A je po problémech.virusy v registroch
Moderátor: Moderátoři Živě.cz
Stránka 2 z 2 • 1, 2, • #
od fanynek 21. 11. 2007 23:33
Bez urážky.....hoďte tenhle thread na viry.cz/forum a myslím, že vás rozmetají na kousíčky. Igi rulezz!
CPU:Core2Duo 8400 3,0GHz|MB:GigaByte EP35-DS4 rev.2.1 bios F3|RAM:Corsair 4096MB DDRII 800MHz CL4|VGA:Inno3D GeForce 8800GTS 512MB DDR3 PCI-E|HDD:2xSeagate Barracuda 7200.10 320GB SATAII|DVD-RAM:LITE-ON SH-16A7S SATA|ZDROJ:Fortron Blue Storm II 500W
- fanynek
- Junior
-
od fanynek 21. 11. 2007 23:43
Nebudu se hádat. Jak jsem napsal v předchozím příspěvku.
CPU:Core2Duo 8400 3,0GHz|MB:GigaByte EP35-DS4 rev.2.1 bios F3|RAM:Corsair 4096MB DDRII 800MHz CL4|VGA:Inno3D GeForce 8800GTS 512MB DDR3 PCI-E|HDD:2xSeagate Barracuda 7200.10 320GB SATAII|DVD-RAM:LITE-ON SH-16A7S SATA|ZDROJ:Fortron Blue Storm II 500W
- fanynek
- Junior
-
od fanynek 22. 11. 2007 00:16
My se ale každý bavíme o trošku něčém jiném. On řešil, jak na VIRY, tak jsem myslel tenhle druh havěti. Je jasný, že pokud tam bude mít rootkit, tak samo odhalení skrytého procesu bude složitější. Cituji, viz níže..... http://www.viry.cz/go.php a http://www.rootkit.cz/go.php
Virus - tato havěť infikuje nejčastěji existující - spustitelné soubory na pevném disku. To se děje tak, že se k nim "tělo viru" připojí (obvykle na jejich konec) a při spuštění infikovaného souboru dojde nejprve k aktivaci viru (ten vykoná další činnost) a následně je činnost předána původnímu programu. Původní program v infikovaném souboru tak není poškozen a lze ho vyléčit, tj. "vykousnout" tělo viru a vrátit soubor do původního stavu před infekcí. Je však potřeba připomenout, že ve většině případů nemusí být vyléčený soubor zcela identificky se stavem před jeho infekcí. Některé programy (typicky Total Commander) provádějí vlastní kontrolu a jakoukoliv změnu mohou ohlašovat jako chybu i když to nemá žádný vliv na funkčnost. Pokud se tedy nabízí možnost obnovit infikované soubory ze zálohy, jde určitě o lepší variantu než používat vyléčenou podobu souborů.
Rootkit:
Je si nutné uvědomit, že rootkit je klasickým programem a jako každý jiný program se musí do PC dostat ve formě souboru, který uživatel stáhne např. z Internetu a to ať už samostatně, nebo jako součást jiného, "mírumilovně" se tvářícího programu. Hledání havěti v souborech je pochopitelně hlavní náplní všech antivirových systémů, takže nic nebrání tomu, aby byla v těchto souborech detekována i havěť typu rootkit. Vlastnostmi může rootkit připomínat trojského koně, takže není potřeba antivirový systém ani nějak přizpůsobovat detekci rootkitů. Stačí pouze, aby antivirová společnost vydávala i aktualizace, konkrétně signatury pro detekci známých rootkitů. To se ve většině případů i děje, takže v tomto případě lze prohlásit: ANO, antiviry dokážou detekovat rootkity.
