Zoookey Публикувано Август 25, 2010 Author Report Share Публикувано Август 25, 2010 Ами, какво да ви кажа, момчета... ОБИЧАМ ВИ!!! БЛАГОДАРЯ ВИ МНОГО! Нямам думи да опиша колко съм ви благодарен Дано не ми се налага да ви притеснявам пак Още един път: Благодаря за бързото откликване и решение на проблема ми Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Август 30, 2010 Report Share Публикувано Август 30, 2010 Привет icotonev,Всичко е ОК въпреки, че проблема може да се реши и по-лесно без да се използуват специфични програми, скриптове и т.н. Това е друга тема, а поводае: "Браво!Мисля че вече всичко е наред...!Логовете са чисти..!"Прав си, но конкретно: 1./ 1046 LISTENING -- -- [180] c:\program files\hotkeyz\hotkeyz.exe-канал за пренос на данни.2./ C:\WINDOWS\system32\DRIVERS\klif.sys Подозрение на RootKit Перехватчик KernelMode-неоправдано присъствие в компютъра.3./ mzvkbd3.dll-hidden файл-неоправдано присъствие в компютъра. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Август 30, 2010 Report Share Публикувано Август 30, 2010 2 и 3 са файлове на Kaspersky - напълно легитимни. Цитирай Link to comment Сподели другаде More sharing options...
Zoookey Публикувано Август 31, 2010 Author Report Share Публикувано Август 31, 2010 Колкото до 1./ - това е програма за клавишни комбинации. Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Август 31, 2010 Report Share Публикувано Август 31, 2010 Hi Night_Raven,благодаря, но не мисли, че не знам какви са тези файлове. Забележи, използувам определението: "неоправдано присъствие в компютъра."Не бих искал да изпадам в подробности, но моето твърдение се основава на сравнително подробно рзчитане и сравняване на логфайловете, който за добро са доста на брой и дават по пълна картина за ситуацията. Употребявам сравнително, защото съм запознат с конкретния маниера на работа в тази ситуация.Разбира се може и да не съм прав, но тогава някой трябва да каже, защо е оправдано присъствието на въпросните файлове в компютъра? За да не бъда разбран погрешно подчертавам, че става въпрос за една конкретна ситуация. Привет Zoookey,"това е програма за клавишни комбинации."ОК! Не става въпрос за програмата, а какво прави към момента фиксиран в т.1.Същата, в случая hotkeyz е заела порт 1046 и "слуша". Със сигурност не музика и със 100% сигурност очаква контакт със отдалечен компютър. Много другиправят това, но програма от този тип няма основание да извършва такова действие, което от своя страна го прави подозрително. И ако продължимсценарият, защо не след инструкций от далечния компютър не започне да съобщава някой неща за тебе, какви сайтове посещаваш например и т.н. Е, това елошия сценарий, може да има и хубав? Във всеки случай формулировката на т.1 "-канал за пренос на данни" е точна.Хареса ми написаното от тебе в #21: "Мисля, че успях да изчистя част от гадовете (поне временно........." за съжаление.Бил си близо до истината, малко нещо не ти е достигнало и си щял да се справиш сам. Преди време бях писал във връзка с решаване проблем от подобноестество, но за съжаление архивите се изгубиха. Пак за съжаление през следващите 15-20 дни съм зает, но при първа възможност ще дам алтернативен начин за възможвостта: "проблема може да се реши и по-лесно без да се използуват специфични програми, скриптове и т.н." #32 http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Август 31, 2010 Report Share Публикувано Август 31, 2010 Hi Night_Raven,благодаря, но не мисли, че не знам какви са тези файлове. Забележи, използувам определението: "неоправдано присъствие в компютъра."Не бих искал да изпадам в подробности, но моето твърдение се основава на сравнително подробно рзчитане и сравняване на логфайловете, който за добро са доста на брой и дават по пълна картина за ситуацията. Употребявам сравнително, защото съм запознат с конкретния маниера на работа в тази ситуация.Разбира се може и да не съм прав, но тогава някой трябва да каже, защо е оправдано присъствието на въпросните файлове в компютъра? За да не бъда разбран погрешно подчертавам, че става въпрос за една конкретна ситуация.Отново пишеш много, а не казваш нищо. Потребителят има инсталиран продукт на Kaspersky Lab, това оправдава присъствието на файловете. Не схващам какво толкова има за обсъждане. Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Септември 1, 2010 Report Share Публикувано Септември 1, 2010 Какъв продукт на Kасперски имаш впредвид? http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Септември 2, 2010 Report Share Публикувано Септември 2, 2010 Какъвто и да е продукт на Kaspersky имам предвид. Файловете са на въпросната компания, т.е. част от някой техен продукт са (най-вероятно Kaspersky AntiVirus или Kaspersky Internet Security), това е достатъчно. Какво значение има от кой продукт са, стига той и авторът му да са напълно легитимни? Цитирай Link to comment Сподели другаде More sharing options...
Zoookey Публикувано Септември 2, 2010 Author Report Share Публикувано Септември 2, 2010 Въпросната програма е Kaspersky AntiVirus 8.0.0.506, ако е от значение. Колкото до това дали салегитимни - ползвам trial версия, защото всички ключове, които използвам за максимум ден-два влизат в черния списък... Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Септември 3, 2010 Report Share Публикувано Септември 3, 2010 Night_Raven,"Какъв продукт на касперски имаш впредвид?" Попитах, защото останах с впечетление, че си наясно с отговора на въпроса.Zooookey го конкретизира, но това се вижда в лога но OTL, предложена от тебе за диагностика на проблема/има малко разминаване в цифрите, но това е без значение/. http://a.imageshack.us/img225/2314/sv8.jpg Активация на програмата се вижда чак в лога на AVZ-#25 /детайл/ http://a.imageshack.us/img695/236/sv9w.jpg Това е HIPS'a KAV-KIS, но няма индикация, че работи-изтекъл пробен пириод или повторна инсталация.Наличието на .sys в компютъра с определен брой захвати на API и непоказването на това/тези/ действия с цел контрол от страна на оператора се отъждествява с действието на руткит.Не казвам, че случая е такъв и затова използувах израза: "неоправдано присъствие в компютъра", в смисъл щом нещо не е нужно защо да го държиме на PC. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Септември 3, 2010 Report Share Публикувано Септември 3, 2010 Под "неоправдано присъствие в компютъра" аз разбирам нещо, което няма работа на системата и би следвало да се премахне. Това не се отнася за конкретния случай, защото файловете са част от легитимна програма, която е проектирана да ги използва по конкретен начин. Следователно всичко е наред. Че е не особено добра идея да се ползва демо версия на продукт (и още повече изтекла версия), е отделен въпрос. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.