Объявление

#1 20.10.2015 15:22:28

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Помогите удалить остатки этой дряни [закрыто]

Всем привет! Подскадите умную мысль как это убить smile
Ведать когда то это был руткит oops ну и я его того(чем то завалил, уже не помню чем) или же мне показалось что я его завалил и это что то новое и оно дальше сидит в системе, то что это безобразие имет отношение к руткитам я сделал вывод после просмотра вот этой ссылки где продемонстрированы подобные симптомы http://www2.gmer.net/rootkits.php
Программа GMER после запуска сразу выдаёт вот эти строки
=======================================
---- Threads - GMER 2.1 ----

Thread  System [4:3216]  8478CC30

---- EOF - GMER 2.1 ----
========================================
Потом полазил и нашёл это дело в GMER вот скриншот каконо выглядит
http://s016.radikal.ru/i335/1510/6a/d8477e3ccfe6.png
Чем убить эту дрянь?!
Больше ничего странного GMER не показывает ни каких красныз строк и тому подобного нет ...
Что подскажите знатоки?!

Отредактировано AV_80 (20.10.2015 15:24:07)

Неактивен

 

#2 20.10.2015 16:45:48

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2539
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

AV_80
Выложите логи AntiSMS для начала.

Неактивен

 

#3 20.10.2015 17:12:21

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

Без проблем только скажите где скачать самый последний AntiSMS и можно ли его запустить с безопасного режима(ну в смысле подойдут ли Вам эти логи) потому что сейчас флешки под рукой нет и загрузиться не с чего sad

PS кстати та ссылка что я Вам дал о подобных симптомах, короче первое упоминание о "Thread  System..." там идёт у заразы под названием SST@VBR/x64 а вот моя Виндовса то 32 битная, неужели в памяти какая то дрянь 64 разрядная сидит?!

Отредактировано AV_80 (20.10.2015 17:18:57)

Неактивен

 

#4 20.10.2015 17:51:05

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2539
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

AV_80
В этом же форуме закреплена тема: Обязательно к прочтению перед созданием новой темы.
Достаточно скачать AntiSMS.exe и интегрировать его, можно с безопасного режима. Затем выполнить Пуск -> AntiSMS -> Устранение неполадок, согласиться на перезагрузку и дождаться результата.

Неактивен

 

#5 20.10.2015 19:02:51

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

Ничего не нашёл Ваш AntiSMS кидать вам этот архив?! Непонравился ему мой DNS на сетевой карте(я его сам вручную вводил) потом написало такое "Убран статический маршрут 0.0.0.0,0.0.0.0,192.168.1.1,-1, создана резервная копия" не знаю что это такое...
А вот эти строки: Резервные копии файлов находятся в папке X:\windows\TEMP\AntiSMS\20.10.2015-1\Backup извините простите какой нафиг диск Х:\?! Где оно такое добро у меня нашло?! shock Или то Ваш AntiSMS конструирует такое для своей работы?!

В принципе он и до этого ничего не находил, странно бы было если бы сейчас нашол oops
Меня эта дрянь которую GMER находит беспокоит, я об этом Thread  System [4:3216]  8478CC30
Может подскажите какой то дедовский метод как затереть эту дрянь в памяти, адресок то его в памяти как я понимаю GMER показывает, вот как то бы его того oops

Отредактировано AV_80 (20.10.2015 19:32:10)

Неактивен

 

#6 20.10.2015 20:01:30

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2539
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

AV_80
Давайте для начала выполним инструкцию, ссылку на которую я дал выше.

2. Загрузите на файлообменник rghost.ru архив с логами из папки %WinDir%\AntiSMS. Если там несколько архивов, выберите самый новый по дате. После анализа этого архива администратор подскажет, нужно ли выполнять дополнительные действия для лечения компьютера.

%WinDir% означает имя системной папки, чаще всего это C:\Windows.

Неактивен

 

#7 20.10.2015 20:11:06

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

simplix не поверите я уже нашёл папку AntiSMS методом поиска по диску С: crazy и даже лазил по ней и смотрел чего оно там нашло, потому и говорю что ничего не нашло...
Проверьте личную переписку там к Вам ссылочка в гости пришла smile

Неактивен

 

#8 20.10.2015 20:26:46

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2539
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

Лог чистый, руткита и его следов в системе нет. Вполне возможно, что указанный на скриншоте поток создаёт антивирус или один из безвредных драйверов. Такая запись совсем не означает, что в системе есть руткит, и сейчас мы выяснили, что его действительно нет. Для своего спокойствия можете дополнительно проверить систему антивирусом CureIt, однако AntiSMS сам по себе даёт вполне надёжный результат.

Неактивен

 

#9 20.10.2015 20:38:10

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

simplix То что на скриншотре, так оно вылазит сразу после переустановки ОС, так что антивирус тут ни при чём, он ещё на этом этапе не был установлен(значит этот вариант отпадает), а вот драйвера как Вы знаете Windows 8 устанавливает самостоятельно так что вполне может быть то что Вы говорите, но всё равно вопрос остаёться, хочу узнать какой драйвер или какая там зараза это создаёт?!
Скажите чем именно можно посмотреть откуда ноги растут у этого потока, думаю там нас ждут новые открытия smile

PS и этим CureIt или касперскими, впрочем как и другими продуктами Вы меня не удивите, я уже много перепробовал, просто хочу знать что на хозяйстве завелось такого...

Отредактировано AV_80 (20.10.2015 20:52:03)

Неактивен

 

#10 20.10.2015 21:06:59

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2539
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

Так что ж вы сразу не сказали, что оно вылазит на чистой, только установленной системе? Значит это и не проблема вовсе. Как вы понимаете, только автор утилиты GMER сможет вам ответить, почему его программа определяет один из потоков именно так, следовательно теперь этот вопрос нужно задать ему.

Неактивен

 

#11 20.10.2015 21:35:49

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

simplix я хочу выяснить что это, и что то мне подсказывает что это новый метод сокрытия заразы, сидит себе в системе и антивирусы её не трогают....
А куда ему писать я не знаю, смотрю Вы толковый знаток в железе, потому и прошу подскажите какой то метод/софт как посмотреть что или кто создаёт этот поток, адресок то мы его знаем ну в смысле этого потока, чем посмотреть неужели софтины нет какой то, не  стесняйтесь говорите smile
Да и что то мне подсказывает что всё оно показывает так, как и есть на самом деле...
Эта дрянь наверное завязана на вот этих модулях ядра под именами
dump_diskdump.sys, dump_nvstor.sys , м вот этот красавец dump_dumpfve.sys вирус тотал в его дампе видит какую то заразу https://www.virustotal.com/en/file/c92e … 445365629/
А Вы говорите всё хорошоу...
PS Просто хочу раскопать эту дрянь, свои праскопки дам Вам, научите свой AntiSMS  с этим бороться цены ему не будет, я думаю такая дрянь не только у меня одного сидит...

Отредактировано AV_80 (20.10.2015 21:42:58)

Неактивен

 

#12 20.10.2015 21:46:36

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2539
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

Вы сами подумайте, что говорите, какой ещё метод сокрытия заразы на чистой, свежеустановленной системе? Если ни AntiSMS, ни CureIt, ни другие антивирусы не находят проблему, значит этой проблемы нет, и смысла высасывать её из воздуха я не вижу. Вы считаете, что GMER не ошибается - пишите его автору, уж точно не мне искать его контакты. По приведённой ссылке на вирустотале банальное ложное срабатывание. Больше ничем помочь не могу, комментировать работу утилиты GMER должен её автор и точка.

Неактивен

 

#13 20.10.2015 21:54:23

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 911

Re: Помогите удалить остатки этой дряни [закрыто]

AV_80
"Не красное, значит не болит.....", также и автор GMER Вам это скажет, а пытливый ум хорош до времени, потом начинается паранойя....


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

Неактивен

 

#14 20.10.2015 22:07:00

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

happywanderer сообщает:

AV_80
"Не красное, значит не болит.....", также и автор GMER Вам это скажет, а пытливый ум хорош до времени, потом начинается паранойя....

Скажите а это мудрость у вас такая из личного опыта?! Я вообще то и хочу чтобы у автора этих странных потоков началась паранойя, если Вы с ним знакомы передайте ему что к нему уже идут lol

simplix вспомнил вот когда то утилита RogueKiller(в своих первых версиях) так же находила какие то странные знаки вопроса и удаляла, а теперь ведать она их пропускает... Тоже надо было писать к автору по Вашему?!
СКАЖИТЕ ЛУЧШЕ КАК И ЧЕМ ПОСМОТРЕТЬ ЧТО ЛЕЖИТ ПО ЭТОМУ АДРЕСУ В ПАМЯТИ, а я Вам находки покажу... Всё и базируеться на таких вот мелочах, из таких мелочей потом новые подделки вирусописателей в базах антивирей появляються, так не должно быть, и надо копать в этом направлении, а не прикрывать какие то странности, или мне показалось что Вы это делаете....

Отредактировано AV_80 (20.10.2015 22:15:33)

Неактивен

 

#15 20.10.2015 22:17:46

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 911

Re: Помогите удалить остатки этой дряни [закрыто]

Да, из личного, у меня голова не помойное ведро, что бы я забивал её всяким не нужным хламом. Есть специально обученные люди, которые выпускают программное обеспечение безопасности, и если это ПО не находит подозрительных объектов, то их там нет. А если комплекс проведённой проверки не выявил зловреда, зачем же создавать проблему искуственно? Ради повышения самооценки или от переизбытка свободного времени?
P.S. Переходите на Линукс, там безопастней, и как в том анекдоте: "... и на трахаешься и на танцуешься..."

Отредактировано happywanderer (20.10.2015 22:19:59)


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

Неактивен

 

#16 20.10.2015 22:34:49

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

happywanderer сообщает:

Да, из личного, у меня голова не помойное ведро, что бы я забивал её всяким не нужным хламом. Есть специально обученные люди, которые выпускают программное обеспечение безопасности, и если это ПО не находит подозрительных объектов, то их там нет. А если комплекс проведённой проверки не выявил зловреда, зачем же создавать проблему искуственно? Ради повышения самооценки или от переизбытка свободного времени?

И как вы со своей параноей живёте теперь?! Если вы знания и любопытство сравниваете с помойным ведром то всё с вами понятно, тут у вас уникальный клиничный случай, надо к вам санитаров направить biggrin
Эти специально обученные люди зачем то же от таких как вы логи собирают, не?! Зачем же им это надо?! Да чтобы что то новое находить, а вы наивный верите что эти специально обученные люди самые умные и всё знают?! А откуда тогда новые вирусы беруться?! Некотрых зловредов сначала никто не может вычислить и вы наивно будите верить что у вас всё чисто, да вы наивный как ребёнок... Например жители Даунбасса тоже верили что януковощ им пакращення сделает и сами знаете чем это закончилось...
Я честно говоря понятия не имею какого чёрта вы встрягли тут в разговор и чего вы там хотите себе повысить, вам в вайф сидеть и ждать когда  специально обученные  люди начнут что то искать, так сидите и ждите, а я им лучше помогу это сделать и вирусописатели быстрее начнут локти кусать wink

Неактивен

 

#17 20.10.2015 22:51:50

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 911

Re: Помогите удалить остатки этой дряни [закрыто]

Знание и любопытство я не сравнивал с мусорным ведром, а голову(внимательней читайте текст). Я не претендую на спасителя мира, открывателя Америки и изобретателя велосипеда, т.ч. паранойи у меня нет, живу ровно и спокойно. Да и вам бы посоветовал относится к знакам вопроса по проще, и не ищите чёрную кошку в тёмной комнате, даже если она там есть, кроме шишек Вы ничего там не заработаете, погуляйте лучше с девушкой.... Удачи!!! Оффтоп окончен. winkdrinks


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

Неактивен

 

#18 20.10.2015 23:14:53

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 538

Re: Помогите удалить остатки этой дряни [закрыто]

simplix сообщает:

только автор утилиты GMER сможет вам ответить, почему его программа определяет один из потоков именно так, следовательно теперь этот вопрос нужно задать ему.

Писал ему как-то, предлагал помощь в переводе на великий и могучий - тишина

Сайт давно не обновлен, новости и подавно

Я бы посмотрел в сторону буткита, если реально не ложняк гмера - нужен лог (образ) uvs

И тс слишком грубоват по отношению к simplix и остальным форумчанам, так себя не ведут, когда помощи просят

Отредактировано g0dl1ke (20.10.2015 23:15:50)


"Stay a While, and Listen"

Неактивен

 

#19 21.10.2015 18:09:39

AV_80
Member
Зарегистрирован: 09.09.2015
Сообщений: 20

Re: Помогите удалить остатки этой дряни [закрыто]

happywanderer сообщает:

Знание и любопытство я не сравнивал с мусорным ведром, а голову(внимательней читайте текст).

Да вы что, а знания и любопытство у вас значит в анусе храняться?! shock Странно, у нормальных людей такие вещи в голове сидят откуда же мне было знать чт оу вас всё по другому biggrin

happywanderer сообщает:

Я не претендую на спасителя мира, открывателя Америки и изобретателя велосипеда, т.ч. паранойи у меня нет, живу ровно и спокойно.

а вас кто разве на эту должность спасителя номиновал здесь, сами лезите в разговор и свои пять копеек везде суните, не?! biggrin Вы же говорили что это мудрость из вашего личного опыта, так что паранойя у вас уже давно есть, просто вы её не замечаете такое бывает smile Опять же например жители Даунбасса живут со своим собственным дебелизмом и даже не догадываються что он у них есть(он им мешает это осознать) точно так же вы живёте со своей параноей коль вы сами говорили что это мудрость из вашего опыта была, видите как всё просто?!oops

happywanderer сообщает:

Да и вам бы посоветовал относится к знакам вопроса по проще, и не ищите чёрную кошку в тёмной комнате, даже если она там есть, кроме шишек Вы ничего там не заработаете

как бы ваша кошка драная с комнаты убегать не начала lol  Умные люди свет включают и тогда что то ищут, а такие как вы шишки набивают lol Берите с собой экстракт валерьянки и она сама к вам придёт и будет вам как вы там говорили "... и на трахаешься и на танцуешься..." так вроде, не?! 

happywanderer сообщает:

погуляйте лучше с девушкой.... Удачи!!! Оффтоп окончен. winkdrinks

да я бы рад, но жена не пускает с девками гулять, разве что в тихаря к соседке за солью пойти lol
PS Я вообще не понимаю какого чёрта вы тут свои пять копеек всунули, по теме вопроса ни чего не сказали, нагородили какого бреда молодого не опытного юноши, лучше бы своему совету последовали и сами на девки сходили а то смотрю вам моча в голову уже бьёт...
Как говориться какой привет такой ответ, извольте откланяться, досвидос, или как там у вас говорят давай досвидания smile

======================================================

g0dl1ke сообщает:

Писал ему как-то, предлагал помощь в переводе на великий и могучий - тишина Сайт давно не обновлен, новости и подавно

о добрый человек а имейл вы к нему подкинуть не могли бы?! Или мыло у него поменялось, может занят если молчит, я тут нагуглил что теперь автор Gmerа в лабораторию Аваста работает, а на счёт обновления сайта последняя версия программы  2.1.19357 была обновлена: 2014-01-28 так что мой Windows 8 по древнее по дате будет чем последняя версия GMER, мыслю ловите?!smile

g0dl1ke сообщает:

Я бы посмотрел в сторону буткита, если реально не ложняк гмера - нужен лог (образ) uvs

возможно это оно и есть, я даже не исключаю что эта дрянь сидит где то в системных областях жесткого диска, потому и убить форматированием не удалось...

g0dl1ke сообщает:

И тс слишком грубоват по отношению к simplix и остальным форумчанам, так себя не ведут, когда помощи просят

вы чего такое говорите я simplix считаю реальным специалистом потому и пишу тут,  если бы я не считал simplix спецом поверьте меня бы тут тупо не было, меня наоборот городость распирает что в моей Украине есть такие люди как simplix
Ну не с кацапскими же окупантами мне своими находками делиться, не?! Вот и хочу раскопать где собака зарыта и подкинуть эту тему simplix пусть научит свою софтину бороться с заразой этой wink
А то что этот пасажир малолетний happy... сюда влез и свои сообщения не по теме катать начал это не ко мне, я тут ни при чём, как мне писали так я и отвечал, как говориться какой привет такой ответ, хотя честно говоря так и не понял чего он мне тут пытался доказать, зато посмеялся  lol

Отредактировано AV_80 (21.10.2015 18:21:37)

Неактивен

 

#20 27.10.2015 00:38:33

hal
Advanced Member
Откуда: Самара
Зарегистрирован: 02.12.2008
Сообщений: 417
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

AV_80 сообщает:

Ну не с кацапскими же окупантами мне своими находками делиться, не?!

За это надо банить.

Неактивен

 

#21 27.10.2015 01:04:41

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2539
Вебсайт

Re: Помогите удалить остатки этой дряни [закрыто]

Тему закрываю за отсутствием реальной проблемы, да и переходы на личности начались.

Неактивен

 

Board footer


Рекомендации: OSZone, Comss, Ru-Board
© simplix