Může ale nastat situace, kdy rootkit již běží (tj. je spuštěn - aktivován - uživatel ho spustil jako každý jiný program) v systému, např. z důvodu, že prošel skrze antivirový systém, který daný exemplář rootkitu nezná / neznal, popř. že antivirový systém nebyl vůbec nainstalován. Pokud je rootkit opravdu kvalitní a dokáže se tak dokonale maskovat, nemusí ho antivirový systém v PC detekovat, ačkoliv ho za jiných okolností zná (typicky při stahování rootkitu z Internetu, popř. při pokusu o spuštění - aktivaci rootkitu). V tomto případě lze tedy prohlásit, že: NE, antiviry nedokážou detekovat rootkity.
Virus - tato havěť infikuje nejčastěji existující - spustitelné soubory na pevném disku. To se děje tak, že se k nim "tělo viru" připojí (obvykle na jejich konec) a při spuštění infikovaného souboru dojde nejprve k aktivaci viru (ten vykoná další činnost) a následně je činnost předána původnímu programu. Původní program v infikovaném souboru tak není poškozen a lze ho vyléčit, tj. "vykousnout" tělo viru a vrátit soubor do původního stavu před infekcí. Je však potřeba připomenout, že ve většině případů nemusí být vyléčený soubor zcela identificky se stavem před jeho infekcí. Některé programy (typicky Total Commander) provádějí vlastní kontrolu a jakoukoliv změnu mohou ohlašovat jako chybu i když to nemá žádný vliv na funkčnost. Pokud se tedy nabízí možnost obnovit infikované soubory ze zálohy, jde určitě o lepší variantu než používat vyléčenou podobu souborů.
Rootkit:
Je si nutné uvědomit, že rootkit je klasickým programem a jako každý jiný program se musí do PC dostat ve formě souboru, který uživatel stáhne např. z Internetu a to ať už samostatně, nebo jako součást jiného, "mírumilovně" se tvářícího programu. Hledání havěti v souborech je pochopitelně hlavní náplní všech antivirových systémů, takže nic nebrání tomu, aby byla v těchto souborech detekována i havěť typu rootkit. Vlastnostmi může rootkit připomínat trojského koně, takže není potřeba antivirový systém ani nějak přizpůsobovat detekci rootkitů. Stačí pouze, aby antivirová společnost vydávala i aktualizace, konkrétně signatury pro detekci známých rootkitů. To se ve většině případů i děje, takže v tomto případě lze prohlásit: ANO, antiviry dokážou detekovat rootkity.
Může ale nastat situace, kdy rootkit již běží (tj. je spuštěn - aktivován - uživatel ho spustil jako každý jiný program) v systému, např. z důvodu, že prošel skrze antivirový systém, který daný exemplář rootkitu nezná / neznal, popř. že antivirový systém nebyl vůbec nainstalován. Pokud je rootkit opravdu kvalitní a dokáže se tak dokonale maskovat, nemusí ho antivirový systém v PC detekovat, ačkoliv ho za jiných okolností zná (typicky při stahování rootkitu z Internetu, popř. při pokusu o spuštění - aktivaci rootkitu). V tomto případě lze tedy prohlásit, že: NE, antiviry nedokážou detekovat rootkity.
CPU:Core2Duo 8400 3,0GHz|MB:GigaByte EP35-DS4 rev.2.1 bios F3|RAM:Corsair 4096MB DDRII 800MHz CL4|VGA:Inno3D GeForce 8800GTS 512MB DDR3 PCI-E|HDD:2xSeagate Barracuda 7200.10 320GB SATAII|DVD-RAM:LITE-ON SH-16A7S SATA|ZDROJ:Fortron Blue Storm II 500W
- fanynek
- Junior
-
od mkmt 22. 11. 2007 01:09
fanynek píše:My se ale každý bavíme o trošku něčém jiném. On řešil, jak na VIRY, tak jsem myslel tenhle druh havěti. Je jasný, že pokud tam bude mít rootkit, tak samo odhalení skrytého procesu bude složitější /quote]
zbytocne tu uvadzas siahodlhe citaty, mne nemusis vysvetlovat co je rootkit
Ty ako osoba, ktora sa snazi odstranit niekoho problem, nevies co sa na masine udialo, takze nemozes vylucit, ze tam rootkit nie je, takze online scan nie je riesenie, co sa ti tu niektori snazili vysvetlit
vsade doporucuju ako zaklad log z HijackThis, co je nezmysel, pretoze v pripade pouzitia rootkitu to nepovedie k vysledku
pokial ide MWAV, je to "backora", nedetekuje ani "prastary" HackerDefender, na rozdiel od slusnych produktov ako napr. NOD, Kaspersky a pod.
okrem toho, ak sa chces bavit o rootkitoch, tak sa pozri na: http://www.rootkit.com nazbieraj vlastne skusenosti a az potom poucuj
PS: zvaz co tu pises, mozno sa citis ako Kolumbus ale Ameriku uz objavili...
aby bolo jasne o com hovorim prikladam log z HijackThis ak bezi HackerDefender:
1: bez pouzitia AntiHokkExec
2:s pouzitim AntiHookExec
1.
- Kód: Vybrat vše
Logfile of HijackThis v1.99.1
Scan saved at 11:56:56 PM, on 11/21/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\oodtray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\totalcmd\TOTALCMD.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mexe.com
C:\Program Files\Common Files\InstallShield\UpdateService\agent.exe
C:\Program Files\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint GmbH - C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
2.
- Kód: Vybrat vše
Logfile of HijackThis v1.99.1
Scan saved at 11:57:51 PM, on 11/21/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\hxdef\hxdef100.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\oodtray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\totalcmd\TOTALCMD.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mexe.com
C:\Program Files\Common Files\InstallShield\UpdateService\agent.exe
C:\AntiHookExec\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: HXD Service 100 (HackerDefender100) - Unknown owner - C:\hxdef\hxdef100.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint GmbH - C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
myslim, ze polozky C:\hxdef\hxdef100.exe a O23 - Service: HXD Service 100 (HackerDefender100) - Unknown owner - C:\hxdef\hxdef100.exe su dostatocne zrozumitelne
- mkmt
- Junior
od fanynek 22. 11. 2007 01:51
Já ti to neberu. Naopak s tebou souhlasím. Ale ve spojitosti HJT a MWAV jsem mluvil o virech. To, co píšeš je zajímavé. Rootkity jsem nikdy lovit nemusel, takže nemám takové zkušenosti a ani jsem to netvrdil. Používám KIS, dobře nastavený firewall a trochu hlavu a nemám s žádnou havětí sebemenší problém. A když se mi něco nezdá, nebo něco nevím, tak se zeptám těch, co tomu rozumí. Tak mi teda poraď, když víš, co je dobrý a nehádej se.
CPU:Core2Duo 8400 3,0GHz|MB:GigaByte EP35-DS4 rev.2.1 bios F3|RAM:Corsair 4096MB DDRII 800MHz CL4|VGA:Inno3D GeForce 8800GTS 512MB DDR3 PCI-E|HDD:2xSeagate Barracuda 7200.10 320GB SATAII|DVD-RAM:LITE-ON SH-16A7S SATA|ZDROJ:Fortron Blue Storm II 500W
- fanynek
- Junior
-
od mkmt 22. 11. 2007 07:44
fanynek píše:Ale ve spojitosti HJT a MWAV jsem mluvil o virech.
Tak mi teda poraď, když víš, co je dobrý a nehádej se
e/quote]
vsak prave o to ide, rootkity sa pouzivaju nielen na skrytie svojej pritomnosti ale aj na skrytie pritomnosti virusov a ineho skodliveho kodu, mohol som to ukazato v tych logoch ale nechcel som to komplikovat, preto ti je HijachThis nanic ak rootkit skryva nejaky virus
hadat sa naozaj nechcem, uz som Ti radil, ze najvacsia istota je pouzit offline scan
- mkmt
- Junior
Příspěvků: 25 | Stránka 2 z 2 • 1, 2, • #
Kdo je online
Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků