| Сейчас на форуме: asfa, HaRpY, Vicshann, vasilevradislav (+4 невидимых) |
 |
eXeL@B —› Оффтоп —› Не могу поймать вирус.. |
| Посл.ответ | Сообщение |
|
|
Создано: 18 апреля 2007 13:51 · Личное сообщение · #1 winxp sp2, после старта системы по прошествии 2х-3х минут вся память компьютера, куда то утекает.. начинает активно увеличиваться swap файл, с реди процессов не заметил ничего необычного.. процессы смотрю через sysintenals process explorer, загрузка процессора невысокая ~15-20% но винт молотит как хрен знает что.. hdd снимал, проверял с помощью McaFee и с помощью symantec av, на другой машине, не нашел ничего подозрительного. Скажите, что это за вирус, и как с ним бороться? А если не вирус, то, что это?  |
|
|
Создано: 18 апреля 2007 14:13 · Личное сообщение · #2 nikitosk пишет: куда то утекает.. начинает активно увеличиваться swap файл, с реди процессов не заметил ничего необычного.. т.е в диспечтере задач все процессы нормального размера? сомневаюсь)) еще скажи какой процесс забирает проц. время. |
|
|
Создано: 18 апреля 2007 14:20 · Личное сообщение · #3 В том то все и дело, все процессы нормального размера бездействие системы все остально забирает... з.ы. каким еще менеджером процессов можно воспользоваться, чтоб все показал, как есть, в т.ч. и скрытые(хотя process explorer вроде все показывает) |
|
|
Создано: 18 апреля 2007 14:23 · Личное сообщение · #4 Посмотри сколько места хавает ядро. Проверь систему антивирем, антируткитом, RootkitRevealer'ом например. |
|
|
Создано: 18 апреля 2007 14:32 · Поправил: nikitosk · Личное сообщение · #5 RootkitRevealer, щас поробую.. а если найдет чего, как его мочить? rootkit |
|
|
Создано: 18 апреля 2007 17:06 · Личное сообщение · #6 z-oleg.com/secur/avz/download.php |
|
|
Создано: 19 апреля 2007 12:26 · Поправил: Error_Log · Личное сообщение · #7 nikitosk nikitosk пишет: RootkitRevealer RootkitRevealer - прошлый век. Если руткит, то тебе нужны: -->Rootkit Unhooker 3.31<-- http://rkunhooker1.narod.ru/ ; IceSword 1.20; DarkSpy 1.05 Но гарантии на 100% это все равно не даст, но 99,99 будет 
Если это все же не руткит, посмотри что у тебя в автозапуске, обрати внимание на dll-ки, которые зарегины как Shell Extensions, Winlogon и т.п. Больше всего для этого подойдет -->Autoruns<-- http://www.microsoft.com/technet/sysinternals/utilities/Autoruns.mspx от Марка Руссиновича ----- Research is my purpose |
|
|
Создано: 19 апреля 2007 14:48 · Личное сообщение · #8 Ты же вроде был ещё и приверженцем Gmer'a, или его уже в отвал? |
|
|
Создано: 19 апреля 2007 15:56 · Поправил: Error_Log · Личное сообщение · #9 Если эти три не словят, то GMER тоже курит, во всяком случае в нем нет ничего такого, чего нету в тех, что я перечислил. Любой детектор можно обойти, применив специфик-код, который заточен под конкретный антируткит, поэтому кол-во детекторов просто немного уменьшит вероятность этого... А вообще я приверженец своего детектора, у меня своя методика детекта скрытого в ring-0 кода. ----- Research is my purpose |
|
|
Создано: 19 апреля 2007 17:18 · Личное сообщение · #10 Че все забыли про pHunter от Рэма. Или хайд тулзы, тоже палят скрытые процессы. |
|
|
Создано: 19 апреля 2007 18:13 · Личное сообщение · #11 Не забыли, он тоже уже морально устарел, например, в аттаче пример скрытого процесса, который PHunter не видит. Второй пример скрытого процесса который не видит Phunter - phide_ex. Все тот же Rootkit Unhooker видит скрытый процесс в обоих случаях.  8183_19.04.2007_CRACKLAB.rU.tgz - rkdemo.rar
----- Research is my purpose |
|
|
Создано: 19 апреля 2007 21:05 · Личное сообщение · #12 Error_Log пишет: Не забыли, он тоже уже морально устарел, например, в аттаче пример скрытого процесса, который PHunter не видит. В ринг-0 скрывается? PHunter только юзермодские перехватчики ловит... 
|
|
|
Создано: 19 апреля 2007 21:34 · Личное сообщение · #13 sniperZ Ну ни скажи, юзермодские руткиты словит и PMaster, который работает без драйвера, скрыться от PHunter-a достаточно сложно, и подавляющую часть руткитов, у которых есть свой процесс он видит в режиме EXTENDED, даже если руткит с драйвером. Кстати, его несложно доработать, чтобы он ловил и этот rkdemo, но практической пользы от этого не особо много. Дело в том, что слишком много следов после себя оставляет процесс, и скрывать процесс в реальном рутките нецелесообразно. Так поступают часто "писатели", у которых вообще нет мозгов, и кто только то и умеет, что скопипастить код с какого-то сорса с www.rootkit.com. К счастью, качественные RootKit-ы большая редкость, и попадаются только в еденичных случаях. ----- Research is my purpose |
|
|
Создано: 19 апреля 2007 22:29 · Поправил: sniperZ · Личное сообщение · #14 Error_Log пишет: Так поступают часто "писатели", у которых вообще нет мозгов, и кто только то и умеет, что скопипастить код с какого-то сорса с www.rootkit.com. http://www.rootkit.com. К счастью, качественные RootKit-ы большая редкость, и попадаются только в еденичных случаях. +1. PHunter работает вроде вызовом сервисов ядра и работает вроде толко под хп (sysenter). 
|
|
|
Создано: 20 апреля 2007 00:23 · Личное сообщение · #15 sniperZ пишет: PHunter работает вроде вызовом сервисов ядра и работает вроде толко под хп (sysenter) Ты хоть иногда матчасть читай, вот это http://www.wasm.ru/print.php?article=hiddndt например. ----- Research is my purpose |
|
|
Создано: 20 апреля 2007 21:58 · Личное сообщение · #16 Error_Log фенкс за ссылку на Rootkit Unhooker v3.31.150.420. Та что сейчас у нас в новостях на краклабе намного меньше видит(3.0.88.344). Ну и конечно авторам софтины тоже. В частности у меня скрипт PE_kill-а по восстановлению IAT в статье не работал(loadLibraryA хучил каспер и как оказалось не один он). Новая версия показала все расклады и возможно удасться с помощью её же все это убрать.(ещё не пробовал) |
|
|
Создано: 26 апреля 2007 15:36 · Личное сообщение · #17 Спасибо, ребята за ответы, просветили хоть меня немного... но ввиду того что комп надо было срочно вернуть в работу пришлось тупо снести винду... так ничего и не отловив... |
|
eXeL@B —› Оффтоп —› Не могу поймать вирус.. |
Для печати