Продуманные шпионы прячутутся не только от Ctrl-Alt-Del, но и от проводника. Мне известно название экзешника (руткит его обнаружил), но я не могу его "забрать"! Есть ли какая-то прога для поиска и "выдирания" таких файлов?

| Сообщение посчитали полезным:

Iliya
liveCD ?

| Сообщение посчитали полезным:

А тебе зачем? Зачем тебе такие файлы выдирать?

| Сообщение посчитали полезным:

Iliya пишет:
Есть ли какая-то прога для поиска и "выдирания" таких файлов?
Отладчик она называется Плюс голова и руки.

| Сообщение посчитали полезным:

Iliya пишет:
руткит его обнаружил
Мож детектор руткитов?

Как его выдрать... В силу неособой изобретательности основной массы руткитописателей, как правило, руткиты ставят свои хуки в SDT, т.е. можно на глазок (или же какой-нить тулзой) посмотреть SDT и попытаться восстановить адреса оригинальных обработчиков или же пропатчить код обработчиков (обычно там видно, где оригинальная функция). Реже, но бывает, хуки выставлены не заменой адресов а сплайсингом по этим адресам - проблема также решаема. О более экзотических вещах говорить не буду, поскольку раз твой руткитдетектор засек руткита, значит этих вещей, по всей видимости, нет. Ну а после того, как ты снимешь хуки - бери файл голыми руками=)

| Сообщение посчитали полезным:

может это поможет
z-oleg.com/secur/avz/index.php

| Сообщение посчитали полезным:

LiveCD - самый оптимальный и быстрый вариант(винпе подойдет)

| Сообщение посчитали полезным:

Да епти, че выдумывать? я как-то тестил у себя на компе Hack Defender и удалется все просто из безопасного режима.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Iliya пишет:
но я не могу его "забрать"!
Утилита Джоанны Рутковской рулит: svv check /m а потом в зависимости от результата: обычно svv fix /t 1
это восстановит модификации ядра системы, притом не только хуки через SSDT
tundra37 пишет:
Отладчик она называется Плюс голова и руки.
Совет с глубоким смыслом
P.S. нужно выяснить в первую очередь откуда оно грузится - а для этого, чтобы стали видимыми ключи в реестре, процесс и файлы - надо снести хуки... Можешь также воспользоваться ProcessHuner by Ms-Rem, там есть PowerKill, но использовать надо осторожно (рикуешь получить BSOD), лучше сначала сделать fix с помощью svv, а потом можно прибивать процес хоть из диспетчера задач...
P.P.S. найти svv можно -->здесь<-- http://www.invisiblethings.org/about.html

-----
Research is my purpose

| Сообщение посчитали полезным:

Iliya пишет:
Есть ли какая-то прога для поиска и "выдирания" таких файлов?
А PETools пробовал? на сколько я помню, она это умеет.

| Сообщение посчитали полезным:

Последнее что мне попалось можно было не увидеть, но можно было элементарно скопировать в другое место! тупо: copy что_копируем куда копируем_с_другим именем

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Iliya пишет:
Продуманные шпионы прячутутся не только от Ctrl-Alt-Del, но и от проводника.
Точно. А еще шифруются по криптостойкому алгоритму и самоуничтожаются при попытке реверснуть его
Сделал бы дамп всей памяти. И выдрал, что надо.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: