Въпрос за резултати от сканиране с Gmer

[Night_Raven]

Зависи. Ако по някакъв начин пречи на програмата, ще трябва да се спре. В повечето случаи обаче не би трябвало да има проблеми и може да остане.

[damto]

Зависи. Ако по някакъв начин пречи на програмата, ще трябва да се спре. В повечето случаи обаче не би трябвало да има проблеми и може да остане.

 

Нищо не пречи и да остане,както и да има "син екран".

 

(Night_Raven @ 28 May 2009, 19:16) *

Не е нужно да се спира интернетът.

 

Ако се изключи антривируса и защитата изобщо,защото повечето хора ползват само антивирус кой ще пази компа от вируси докато сканира GMER?

[Night_Raven]

GMER сканира за няколко секунди. Не вярвам да са фатални.

[icotonev]

GMER сканира за няколко секунди. Не вярвам да са фатални.

 

 

 

kak няколко секунди .....минимум 30 мин....така става при мен.....?

[Night_Raven]

Говоря за началното сканиране след стартиране. То трае няколко секунди. Това сканиране е достатъчно, ако системата ще се чисти основно с инструменти катo ComboFix и The Avenger, което е в повечето случаи.

Иначе пълното сканиране (с всички отметки без тези на дяловете след C:) отнема малко над 10 мин. и това при положение, че съм със стар компютър. Явно доста си си наблъскал системния дял с излишни неща.

[Pe6o]

То другото не е чак толкова важно. Т.е. не са лоши и безполезни неща, но в общи линии най-ценното е това, което се стартира автоматично с пускане на програмата - сканирането за рууткити. То това е и основното, за което се ползва GMER.

Иначе има различни подпрозорци:

- Processes е подобие на Task Manager, но е леко на стероиди, защото засича/маркира (в червено) невидими процеси.

Modules предлага списък със заредените драйвери/модули. Нищо повече.

- В Services има списък с наличните на системата зареждащи се услуги, като могат и да се изтриват. Скритите се маркират в червено.

- Files е подпрозорец, аналогичен на Windows Explorer, с разликата, че се виждат и скритите файлове и папки.

- Registry е подпрозорец, аналогичен на Regedit, с разликата, че се виждат скритите ключове и стойности.

- Autostart извежда списък (след кликане на бутон Scan) с обекти, които се зареждат заедно с Windows. Не е от най-подробните обаче.

- CMD предлага възможност за стартиране на cmd.exe и regedit.exe със зададени от потребителя команди/параметри. Това създава и .bat файл в папката на GMER.

http://img227.imageshack.us/img227/3745/anigif2ku0.gif

Ще допълня:

Бутона "Settings" активира HIPS'а на GMER. Предлага много добра защита, но ако имаме и друга програма ползуваща тази технология има голяма вероятност системата да блокира.

Спасение: дезaктивиране на GMER под Safe Mode.

GMER е една от най-добрите antyrootkit програми що се отнася до т.н. "стационарни" rootkit'и. При тестови ситуаций симулиращи действие на "подвижен"

rootkit/променя местоположението си при засечено сканиране в опит да се скрие/ не се представя добре. За този случай най-добрите програми са:

Rootkit Revealer и Avast Antyrootkit.

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

[B-boy/StyLe/]

GMER е една от най-добрите antyrootkit програми що се отнася до т.н. "стационарни" rootkit'и. При тестови ситуаций симулиращи действие на "подвижен"

rootkit/променя местоположението си при засечено сканиране в опит да се скрие/ не се представя добре. За този случай най-добрите програми са:

Rootkit Revealer и Avast Antyrootkit.

 

Avast antirootkit пак използва отчасти GMER...

 

Ще ми се да пробвам доста от новите версии на тези инструменти, но трябва да го правя все под VirtualBox-a.

 

Скоро за Windows Vista/7 x64 няма да има работещи версии. Не че им са и нужни де, защото модула (PatchGuard) засега пази kernel-a на Операционната Система от промени, а и политиката на MS за изискване на цифров подпис съвсем усложнява нещата. Повечето руткити, които се инсталират на такава О.С. са "userland" и се почистват сравнително лесно.

 

Доста нашумяха напоследък и инструменти като RootRepeal, Deep System Explorer (на DiamondCS), Packed Driver Detector.

Добри освен GMER са - IceSword (главно за изтриване на упорити файлове), DarkSpy (май са закупени от TrendMicro заедно с IceSword), Hypersight Rootkit Detector (за превенция на сложни rootkits използващи метода на виртуализация - Blue Pill, SubVirt - засеха не бачка под х64 и имат доста работа по нея) и имаше още един интересен инструмент (те са много всъщност), но един ми направи по интересно впечатление. За съжаление съм го изтрил и в момента не се сещам за името му.

[Гост tnn]

Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Driver­s\dump_atapi.sys. ...\SystemRoot\System32\Driver­s\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави

[B-boy/StyLe/]

Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Driver­s\dump_atapi.sys. ...\SystemRoot\System32\Driver­s\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави

 

А защо си сигурен, че са опасни ?

 

Dump_atapi.sys is a part of Microsoft Windows Operation system.

Dump_atapi.sys is the IDE port driver.

 

dump_WMILIB.SYS is a part of Microsoft Windows Operation system.

dump_WMILIB.SYS is the WMI driver.

 

Намират се от modGreper, Rootkit Hook Analyzer, RootRepeal, защото са скрити.

Сочени са като False Positives от форума на Sysinternals.

Спи спокойно !

 

http://pic-bg.net/files/lr23uq19ipf7wyteyg7sovf6dr99dg6cnxzjiehl.jpg

 

Here is the RootRepeal log:

ROOTREPEAL © AD, 2007-2008

==================================================

Scan Time: 2009/02/11 21:04

Program Version: Version 1.2.3.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xB79E4000 Size: 98304 File Visible: No

Status: -

 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xBADE2000 Size: 8192 File Visible: No

Status: -

[tanganika]

Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Driver­s\dump_atapi.sys. ...\SystemRoot\System32\Driver­s\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави

http://www.pcadvisor.co.uk/forums/index.cf...5&forumid=1

 

Dump_atapi.sys is a part of Microsoft Windows Operation system.

Dump_atapi.sys is the IDE port driver

 

http://www.greatis.com/appdata/n/d/dump_wmilib.sys.htm

 

dump_WMILIB.SYS is a part of Microsoft Windows Operation system.

dump_WMILIB.SYS is the WMI driver.

 

При мене е скрит само този

 

http://hosting06.imagecross.com/image-hosting-16/5714Screenshot-20.jpgImage Hosting

 

http://www.softwaretipsandtricks.com/at_yo..._IASTORSYS.html

 

Name: DUMP_IASTOR.SYS

Description: IASTOR.SYS is a Intel SATA drivers for hard drives.

 

Преди месец когато инсталирах Mamutu за тестове имаше негов скрит драйвер,тъкмо бях решил че и аз съм извадил късмет да открия невидими гости.

[Гост tnn]

SysProt AntiRootkit би трябвало да не ги прехваща при чиста система. Виж http://www.google.bg/search?hl=bg&q=re...mp;aq=f&oq=

[B-boy/StyLe/]

SysProt AntiRootkit би трябвало да не ги прехваща при чиста система. Виж http://www.google.bg/search?hl=bg&q=re...mp;aq=f&oq=

 

Още в първия линк не видях да се предлага почистване точно на тези файлове...

 

ROOTREPEAL © AD, 2007-2008

==================================================

Scan Time: 2009/05/27 21:05

Program Version: Version 1.2.3.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xAA50B000 Size: 98304 File Visible: No

Status: -

 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7B66000 Size: 8192 File Visible: No

Status: -

 

Name: gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

Image Path: C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

Address: 0xF778C000 Size: 62208 File Visible: -

Status: Hidden from Windows API!

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xAA0B3000 Size: 45056 File Visible: No

Status: -

 

Hidden Services

-------------------

Service Name: gxvxcserv.sys

Image Path: C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

 

Drivers to disable:

UACd.sys

gxvxcserv.sys

gaopdxserv.sys

 

Drivers to delete:

UACd.sys

gxvxcserv.sys

gaopdxserv.sys

 

Files to delete:

C:\WINDOWS\system32\wJQs.exe

C:\WINDOWS\system32\uacinit.dll

C:\WINDOWS\system32\uacvymnbtboeayohhs.dll

C:\WINDOWS\system32\uacqciqunodfnlghrv.dll

C:\WINDOWS\system32\drivers\gxvxcserv.sys

C:\WINDOWS\system32\gxvxccounter

C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

C:\WINDOWS\system32\gxvxcxkfpxfxurntewmrfttjyqtsmsenqwgiw.dll

 

Registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\UAC

 

Осмисли нещата.

[Гост tnn]

B-boy, това индийско чудо SysProt AntiRootkit накрая може и непрепоръчително да се окаже. Поздрави

[Night_Raven]

Да, непрепоръчително за хора, които не са наясно с материята.

[Гост tnn]

Да, непрепоръчително за хора, които не са наясно с материята.

Едва ли има човек, на който всичко да му е ясно и известно - няма как да съм с подобни претенции. Просто веднъж реших да пробвам по по-бавните начини и не съм очарован. Как би коментирал констатациите ни със SysProt AntiRootkit?