Заинтриговал часто упоминаемый на разных форумах Gmer.
Решил у себя просканировать. Вот что нашел, выделив из сотен красным цветом. Как с этим быть?
ntoskrnl
[i]Defense+ при этом выключали? Желательно, с перезагрузкой. Система какой разрядности? Что из защитного/бэкапного/т.п. софта ещё установлено? Давайте, всё-таки, в отдельной теме, тут и так уже каша получается.
[/i]
32бит, ХР. Стоит Сомодо файервол(отключил проактивку с перезагрузкой), антивир. Аваст(выключил экраны без перезагр.), WinPatrol, Rollback Rx.
Просканировал Gmer(ом) еще раз, получились инные результаты.
А-а, так у Вас ещё и Аваст там… Перехваты SSDT на х86 - это рутина. Ни одна защитная программа без этого не обходится и обходиться практически не сможет. У Вас всё, что видно на скрине ведёт в авастовские или комодовские драйверы, если это всё подозрительное и “странности” из того топика “ушли”, можете не обращать внимания, то, что на скрине, совершенно нормально.
P.s. увидел второй пост. Я, честно говоря, не совсем понял, что здесь удивило гмер, посмотрите регедитом эти две службы, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ и дальше по их именам, Это служба уведомлий о системных событиях и “старое” восстановление системы. Если ключи номально открываются/читаются, попробуйте проверить без аваста, может быть, это его проделки. А перед этим попробуйте поставить их запуск на автомат, может гмер по этому поводу переживает.
И тут, просканировал Ashampoo Antimalware(не пробовали эту прогу, столько находит… 88)), проактивка интересная, перехватывает подмены, перенаправления всякие(о чем Сомодо не сообщает).
Не уверен, что стоит обсуждать шампуневские результаты Потом, не понял, про какие он потоки говорит? В NTFS потоки отделяются двоеточием, там я их не наблюдаю… Файлы как файлы, чего ему не нравится, что он говорит в “подробнее”?
P.S. А, так это он имеет в виду типа:
C:\Windows\system.ini:c1_encryption_e
Чего бы так и не написать… Так это может Ваш регорганайзер там какие-нибудь свои ключи хранит? Можно и пристрелить их, по идее, из system.ini уж точно
P.P.S. Как-то не заметил сразу Rollback Rx в первом посте. Это он, почти наверняка, эти фокусы с службами и вытворяет, с систем-рестор- практически 100% его проделки, проверьте, если это не целая история
Так комодо проверяет стримы. И в них нет ничего такого уж прямо “скрытого”, обычные файлы, практически. А на кого-то из этих адавейров-шампуней я TDL усаживал без малейшего писка с их стороны, что “до”, что “после”. Нафег-нафег.
;D Ладно, агитация провалилась.
Но как сканер по требованию, оставлю, все-таки два движка - антиспайверовский, и антивирусный(находят много).А Хипс у Сомодо конечно сильнее.
Еще проблемка(возможно и не относящаяся к заражению). Не могу зайти уже несколько дней, на один автомобильный форум(где модератором являюсь)
Проверьте как у вас с этим, или это проблема самого форума ??? http://forum.bmwland.ru/index.php?showforum=21
Открывается. Через Anonymouse.org проверьте. Надо смотреть полный HTTP-запрос, который отправляется, а может ещё каким-нибудь софтом у Вас же на компе кромсается. А раз Вы там модератором, скажите админу, пусть логи глянет, может вскроется чего. Ну или завтра тогда скажу, как смотреть…
Ладно, давайте так, спишите вот этот прибамбас: SocketSniff - Windows Sockets (WinSock) Sniffer (ссылка снизу страницы), запустите, “прицепите” к браузеру, и попробуйте зайти по свему адресу. Результаты (там будет с десяток блоков) покажите (посмотрите, чтобы там не оказалось какой личной инфы), завтра погляжу. Но сначала попробуйте просто куки в браузере почистить. Пока никаких оснований для “заражения” и “блокирует” я лично не вижу.
К стати, и через Dragon не могу зайти.
И знакомого попросил через поиск зайти на этот сайт. На сам сайт заходит(как и я), а на форум - нет!! (раньше с этого компа я ходил на тот форум) Выдает страницу Forbidden
You don’t have permission to access /index.php on this
Это Вы не то сфотографировали.
По ссылке даже есть картинка:
вот такого типа и мне нужна. Собственно, я на неё особых надежд не возлагаю, но для начала - хотя бы так.
Вообще ничего не понял. Как и куда Вы входите через нирсоферовский сайт? ??? 88)
У Вас, главное, каких-нибудь адблокеров/прайвеси-гвардов и т.п. не установлено? На тот случай, если они исходящий запрос курочат по своему разумению. И Вы вообще туда не можете попасть, или попасть под своим логином? Идеальный вариант здесь, конечно, смотреть логи на серваке. А для быстрой “локальной” проверки (и не только) всегда удобно держать в столе флэшку с линухом…
А Вы его, через Defense+ пропустили? В песочницу он не загремел, главное? CIS всегда про нирсоферовские прибамбасы выражается в совершенно жутких выражениях.
Всё равно ничего не понимаю. Через нирсофт или всё-таки через анонимаус?