Jump to content

Въпрос за Rootkit

branikova
 Share

Препоръчан пост

branikova Новобранец

branikova

Публикувано
Публикувано

Здравейте.Сканирах с RootkitRevealer ,появи се това HKLM\SECURITY\Policy\Secrets\SAC* 01.4.2008 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 01.4.2008 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 03.4.2008 0 bytes Access is denied.

Мога ли да помоля някой да ми поясни дали е опасно за ОС.

Link to comment
Сподели другаде
branikova Новобранец

branikova

Публикувано
  • Author
Публикувано
Най-вероятно не са нищо притиснително, но за всеки случай сканирай с още някоя антирууткит програма. GMER би била чудесен избор.

Благодаря,ще опитам с нея.

Link to comment
Сподели другаде
Aquarius Новобранец

Aquarius

Публикувано
Публикувано
HKLM\SECURITY\Policy\Secrets\SAC* 01.4.2008 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 01.4.2008 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 03.4.2008 0 bytes Access is denied.

 

Абсолютно нормални резултати.

Първите два реда се визуализират на всяка система, защото това са ключове, до които не може да се осъществява достъп чрез инструмент като REGEDIT, което се счита за съмнително от RKR, но на практика са си напълно легитимни.

Link to comment
Сподели другаде
B-boy/StyLe/ Новобранец

B-boy/StyLe/

Публикувано
Публикувано
Абсолютно нормални резултати.

Първите два реда се визуализират на всяка система, защото това са ключове, до които не може да се осъществява достъп чрез инструмент като REGEDIT, което се счита за съмнително от RKR, но на практика са си напълно легитимни.

 

Така е.

Само да отбележа, че от Sysinternals са се погрижили за програмка, която сканира и дава възможност за изтриване на опасните "празни ключове"...

 

http://technet.microsoft.com/en-us/sysinte...s/bb897448.aspx

 

Пример за скрит обект в регистрите с помощта на RegHide.

Regdelnull открива "натрапника" и предлага възможност за неговото изтриване.

Командата за претърсване на регистрите е следната:

 

regdelnull hklm -s (Където HKEY_LOCAL_MACHINE може да бъде заменен с hkcu ; hku и т.н.)

 

http://img339.imageshack.us/img339/7026/80354024ka6.jpg

 

Освен Gmer за проверка за наличие на Rootkits препотъчвам Rootkit Unhooker, както и малките инструменти System Virginity Verifier, modgreper...

 

SVV 2.3 - System Virginity Verifier

 

важни команди тук са : svv check ; svv fix

 

http://img219.imageshack.us/img219/4616/11592715rr5.jpg

 

http://invisiblethings.org/tools/svv/svv-2.3-bin.zip

 

modGREPER

 

важна команда тук е: modgreper /h

 

http://invisiblethings.org/tools/modGREPER...PER-0.3-bin.zip

 

За разчитането на информарцията обаче може да се наложи да се обърнеш към специалист!

 

Още софтуер за борба с rootkits можеш да откриеш на тази страница:

 

http://www.antirootkit.com/software/index.htm

Link to comment
Сподели другаде
  • 2 months later...
sandra Новобранец

sandra

Публикувано
Публикувано

има ли нещо нередно в доклада на RootkitRevealer:

 

HKU\.DEFAULT\Control Panel\international_combofixbackup 2008-07-27 14:24 0 bytes Security mismatch.

HKU\.DEFAULT\Control Panel\international_combofixbackup\Geo 2008-07-27 14:24 0 bytes Security mismatch.

HKU\S-1-5-21-343818398-682003330-1813867239-1003\Control Panel\international_combofixbackup 2008-07-27 14:24 0 bytes Security mismatch.

HKU\S-1-5-21-343818398-682003330-1813867239-1003\Control Panel\international_combofixbackup\Geo 2008-07-27 14:24 0 bytes Security mismatch.

HKU\S-1-5-18\Control Panel\international_combofixbackup 2008-07-27 14:24 0 bytes Security mismatch.

HKU\S-1-5-18\Control Panel\international_combofixbackup\Geo 2008-07-27 14:24 0 bytes Security mismatch.

HKLM\SECURITY\Policy\Secrets\SAC* 2008-07-16 16:43 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 2008-07-16 16:43 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 2008-07-16 18:56 0 bytes Access is denied.

C:\Documents and Settings\Slava\Application Data\skypePM\2008-07-28-0.ezlog 2008-07-28 00:27 648 bytes Hidden from Windows API.

C:\Documents and Settings\Slava\Local Settings\Application Data\Mozilla\Firefox\Profiles\lbb5u086.default\Cache\F4401438d01 2008-07-28 00:30 45.79 KB Hidden from Windows API.

C:\Documents and Settings\Slava\Local Settings\Temp\fb_2884.lck 2008-07-27 23:47 256.00 KB Hidden from Windows API.

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 2008-07-28 00:24 64.00 KB Visible in Windows API, but not in MFT or directory index.

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
 Share
Иди на предишната тема
×
×
  • Създай ново...