Jump to content

Въпрос за резултати от сканиране с Gmer


Препоръчан пост

  • Отговори 52
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Зависи. Ако по някакъв начин пречи на програмата, ще трябва да се спре. В повечето случаи обаче не би трябвало да има проблеми и може да остане.

 

Нищо не пречи и да остане,както и да има "син екран".

 

(Night_Raven @ 28 May 2009, 19:16) *

Не е нужно да се спира интернетът.

 

Ако се изключи антривируса и защитата изобщо,защото повечето хора ползват само антивирус кой ще пази компа от вируси докато сканира GMER?

Link to comment
Сподели другаде

Говоря за началното сканиране след стартиране. То трае няколко секунди. Това сканиране е достатъчно, ако системата ще се чисти основно с инструменти катo ComboFix и The Avenger, което е в повечето случаи.

Иначе пълното сканиране (с всички отметки без тези на дяловете след C:) отнема малко над 10 мин. и това при положение, че съм със стар компютър. Явно доста си си наблъскал системния дял с излишни неща.

Link to comment
Сподели другаде

То другото не е чак толкова важно. Т.е. не са лоши и безполезни неща, но в общи линии най-ценното е това, което се стартира автоматично с пускане на програмата - сканирането за рууткити. То това е и основното, за което се ползва GMER.

Иначе има различни подпрозорци:

- Processes е подобие на Task Manager, но е леко на стероиди, защото засича/маркира (в червено) невидими процеси.

Modules предлага списък със заредените драйвери/модули. Нищо повече.

- В Services има списък с наличните на системата зареждащи се услуги, като могат и да се изтриват. Скритите се маркират в червено.

- Files е подпрозорец, аналогичен на Windows Explorer, с разликата, че се виждат и скритите файлове и папки.

- Registry е подпрозорец, аналогичен на Regedit, с разликата, че се виждат скритите ключове и стойности.

- Autostart извежда списък (след кликане на бутон Scan) с обекти, които се зареждат заедно с Windows. Не е от най-подробните обаче.

- CMD предлага възможност за стартиране на cmd.exe и regedit.exe със зададени от потребителя команди/параметри. Това създава и .bat файл в папката на GMER.

http://img227.imageshack.us/img227/3745/anigif2ku0.gif

Ще допълня:

Бутона "Settings" активира HIPS'а на GMER. Предлага много добра защита, но ако имаме и друга програма ползуваща тази технология има голяма вероятност системата да блокира.

Спасение: дезaктивиране на GMER под Safe Mode.

GMER е една от най-добрите antyrootkit програми що се отнася до т.н. "стационарни" rootkit'и. При тестови ситуаций симулиращи действие на "подвижен"

rootkit/променя местоположението си при засечено сканиране в опит да се скрие/ не се представя добре. За този случай най-добрите програми са:

Rootkit Revealer и Avast Antyrootkit.

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

Link to comment
Сподели другаде

GMER е една от най-добрите antyrootkit програми що се отнася до т.н. "стационарни" rootkit'и. При тестови ситуаций симулиращи действие на "подвижен"

rootkit/променя местоположението си при засечено сканиране в опит да се скрие/ не се представя добре. За този случай най-добрите програми са:

Rootkit Revealer и Avast Antyrootkit.

 

Avast antirootkit пак използва отчасти GMER...

 

Ще ми се да пробвам доста от новите версии на тези инструменти, но трябва да го правя все под VirtualBox-a.

 

Скоро за Windows Vista/7 x64 няма да има работещи версии. Не че им са и нужни де, защото модула (PatchGuard) засега пази kernel-a на Операционната Система от промени, а и политиката на MS за изискване на цифров подпис съвсем усложнява нещата. Повечето руткити, които се инсталират на такава О.С. са "userland" и се почистват сравнително лесно.

 

Доста нашумяха напоследък и инструменти като RootRepeal, Deep System Explorer (на DiamondCS), Packed Driver Detector.

Добри освен GMER са - IceSword (главно за изтриване на упорити файлове), DarkSpy (май са закупени от TrendMicro заедно с IceSword), Hypersight Rootkit Detector (за превенция на сложни rootkits използващи метода на виртуализация - Blue Pill, SubVirt - засеха не бачка под х64 и имат доста работа по нея) и имаше още един интересен инструмент (те са много всъщност), но един ми направи по интересно впечатление. За съжаление съм го изтрил и в момента не се сещам за името му.

Link to comment
Сподели другаде

Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Driver­s\dump_atapi.sys. ...\SystemRoot\System32\Driver­s\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави
Link to comment
Сподели другаде

Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Driver­s\dump_atapi.sys. ...\SystemRoot\System32\Driver­s\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави

 

А защо си сигурен, че са опасни ?

 

Dump_atapi.sys is a part of Microsoft Windows Operation system.

Dump_atapi.sys is the IDE port driver.

 

dump_WMILIB.SYS is a part of Microsoft Windows Operation system.

dump_WMILIB.SYS is the WMI driver.

 

Намират се от modGreper, Rootkit Hook Analyzer, RootRepeal, защото са скрити.

Сочени са като False Positives от форума на Sysinternals.

Спи спокойно ! :)

 

http://pic-bg.net/files/lr23uq19ipf7wyteyg7sovf6dr99dg6cnxzjiehl.jpg

 

Here is the RootRepeal log:

ROOTREPEAL © AD, 2007-2008

==================================================

Scan Time: 2009/02/11 21:04

Program Version: Version 1.2.3.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xB79E4000 Size: 98304 File Visible: No

Status: -

 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xBADE2000 Size: 8192 File Visible: No

Status: -

Link to comment
Сподели другаде

Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Driver­s\dump_atapi.sys. ...\SystemRoot\System32\Driver­s\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави

http://www.pcadvisor.co.uk/forums/index.cf...5&forumid=1

 

Dump_atapi.sys is a part of Microsoft Windows Operation system.

Dump_atapi.sys is the IDE port driver

 

http://www.greatis.com/appdata/n/d/dump_wmilib.sys.htm

 

dump_WMILIB.SYS is a part of Microsoft Windows Operation system.

dump_WMILIB.SYS is the WMI driver.

 

При мене е скрит само този

 

http://hosting06.imagecross.com/image-hosting-16/5714Screenshot-20.jpgImage Hosting

 

http://www.softwaretipsandtricks.com/at_yo..._IASTORSYS.html

 

Name: DUMP_IASTOR.SYS

Description: IASTOR.SYS is a Intel SATA drivers for hard drives.

 

Преди месец когато инсталирах Mamutu за тестове имаше негов скрит драйвер,тъкмо бях решил че и аз съм извадил късмет да открия невидими гости.

Link to comment
Сподели другаде

SysProt AntiRootkit би трябвало да не ги прехваща при чиста система. Виж http://www.google.bg/search?hl=bg&q=re...mp;aq=f&oq=

 

Още в първия линк не видях да се предлага почистване точно на тези файлове...

 

ROOTREPEAL © AD, 2007-2008

==================================================

Scan Time: 2009/05/27 21:05

Program Version: Version 1.2.3.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xAA50B000 Size: 98304 File Visible: No

Status: -

 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7B66000 Size: 8192 File Visible: No

Status: -

 

Name: gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

Image Path: C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

Address: 0xF778C000 Size: 62208 File Visible: -

Status: Hidden from Windows API!

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xAA0B3000 Size: 45056 File Visible: No

Status: -

 

Hidden Services

-------------------

Service Name: gxvxcserv.sys

Image Path: C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

 

Drivers to disable:

UACd.sys

gxvxcserv.sys

gaopdxserv.sys

 

Drivers to delete:

UACd.sys

gxvxcserv.sys

gaopdxserv.sys

 

Files to delete:

C:\WINDOWS\system32\wJQs.exe

C:\WINDOWS\system32\uacinit.dll

C:\WINDOWS\system32\uacvymnbtboeayohhs.dll

C:\WINDOWS\system32\uacqciqunodfnlghrv.dll

C:\WINDOWS\system32\drivers\gxvxcserv.sys

C:\WINDOWS\system32\gxvxccounter

C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys

C:\WINDOWS\system32\gxvxcxkfpxfxurntewmrfttjyqtsmsenqwgiw.dll

 

Registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\UAC

 

Осмисли нещата.

Link to comment
Сподели другаде

Да, непрепоръчително за хора, които не са наясно с материята.

Едва ли има човек, на който всичко да му е ясно и известно - няма как да съм с подобни претенции. Просто веднъж реших да пробвам по по-бавните начини и не съм очарован. Как би коментирал констатациите ни със SysProt AntiRootkit?

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...