Night_Raven Публикувано Май 30, 2009 Report Share Публикувано Май 30, 2009 Зависи. Ако по някакъв начин пречи на програмата, ще трябва да се спре. В повечето случаи обаче не би трябвало да има проблеми и може да остане. Цитирай Link to comment Сподели другаде More sharing options...
damto Публикувано Май 30, 2009 Report Share Публикувано Май 30, 2009 Зависи. Ако по някакъв начин пречи на програмата, ще трябва да се спре. В повечето случаи обаче не би трябвало да има проблеми и може да остане. Нищо не пречи и да остане,както и да има "син екран". (Night_Raven @ 28 May 2009, 19:16) *Не е нужно да се спира интернетът. Ако се изключи антривируса и защитата изобщо,защото повечето хора ползват само антивирус кой ще пази компа от вируси докато сканира GMER? Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Май 30, 2009 Report Share Публикувано Май 30, 2009 GMER сканира за няколко секунди. Не вярвам да са фатални. Цитирай Link to comment Сподели другаде More sharing options...
icotonev Публикувано Май 31, 2009 Report Share Публикувано Май 31, 2009 GMER сканира за няколко секунди. Не вярвам да са фатални. kak няколко секунди .....минимум 30 мин....така става при мен.....? Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Май 31, 2009 Report Share Публикувано Май 31, 2009 Говоря за началното сканиране след стартиране. То трае няколко секунди. Това сканиране е достатъчно, ако системата ще се чисти основно с инструменти катo ComboFix и The Avenger, което е в повечето случаи.Иначе пълното сканиране (с всички отметки без тези на дяловете след C:) отнема малко над 10 мин. и това при положение, че съм със стар компютър. Явно доста си си наблъскал системния дял с излишни неща. Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Юни 1, 2009 Report Share Публикувано Юни 1, 2009 То другото не е чак толкова важно. Т.е. не са лоши и безполезни неща, но в общи линии най-ценното е това, което се стартира автоматично с пускане на програмата - сканирането за рууткити. То това е и основното, за което се ползва GMER.Иначе има различни подпрозорци:- Processes е подобие на Task Manager, но е леко на стероиди, защото засича/маркира (в червено) невидими процеси.Modules предлага списък със заредените драйвери/модули. Нищо повече.- В Services има списък с наличните на системата зареждащи се услуги, като могат и да се изтриват. Скритите се маркират в червено.- Files е подпрозорец, аналогичен на Windows Explorer, с разликата, че се виждат и скритите файлове и папки.- Registry е подпрозорец, аналогичен на Regedit, с разликата, че се виждат скритите ключове и стойности.- Autostart извежда списък (след кликане на бутон Scan) с обекти, които се зареждат заедно с Windows. Не е от най-подробните обаче.- CMD предлага възможност за стартиране на cmd.exe и regedit.exe със зададени от потребителя команди/параметри. Това създава и .bat файл в папката на GMER.http://img227.imageshack.us/img227/3745/anigif2ku0.gifЩе допълня:Бутона "Settings" активира HIPS'а на GMER. Предлага много добра защита, но ако имаме и друга програма ползуваща тази технология има голяма вероятност системата да блокира.Спасение: дезaктивиране на GMER под Safe Mode.GMER е една от най-добрите antyrootkit програми що се отнася до т.н. "стационарни" rootkit'и. При тестови ситуаций симулиращи действие на "подвижен"rootkit/променя местоположението си при засечено сканиране в опит да се скрие/ не се представя добре. За този случай най-добрите програми са:Rootkit Revealer и Avast Antyrootkit.http://img201.imageshack.us/img201/8035/newproject.jpghttp://img147.imageshack.us/img147/5963/nm1aa.gif Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 GMER е една от най-добрите antyrootkit програми що се отнася до т.н. "стационарни" rootkit'и. При тестови ситуаций симулиращи действие на "подвижен"rootkit/променя местоположението си при засечено сканиране в опит да се скрие/ не се представя добре. За този случай най-добрите програми са:Rootkit Revealer и Avast Antyrootkit. Avast antirootkit пак използва отчасти GMER... Ще ми се да пробвам доста от новите версии на тези инструменти, но трябва да го правя все под VirtualBox-a. Скоро за Windows Vista/7 x64 няма да има работещи версии. Не че им са и нужни де, защото модула (PatchGuard) засега пази kernel-a на Операционната Система от промени, а и политиката на MS за изискване на цифров подпис съвсем усложнява нещата. Повечето руткити, които се инсталират на такава О.С. са "userland" и се почистват сравнително лесно. Доста нашумяха напоследък и инструменти като RootRepeal, Deep System Explorer (на DiamondCS), Packed Driver Detector.Добри освен GMER са - IceSword (главно за изтриване на упорити файлове), DarkSpy (май са закупени от TrendMicro заедно с IceSword), Hypersight Rootkit Detector (за превенция на сложни rootkits използващи метода на виртуализация - Blue Pill, SubVirt - засеха не бачка под х64 и имат доста работа по нея) и имаше още един интересен инструмент (те са много всъщност), но един ми направи по интересно впечатление. За съжаление съм го изтрил и в момента не се сещам за името му. Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Drivers\dump_atapi.sys. ...\SystemRoot\System32\Drivers\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Drivers\dump_atapi.sys. ...