THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Софт > Антивирусная защита, Malware (вредоносное ПО)

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Антивирусная защита, Malware (вредоносное ПО) Вирусы, руткиты, троянцы, программы-блокираторы - обмен опытом по избавлению компьютерного пространства от непрошеных гостей и подбору утилит, способных в этом помочь.

Ответ
 
Опции темы Опции просмотра
Старый 07.10.2006, 14:53   #1
Меню пользователя
Без прописки
  
Question как поймать rootkit

всем привет.
собсно сабж.
падла засела хз где, ни rootkit revealer, ни rkdetekt его не находят. антивирус ни один нормально не работает - налицо блокировка по имени файла/заголовку окна.
новейший касперский не находит на винте ничего даже из другой винды при подкл винта в другой комп.
прям таки эксклюзивная техника...
ваши идеи? (переустановить ос - НЕ идея)
да, система - wxp pro sp2
  Ответить с цитированием
Старый 09.10.2006, 19:02   #2
Меню пользователя Tim
Старожил
  
Первое, что понятно - это что из сказанного ни черта не понятно :-).
Что за "падла", что в системе происходит (только менее эмоционально и более подробно), какая вообще ОС, ставились ли любые бета-версии любого софта и программы уровня Daemon Tools, Alcohol120% и т.д.?
Tim вне форума   Ответить с цитированием
Старый 10.10.2006, 13:26   #3
Меню пользователя
Без прописки
  
2 Tim

Если вкратце, то руткит - это технология сокрытия, используемая в основном для вирусов, а точнее скрытия их активности.
тоесть ни в списке процессов, ни в реестре, ни в сетевой активности не будут видны элементы, касающиеся вредоносной программы, даже файлов подозрительных на диске не будет видно. таким образом стандартными средствами при активном рутките его не выловишь... вот такие пироги.
.
единственный (из простых) способ его обезвредить - это подождать, мобыть он скоро появится в базах антивирусов.
  Ответить с цитированием
Старый 10.10.2006, 14:10   #4
Меню пользователя Tim
Старожил
  
Это если заранее считать, что в системе именно он сидит. В чем у меня пока особой уверенности нет :-).
Я потому и спрашивал про ОС+софт, что эта комбинация иногда, при особо неудачных сочетаниях может такие "взрывоопасные" ситуации дать - куда там любому rootkit.
Tim вне форума   Ответить с цитированием
Старый 10.10.2006, 19:21   #5
Меню пользователя
Без прописки
  
Tim
а как иначе? или это случайно переименование любого ехе-файла (напр блокнота) в kav.exe делает его незапускаемым. переименование самого kav.exe - он запускается. но не работает, тк его сервисы/либы называются тоже kav.
+ другие антивирусы (nod32 напр) ругаются на ошибку доступа к памяти...
.
я тоже надеялся что просто глюк, но нет. слишком много совпадений...
  Ответить с цитированием
Старый 10.10.2006, 19:36   #6
Меню пользователя Tim
Старожил
  
Hombre
Рассказал бы сначала в чем собственно дело и что у тебя происходит :-)). И в подробностях.

А то чесслово у нас что-то вроде разговора слепого с глухим получается :-).
Tim вне форума   Ответить с цитированием
Старый 10.10.2006, 19:37   #7
Меню пользователя Alexander E. Valov
Старожил
 
Аватар для Alexander E. Valov
  
Программы для отлова руткитов:
  • Saint Jude
  • Chrootkit
  • RkScan
  • Carbonite
  • Kstat
  • Rootkithunter
  • Tripware
  • Samhain
А вообще, знаешь, насколько я знаю, есть только один способ борьбы с руткитами. Превентивный. Тык что, реинстал винды, формат Ц ентер и т.п.
Alexander E. Valov вне форума   Ответить с цитированием
Старый 10.10.2006, 19:51   #8
Меню пользователя
Без прописки
  
gracias, Buryat !
вот так списочек.
одно но: половину проверил - все под никсы. под вынь что нибудь есть?
  Ответить с цитированием
Старый 10.10.2006, 20:04   #9
Меню пользователя Alexander E. Valov
Старожил
 
Аватар для Alexander E. Valov
  
Да в том то и дело, что руткиты в осном распространены именно в Никсах, эт оттудова маза...
  • RootKit Hook Analyzer
  • AVG Anti-Rootkit
  • Sophos Anti-Rootkit
  • BitDefender RootkitUncover
  • Spy Sweeper
  • CounterSpy
  • Ashampoo AntiSpyWare
Попробуй еще эти проги... они вроде как тоже умеют руткиты искать...

Я тот список дал так, от финта... Эти все для Винды...
Alexander E. Valov вне форума   Ответить с цитированием
Старый 10.10.2006, 20:06   #10
Меню пользователя
Без прописки
  
так, всем спс, вроде разобрался...
кому интересно, вот статейка по теме:
http://www.cybersecurity.ru/manuals/...spam/5734.html
а вот линки, в т.ч. для винды:
http://www.antirootkit.com/software.htm
  Ответить с цитированием
Старый 10.10.2006, 20:13   #11
Меню пользователя Alexander E. Valov
Старожил
 
Аватар для Alexander E. Valov
  
Сам руткит словил? Мне кажется, что ни одна из вышеописанных утилит его не словит...

Чувство такое...
Alexander E. Valov вне форума   Ответить с цитированием
Старый 11.10.2006, 11:51   #12
Меню пользователя
Без прописки
  
Buryat

Не, не сам конечно. Знакомые попросили пофиксить комп. а у них такое...
понятное дело, что превентивно - всегда лучше. но тут уже никак, ибо поздно.
сносить винду тоже нежелательно, тк много софта нужного наставлено.
.
просто есть надежда, что, как ни талантлив был автор руткита, он тоже человек - наверняка ему было лень зашивать все известные строки для блокировки всех тулз лечения.
ну а если нет, то как сказал выше, просто подожду пока он появится в базах антивирусов, и из под другой ОСи (где руткит неактивен) вычислю его.
.
как вариант сделаю листинг всех файлов диска из зараженной оси и из чистой, а потом fc их - тут то он и выйдет.
  Ответить с цитированием
Старый 11.10.2006, 14:25   #13
Меню пользователя Alexander E. Valov
Старожил
 
Аватар для Alexander E. Valov
  
Ну, чтож. Желаю удачи! Не болеть, ни тебе, ни компу...
Alexander E. Valov вне форума   Ответить с цитированием
Старый 21.11.2006, 14:07   #14
Меню пользователя Джубей
  
Есть такая программа. AVZ называется. Создана специально для борьбы с подобной трудновыводимой заразы. Найти можно тут: http://z-oleg.com/secur/avz/index.php
Джубей вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 06:59.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru