы на пользовательском уровне именно разобраться в некоторых моментах.Начиная вот с "зачистки" девственной системы.
Вы будете конечно правы,сказав-надо было раньше учиться,книги читать.... или чего пристал с каким-то бредом!Но вот такая получилась история ...или селявА.
:mlya: Хотел покороче,а тут....целый "научный труд" получился. Хорошо,если хоть кто до конца дочитает...
Ну, либо всё ...фтопку,либо буду весьма благодарен при продолжении темы.
















Что-то я запутался,как вложить или загрузить логи? :oops:
---------------
архивчик с логами тут:
http://ifolder.ru/10575085
вот уж нечем заняться то было (шуткую, но читать тяжело!) :)
По поводу сборок вердикт однозначный: напихать туда можно все что угодно! сам сталкивался со зверскими "zver"-ми в каторых по паре троянов и черви были (авасту известные)
По поводу файлов: pagefile.sys-это файл подкачки (если я не ошибаюсь) и он есть у всех
HD Tune-утилита, предназначенной для отображения информации о жёстких дисках. HD Tune может показывать температуру поверхности винчестера, измерять и в реальном времени строить график скорости.... тут описание
RBTray- прога для сворачивания всего что угодно в трей описание
В сборках пожизнено программ всяких куча, не все бесплатные, но устанавливаются как бы без креков и кейгенов (а енто не спроста), ведь все кейгены и тп интегрируются невидимо (и ченить еще может заинтегрироваться) так что выводы делать только вам, пользоваться ли этими наворотами
Когда же наконец придумают компьютеры, которые по голосовой команде "м...ять!" отменяют все последние действия???
Цитата
omega пишет:
Далее,мне как-то подозрителен этот момент:Анализатор - изучается процесс 1764 J:\Program Files\RBTray\RBTray.exe[ES]:Приложение не имеет видимых окон[ES]:Записан в автозапуск !!

ну АВЗ обращает ваше внимание на это дело и больше ничего.

Цитата
omega пишет:
Проверка обработчиков IRP\FileSystem\ntfs[IRP_MJ_CREATE] = 89BA61F8 -> перехватчик не определен

Это какая то программка загрузила какой-то код в операционку и кто АВЗ сказать не может, это может быть и вполне легитимная программа или зловред, тут по ситуации смотрят.

Цитата
omega пишет:
При обнаружении,даю команду "в хранилище", а Аваст жалуется ,что не может совершить данную операцию из-за нехватки места надиске. Объясните,как это можно интерпритировать при следующих условиях:

Такое уже было, почему файл подкачки и hiberfil.sys определяются вирусом мы так и не поняли. возможно подозрительное действие каких-то украшалок со сборок или утилит внедрённых.

hiberfil.sys - Это файл в который система сбрасывает оперативку и прочее при переходе в спящий режим
Отключается в
Панель управления\Электропитание\Спящий режим

В общем в логах особо вредоносного ничего нет.

Цитата
omega пишет:
Что-то я запутался,как вложить или загрузить логи?
В этоп подворуме никак. только через файлообменник
Цитата
Вадя пишет:
вот уж нечем заняться то было (шуткую, но читать тяжело!) :)
Так сезон охоты закончен,вот и дуркую долгими зимними вечерами :)
Цитата
Вадя пишет:
В сборках пожизнено программ всяких куча, не все бесплатные, но устанавливаются как бы без креков и кейгенов (а енто не спроста), ведь все кейгены и тп интегрируются невидимо (и ченить еще может заинтегрироваться) так что выводы делать только вам, пользоваться ли этими наворотами
Это понятно.Да и разговор то я вел просто о _той_ сборке. В моей системе,вообще никаких наворотов. Все пущено на скорость и стабильность,т.к. работаю в основном с графикой и видео.
Спасибо за ответ и инфу!
Цитата
wise-wistful пишет:
ну АВЗ обращает ваше внимание на это дело и больше ничего.
Это хорошо!Осталось только выяснить,на что теперь обратить мое внимание? :)
Цитата
wise-wistful пишет:
В общем в логах особо вредоносного ничего нет.
Особо? Хм..

Спасибки за разъяснения про hiberfil.sys
Вот тут все понятно,про этот файл. Но ситуевина все-равно покрыта мраком...да и ладно!

А что можете сказать про подозрение на кейлоггер?
Цитата
omega пишет:
А что можете сказать про подозрение на кейлоггер?
Цитата
omega пишет:
J:\Program Files\RBTray\RBHook.dll>>> Нейросеть: файл с вероятностью 99.80% похож на типовой перехватчик событий клавиатуры/мыши
Цитата
Вадя пишет:
RBTray- прога для сворачивания всего что угодно в трей описание
у этой проги есть такая функция скорей всего, она ведь по горячим клавишам работает, вот и подозревают её в перехватчике, вреда то она не приносит
Когда же наконец придумают компьютеры, которые по голосовой команде "м...ять!" отменяют все последние действия???
Цитата
Вадя пишет:
у этой проги есть такая функция скорей всего, она ведь по горячим клавишам работает, вот и подозревают её в перехватчике, вреда то она не приносит
Вот :mlya: тёмные силы!
Понятно!
ну и до кучи pagefile.sys - виндовый файл подкачки,
а hiberfil.sys = объему оперативки.
никогда не читайте прикрепленные темы. НИКОГДА. *устал повторять*
Цитата
omega пишет:
дистрибутив ОС естественно честно-тянутый с инета.Есть три сборки, две из которых я уже опробовал "на клиентах".Ну не буду же я им покупать или принуждать их к покупке "чесного продукта".
Отдел К не дремлет. Сейчас в РФ еще больше ужесточили отвественность за пирацтво. В последнем (январском или февральском) ][ про это писали. Т.е. уже был прецедент - один человек также ставил знакомым пирацкую Винду и пирацкие проги, его поймали, осудили и дали баааальшуший штраф.

Цитата
Вадя пишет:
По поводу сборок вердикт однозначный: напихать туда можно все что угодно! сам сталкивался со зверскими "zver"-ми в каторых по паре троянов и черви были (авасту известные)
Это точно. Скачанным с Инета сборкам или купленным пирацким дискам нельзя доверять!
Прежде чем задать вопрос, прочтите FAQ и воспользуйтесь поиском по форуму.
Цитата
magirus пишет:
ну и до кучи pagefile.sys - виндовый файл подкачки,
а hiberfil.sys = объему оперативки.
Ага,спасиб!
Это я фкурил
Цитата
sergofun пишет:
Отдел К не дремлет...
Эхх,вот и поговорили :( Я же говорил,про "хомяков"
Это все понятно и демагогию по _этой_ теме не охота разводить
Цитата
sergofun пишет:
Это точно. Скачанным с Инета сборкам или купленным пирацким дискам нельзя доверять!
Вот я и не доверяю,а как раз проверяю! А вы душите мои творческие порывы!
Ладна...можно сказать дискуссия почти удалась

sergofun,конкретный вопрос по Avast!-у мона?

Вот есть там папка \moved ,куда (по опции) можно переместить подозрительный,зараженный и т.д.файл. При перемещении ему присваивается другое расширение,то бишь прямую опасность он уже не несет.Правильно я это понимаю?То есть "хранить" его там можно не опасаясь за его поведение?
Ну и как я уже спрашивал,только пока безответно, при данной операции то,что перемещается, оно вырезается с места обнаружения (судя по логике названия операции)?
Да и вообще,в каких случаях и для чего можно применять именно эту опцию?
Можно ли перемещенные файлы в последствии удалять стандартным путем?Или надо еще что-то колдовать с ними?Подразумеваются реальные зловреды,а не то что может попасть туда по какому-то недоразумению.
Я не очень досаждаю своими глупыми вопросами? :friends:
Цитата
При перемещении ему присваивается другое расширение,то бишь прямую опасность он уже не несет.Правильно я это понимаю?То есть "хранить" его там можно не опасаясь за его поведение?
Да, так и есть. АВЗ, например, переименовывает файл и тоже меняет расширение. Опасение есть, если чьи-то ручки, все-таки запустят этот файл на исполнение (вернут прежнее расширение).

Цитата
omega пишет:
Ну и как я уже спрашивал,только пока безответно, при данной операции то,что перемещается, оно вырезается с места обнаружения (судя по логике названия операции)?
Не знаю. Думаю меняется расширение, а затем или "вырезается" и перемещается или копируется с удалением оригинала.

Цитата
omega пишет:
Можно ли перемещенные файлы в последствии удалять стандартным путем?Или надо еще что-то колдовать с ними?Подразумеваются реальные зловреды,а не то что может попасть туда по какому-то недоразумению.
Можно спокойно удалить. Дело в том, что для троянов смены расширения (даже названия) достаточно чтобы он не причинил вреда - только не надо его запускать вновь!
http://ru.wikipedia.org/wiki/Вредоносная_программа
Прежде чем задать вопрос, прочтите FAQ и воспользуйтесь поиском по форуму.
Цитата
sergofun пишет:
...Опасение есть, если чьи-то ручки, все-таки запустят этот файл на исполнение (вернут прежнее расширение).
Исключено!Мой комп-моя крепость!
Цитата
sergofun пишет:
... - только не надо его запускать вновь!
Ну я уж не до такой степени ламер :cry: :)
Цитата
omega пишет:
Ну я уж не до такой степени ламер
Ну так я для всех ответ пишу, на публику.
Мож кто-то прочтет и подумает, что раз троян переименован, то и бояццо савсем нечего. Возьмет, да и запустит его, а потом будет говорить что это ему sergofun посоветовал )))
Прежде чем задать вопрос, прочтите FAQ и воспользуйтесь поиском по форуму.
Страницы: 1 2 След.
"страшная сказка от омеги"

Читают тему (гостей: 5, пользователей: 0, из них скрытых: 0)

Электронная почта: info@avsoft.ru
Контактная информация

© 2004-2013 Авсофт
Rambler's Top100 Я принимаю Яндекс.Деньги