\SystemRoot\System32\Drivers\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздрави А защо си сигурен, че са опасни ? Dump_atapi.sys is a part of Microsoft Windows Operation system.Dump_atapi.sys is the IDE port driver. dump_WMILIB.SYS is a part of Microsoft Windows Operation system.dump_WMILIB.SYS is the WMI driver. Намират се от modGreper, Rootkit Hook Analyzer, RootRepeal, защото са скрити.Сочени са като False Positives от форума на Sysinternals.Спи спокойно ! http://pic-bg.net/files/lr23uq19ipf7wyteyg7sovf6dr99dg6cnxzjiehl.jpg Here is the RootRepeal log:ROOTREPEAL © AD, 2007-2008==================================================Scan Time: 2009/02/11 21:04Program Version: Version 1.2.3.0Windows Version: Windows XP SP3================================================== Drivers-------------------Name: dump_atapi.sysImage Path: C:\WINDOWS\System32\Drivers\dump_atapi.sysAddress: 0xB79E4000 Size: 98304 File Visible: NoStatus: - Name: dump_WMILIB.SYSImage Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYSAddress: 0xBADE2000 Size: 8192 File Visible: NoStatus: - Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 Наскоро на един компютър, на който съм инсталирал какво ли не, SysProt AntiRootkit ми откри 7 скрити процеса. Този път реших да ги отстранявам- един по един, по всевъзможни начини намирани чрез търсещите системи. Обаче два от тях се оказаха необичайно упорити. \SystemRoot\System32\Drivers\dump_atapi.sys. ...\SystemRoot\System32\Drivers\dump_WMILIB.SYS. GMER не констатира вредни процеси. SysProt AntiRootkit продължава само да ги констатира - защитени са и не може да ги изключи. Не ми се форматират всички дялове и въпросителните си стоят засега. В мрежата има доста информация - но и доста време трябва да се отдели за четене и пробване. За няколко дни съм пробвал с почти всички програми споменати в тази тема - без очаквания резултат за тези две констатации.Вчера на този компютър инсталирах KIS 8.0.0.506 и сякаш нещата са под контрол - обаче и с Panda в началото привидно изглеждаха така. При сканиранията с ComboFix и The Avenger резултат също няма. На някой не му ли изглеждат познати тези неща? Поздравиhttp://www.pcadvisor.co.uk/forums/index.cf...5&forumid=1 Dump_atapi.sys is a part of Microsoft Windows Operation system.Dump_atapi.sys is the IDE port driver http://www.greatis.com/appdata/n/d/dump_wmilib.sys.htm dump_WMILIB.SYS is a part of Microsoft Windows Operation system.dump_WMILIB.SYS is the WMI driver. При мене е скрит само този http://hosting06.imagecross.com/image-hosting-16/5714Screenshot-20.jpgImage Hosting http://www.softwaretipsandtricks.com/at_yo..._IASTORSYS.html Name: DUMP_IASTOR.SYSDescription: IASTOR.SYS is a Intel SATA drivers for hard drives. Преди месец когато инсталирах Mamutu за тестове имаше негов скрит драйвер,тъкмо бях решил че и аз съм извадил късмет да открия невидими гости. Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 SysProt AntiRootkit би трябвало да не ги прехваща при чиста система. Виж http://www.google.bg/search?hl=bg&q=re...mp;aq=f&oq= Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 SysProt AntiRootkit би трябвало да не ги прехваща при чиста система. Виж http://www.google.bg/search?hl=bg&q=re...mp;aq=f&oq= Още в първия линк не видях да се предлага почистване точно на тези файлове... ROOTREPEAL © AD, 2007-2008==================================================Scan Time: 2009/05/27 21:05Program Version: Version 1.2.3.0Windows Version: Windows XP SP3================================================== Drivers-------------------Name: dump_atapi.sysImage Path: C:\WINDOWS\System32\Drivers\dump_atapi.sysAddress: 0xAA50B000 Size: 98304 File Visible: NoStatus: - Name: dump_WMILIB.SYSImage Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYSAddress: 0xF7B66000 Size: 8192 File Visible: NoStatus: - Name: gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sysImage Path: C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sysAddress: 0xF778C000 Size: 62208 File Visible: -Status: Hidden from Windows API! Name: rootrepeal.sysImage Path: C:\WINDOWS\system32\drivers\rootrepeal.sysAddress: 0xAA0B3000 Size: 45056 File Visible: NoStatus: - Hidden Services-------------------Service Name: gxvxcserv.sysImage Path: C:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sys Drivers to disable:UACd.sysgxvxcserv.sysgaopdxserv.sys Drivers to delete:UACd.sysgxvxcserv.sysgaopdxserv.sys Files to delete:C:\WINDOWS\system32\wJQs.exeC:\WINDOWS\system32\uacinit.dllC:\WINDOWS\system32\uacvymnbtboeayohhs.dllC:\WINDOWS\system32\uacqciqunodfnlghrv.dllC:\WINDOWS\system32\drivers\gxvxcserv.sysC:\WINDOWS\system32\gxvxccounterC:\WINDOWS\system32\drivers\gxvxcaithwuhtprrwopxgilalbaobwucrdslx.sysC:\WINDOWS\system32\gxvxcxkfpxfxurntewmrfttjyqtsmsenqwgiw.dll Registry keys to delete:HKEY_LOCAL_MACHINE\SOFTWARE\UAC Осмисли нещата. Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 B-boy, това индийско чудо SysProt AntiRootkit накрая може и непрепоръчително да се окаже. Поздрави Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 Да, непрепоръчително за хора, които не са наясно с материята. Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Юни 2, 2009 Report Share Публикувано Юни 2, 2009 Да, непрепоръчително за хора, които не са наясно с материята.Едва ли има човек, на който всичко да му е ясно и известно - няма как да съм с подобни претенции. Просто веднъж реших да пробвам по по-бавните начини и не съм очарован. Как би коментирал констатациите ни със SysProt AntiRootkit? Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.