Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » GMER

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5

Открыть новую тему     Написать ответ в эту тему

Sorok



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GMER


GMER - программа для обнаружения и удаления руткитов (rootkits), перед которыми пока бессильны многие антивирусники. После первого запуска ищет и удаляет руткиты из скрытых процессов, модулей, файлов, ключей реестра, драйверов SSDT/IDT/IRP
• hidden processes
• hidden threads
• hidden modules
• hidden services
• hidden files
• hidden disk sectors (MBR)
• hidden Alternate Data Streams
• hidden registry keys
• drivers hooking SSDT
• drivers hooking IDT
• drivers hooking IRP calls
• inline hooks


Парсер логов GMER

Похожие программы
  • PowerTool
  • XueTr / PCHunter

  • Всего записей: 1709 | Зарегистр. 27-09-2001 | Отправлено: 10:43 07-11-2006 | Исправлено: shrmn, 19:18 14-01-2024
    Victorkoly



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Thread  C:\WINDOWS\system32\csrss.exe

     
    Попробуйте загрузится с загрузочного диска/флешки (Др. Веб или того же Касперского).

    Всего записей: 942 | Зарегистр. 01-03-2015 | Отправлено: 14:45 12-07-2016
    krserv



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо, я тоже собираюсь это сделать, но нет ли лучших загрузочных утилит для обнаружения Rootkits, чем продукты от DrWeb or Kaspersky.
    т.е предназначенных для уничтожения этой нечисти. Или сейчас уже антивирусные монстры научились и со шпионским ПО, rootkits  и др. динамически изменяющейся, внедряющейся  нечистью надежно бороться?

    Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 15:15 12-07-2016 | Исправлено: krserv, 15:18 12-07-2016
    gjf



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    krserv
    http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe

    ----------
    Тут могла бы быть Ваша реклама... или эпитафия

    Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 15:31 12-07-2016
    Victorkoly



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    krserv
     
    Из совета выше скажу, что собственно для целей лечения MBR утилита Касперского может быть запущена с Windows LiveCD. Есть всякие более сложные гадости, но против всего остального должно помочь сканирование с загрузочного диска всего раздела C: (или где у тебя Винда).

    ----------
    AVG2017, версия IDSagent 17.4.3.1767. ОС: Win7 x64.

    Всего записей: 942 | Зарегистр. 01-03-2015 | Отправлено: 15:53 12-07-2016
    gjf



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если вредоносная программа неактивна (а при загрузке с LiveCD она как раз неактивна) - то поможет любая утилита с хорошим набором сигнатур. Там не нужен ни антируткит-движок, ни эвристика, скорее, они только ухудшают дело.

    ----------
    Тут могла бы быть Ваша реклама... или эпитафия

    Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 16:17 12-07-2016
    Victorkoly



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    поможет любая утилита с хорошим набором сигнатур

     
    Но не всегда. Есть всякие новые гадости, с которыми не умеет бороться почти ни один антивирус.

    Всего записей: 942 | Зарегистр. 01-03-2015 | Отправлено: 16:34 12-07-2016
    gjf



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Victorkoly
    В режиме LiveCD? Кривые руки пользователя?
    Пример приведите, пожалуйста. Криптовальщики - не в счёт.

    ----------
    Тут могла бы быть Ваша реклама... или эпитафия

    Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 16:37 12-07-2016
    Victorkoly



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Пример приведите, пожалуйста.

     
    http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-levels-up-with-new-autostart-mechanism/
     
    Для устранения нужно иметь LiveCD с функцией редактирования реестра и некоторые знания того, что искать.
     
    Этот описан куда сложнее, но возможно оставляет следы работы:
    http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp__understanding-wmi-malware.pdf
     
     В тесте с ним справился только Касперский.
    З.Ы. Речь идет об этом:
    https://www.anti-malware.ru/malware_treatment_test_2015

    Всего записей: 942 | Зарегистр. 01-03-2015 | Отправлено: 17:00 12-07-2016
    gjf



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Victorkoly
     

    Цитата:
    http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-levels-up-with-new-autostart-mechanism/
    - для устранения этого достаточно иметь парсер файлов реестра и поиск по сигнатуре.
     

    Цитата:
    http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp__understanding-wmi-malware.pdf
    - тоже, парсер+сигнатура
     

    Цитата:
    https://www.anti-malware.ru/malware_treatment_test_2015


    Цитата:
    Тест антивирусов на лечение активного заражения (апрель 2015)
    - я Вам про LiveCD говорю. При чём здесь активное заражение и победа Касперского на проплаченном ресурсе?
     


    ----------
    Тут могла бы быть Ваша реклама... или эпитафия

    Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:08 12-07-2016
    Victorkoly



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    При чём здесь активное заражение

     
    Если нет активного заражения, то наверное и не нужны всякие утилиты для его лечения.
     
    Образа Виндовс LiveCD под рукой нет, проверю на виртуалке специальный Linux.

    Всего записей: 942 | Зарегистр. 01-03-2015 | Отправлено: 17:40 12-07-2016
    krserv



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [q][/q] я на всякий случай сделал Sfc /scannow - проблема не обнаружена и затем bootrec /fixmbr; /fixboot
    Правда использовал не внешнюю загрузку, а загрузку с внутреннего образа средствами ОС при загрузке в среду восстановления ОС.  
     
     
    Добавлено:
    сейчас закачаю Live CD и погоняю Каспера и Drweb
    Давно уже не сталкивался с этим. Под Windows 10 нет ли какого-нибудь официального Microsoft или другого Live CD, чтобы не пользоваться пользовательскими сборками.  
    Но лидер в этой области - Malwarebytes - почему-то до сих пор не создал ни одну загрузочную утилиту.
    Только что прогнал их Anti-Rootkit utility - все чисто.

    Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 17:47 12-07-2016 | Исправлено: krserv, 17:55 12-07-2016
    Victorkoly



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Но лидер в этой области - Malwarebytes

     
    МБАМ - конечно не самый плохой бесплатный сканер. Хотя Eset будет явно лучше, а МБАМ без интернета очень тормозно стартует свой скан.

    Всего записей: 942 | Зарегистр. 01-03-2015 | Отправлено: 18:02 12-07-2016
    gjf



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Victorkoly (16:40 12-07-2016)
    Цитата:
    Если нет активного заражения, то наверное и не нужны всякие утилиты для его лечения.  

     
    Вы не понимаете определения, что такое активное заражение.
    Активное заражение - это когда вредоносная программа функционирует. При сканировании с LiveCD вредоносная программа не функционирует, поскольку заражённая система не запущена. В этом случае все её механизмы сокрытия и противодействия отсутствуют, а потому её легко идентифицировать и удалить.
     
    Регулярно проводятся меряния пиписьками по теме лечения активного заражения - по факту ни один антивирус не позволяет это сделать в реальности. Все эти сравнения делаются в таком формате и режиме, чтобы вывести заранее проплаченного фаворита и обеспечить ему рекламу.
     
    LiveCD - наиболее универсальный, быстрый и надёжный способ лечения активного заражения (которое, по сути, неактивно в процессе сканирования и лечения). Дальше вопрос только в количестве сигнатур, их актуальности и качестве подпрограмм лечения.

    ----------
    Тут могла бы быть Ваша реклама... или эпитафия

    Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 22:29 12-07-2016 | Исправлено: gjf, 22:52 12-07-2016
    krserv



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Из совета выше скажу, что собственно для целей лечения MBR утилита Касперского может быть запущена с Windows LiveCD. Есть всякие более сложные гадости, но против всего остального должно помочь сканирование с загрузочного диска всего раздела C:

    Cкачал я Kaspersky rescue disk 10 - загрузился с него, запустил сканирование последний раз видел его работу на 99%, через некоторое время захожу, окно сканирования закрылось. Запускаю заново - пишет база данных повреждена, пробую обновить - не обновляется.
    Придется искать Live CD и запускать с него Kaspersky removable tools.
     
    Как-то обсуждение отклонилось от темы топика - GMER, но началось то с его  результата сканирования. Сейчас после очистки компа еще раз проверю GMER.
    Live CD DrWeb обнаружил 6 вредоносов, в том числе в Logon; Task manager и т.д. Каспер со второго раза, ничего не обнаружил, а первый раз как я написал выше произошло повреждение его базы данных, или воздействие на его копию в оперативной памяти вредоноса, который не позволил касперу выполнить проверку. Т.е DrWeb оказался на высоте, но вот решил ли полностью проблему посмотрим.
    Также я общаюсь с техподдержкой MBAM, посмотрим как они будут помогать дальше если проблема полностью не решится. Сначала их утилиты ничего не нашли.

    Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 02:40 13-07-2016 | Исправлено: krserv, 12:07 13-07-2016
    krserv



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    мне Gmer выдает вот такое сообщение после сканирования:     Thread  C:\WINDOWS\system32\csrss.exe [708:1016]  fffff96165524060  

     
    Проверил на еще двух компах выдает тоже самое. На обоих как и на этом стоит одинаковая ось - Win 10
    На этом компе сделал - Refresh ОS c удалением всех приложений и данных на системном диске. Сразу же после обновления системы запустил gmer- результат тот же.
    Что это? Народ попробуйте у себя на Windows 10 будет у вас такое сообщение или нет.

    Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 00:47 31-07-2016
    oval2004



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    krserv

    Цитата:
    Народ попробуйте у себя на Windows 10 будет у вас такое сообщение или нет.

    У меня все нормально...  
    Версия Gmer 2.2.19882  

    Всего записей: 509 | Зарегистр. 23-11-2014 | Отправлено: 08:52 31-07-2016
    krserv



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    т.е Gmer проходит и не выдает ни одной подозрительной записи?
    Попробую на чистый винт новую Windows установить и сразу Gmer проверить.
     
    Что меня удивляет, что gmer у меня выдает проблему на всех компьютерах, при этом антивирусники ничего не находят. Странная проблема, буду исходить из теории "Чистого листа" на новой установке.

    Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 11:43 31-07-2016 | Исправлено: krserv, 11:55 31-07-2016
    oval2004



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    krserv

    Цитата:
    т.е Gmer проходит и не выдает ни одной подозрительной записи?  

    Не обратил внимания вначале, таки присутствует запись:
    #
     
     
    А в чем ее подозрительность?

    Всего записей: 509 | Зарегистр. 23-11-2014 | Отправлено: 12:04 31-07-2016 | Исправлено: oval2004, 12:08 31-07-2016
    krserv



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Это у Вас записи где в разделе Rootkits? А если зайти в ключи реестра там есть красные папки? Если бы я знал что это такое? Но программа показывает, на подозрительную активность, но я не силен в этом. Поэтому в теме и обсуждаю, что это.
    И как я увидел у Вас много разных записей присутствует, у меня сейчас только одна. Как я понимаю, в идеале не должно в Rootkits/malware не быть ни одной. Или нужно разбираться основательно какой процесс ведет себя так, что программа подозревает его как Rootkit.

    Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 13:16 31-07-2016 | Исправлено: krserv, 13:18 31-07-2016
    oval2004



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    krserv

    Цитата:
    Это у Вас записи где в разделе Rootkits?

    Да
     

    Цитата:
    А если зайти в ключи реестра там есть красные папки?

    Ничего красного нет
     
    P.S. Эти записи на реальной машине с большим количеством установленных программ.
    Проверил на чистой 10-ке на виртуалке - только одна эта запись в разделе Rootkits
     

    Всего записей: 509 | Зарегистр. 23-11-2014 | Отправлено: 13:25 31-07-2016 | Исправлено: oval2004, 13:33 31-07-2016
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5

    Компьютерный форум Ru.Board » Компьютеры » Программы » GMER


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru