Нечто аномальное от Cureit.

Пятница, 18 Марта 2011 г. 15:53 + в цитатник

Все бы хорошо, если бы не НО.
Утилита, формируется каждый день. И в один прекрасный день, случился ГЛЮК.

После выполнения всех действий утилита себя не удаляла из временных файлов.

Тот файл, который мы получаем, это самораспаковывающийся архив. И распаковывается он во временю папку Temp, по адресу

C:\Documents and Settings\-- ваше имя --\Local Settings\Temp

-- ваше имя – отображается при входе в систему. Имя пользователя.

Запускал несколько раз, и получилось несколько папок.

Совершенного антивируса не бывает, поскольку
сначала пишут вирус,
потом его надо обнаружить
и лишь потом, придумать антивирус.

Поэтому время от времени пользуясь разнообразными программами, и вручную
проверяя папку C:\windows\system32,
очищая папку C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
проверяя реєстр windows

Обнаруживая посторонние объекты, смело их удаляю. Удалить их не просто, они либо скрыты в системе и их не видно, как обыкновенные файлы, а так же запрещено удаление.

Еще можно делать такую профилактику

sfc /scannow – запускается с командной строки

что она умеет

Но это так на вскидку, отвлекся от темы
Возвращаемся к утилите Cureit
Захожу папку C:\Documents and Settings\-- ваше имя --\Local Settings\Temp

Внутри папок

При «попытке» удаления файлов

Письмо в службу поддержки успехом не увенчалось. Забил гвоздями на эту идею. Ребята либо ленивые, либо не компетентные, либо безопасность. Что с них взять, утилита, то безОплатная.

1. Попытка
а) Запускаю систему через F8 (Защищенный режим). Сразу при включении ПК удерживаем F8.

б) открываю

C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
Пытаюсь переопределить права
Неуспешно
Поскольку это не привело к успеху, не описываю

2 Вторая попытка
а) открываю Реестр – из командной строки regedit.

Ишю - F282BBC8-53EAAA18-1BA0D6DE-8F7658EC
Это название папки, которая не удаляется, в папке Temp

Одессит сказал бы, - И шо вы думали…

Находим все наши четыре папки

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\0]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\ AF624C78-9A5FC7A8-1BB5F380-FC240888""
Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\1]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\F282BBC8-53EAAA18-1BA0D6DE-8F7658EC""
Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\2]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\B2BF0D90-5A15F356-94FDCF61-59D15A23""
Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\3]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\15EAB006-22675FB2-A2726C62-4A8E6744""
Type"=dword:00000001

И собственно даже путь к ним указан
Мы счастливы

б) пробую удалить
Неуспешно, запрещено удаление

Теперь понятно, мы уже близко
Кто-то блокирует наши действия.
И кто это может быть если не резитент.

3 Третья попытка

Сначала просмотрел всех резидентов, кто работает
Пуск \ правая м. «Мой компьютер» \Управление – Службы и приложения \ службы

Ничего не обнаружил

а) Зову на помощь u02Rk.exe RootKit Unhooker

Code Hooks / Scan
Получаем

Ищю поиском DwProt.sys
Нахожу C:/Windows/System32/DwProt.sys
Смотрю сводку

Ну да, ну да. Стукнутаяяяяяяя.

и еще раз выполним - u02Rk.exe Code Hooks / Scan / UnHook All

б) Перезагружаюсь

Удаляю C:/Windows/System32/DwProt.sys
Все отлично.

в) Захожу в реестр, чищу

Все отлично

г) Захожу (открываю)

C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
Все красиво удаляется

Я не анализировал работу DwProt.sys, но если кому будет интересно, обратите внимание.
Пока лишь только Богу известно какая информация может собираться и отсылаться в студию Doctor Web, и кому она предоставлена.

Это только начало, если порытся в файле DwProt.sys и в реестре DwProt, можно узнать много интересного.

На случай всякий поменял везде пароли. :)

Vladimir Voldar

Метки: антивирус

<a href="https://www.liveinternet.ru/users/voldar/post156879564/">РќРµС‡С‚Рѕ Р°РЅРѕРјР°Р»СЊРЅРѕРµ РѕС‚ Cureit.</a><br/>
	Р’СЃРµ Р±С‹ С…РѕСЂРѕС€Рѕ, РµСЃР»Рё Р±С‹ РЅРµ РќРћ.
	РЈС‚РёР»РёС‚Р°, С„РѕСЂРјРёСЂСѓРµС‚СЃСЏ РєР°Р¶РґС‹Р№ РґРµРЅСЊ. Р РІ РѕРґРёРЅ РїСЂРµРєСЂР°СЃРЅС‹Р№ РґРµРЅСЊ, СЃР»СѓС‡РёР»СЃСЏ Р“Р›Р®Рљ.

РџРѕСЃР»Рµ РІС‹РїРѕР»РЅРµРЅРёСЏ РІСЃРµС… РґРµР№СЃС‚РІРёР№ СѓС‚РёР»РёС‚Р° СЃРµР±СЏ РЅРµ СѓРґР°Р»СЏР»Р° РёР· РІСЂРµРјРµРЅРЅС‹С… С„Р°Р№Р»РѕРІ.

РўРѕС‚ С„Р°Р№Р», РєРѕС‚РѕСЂС‹Р№ РјС‹ РїРѕР»СѓС‡Р°РµРј, СЌС‚Рѕ СЃР°РјРѕСЂР°СЃРїР°РєРѕРІС‹РІР°СЋС‰РёР№СЃСЏ Р°СЂС…РёРІ. Р СЂР°СЃРїР°РєРѕРІС‹РІР°РµС‚СЃСЏ РѕРЅ РІРѕ РІСЂРµРјРµРЅСЋ РїР°РїРєСѓ Temp, РїРѕ Р°РґСЂРµСЃСѓ

C:\Documents and Settings\-- РІР°С€Рµ РёРјСЏ --\Local Settings\Temp

-- РІР°С€Рµ РёРјСЏ &ndash; РѕС‚РѕР±СЂР°Р¶Р°РµС‚СЃСЏ РїСЂРё РІС…РѕРґРµ РІ СЃРёСЃС‚РµРјСѓ. РРјСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»СЏ.

Р—Р°РїСѓСЃРєР°Р» РЅРµСЃРєРѕР»СЊРєРѕ СЂР°Р·, Рё РїРѕР»СѓС‡РёР»РѕСЃСЊ РЅРµСЃРєРѕР»СЊРєРѕ РїР°РїРѕРє.

РЎРѕРІРµСЂС€РµРЅРЅРѕРіРѕ Р°РЅС‚РёРІРёСЂСѓСЃР° РЅРµ Р±С‹РІР°РµС‚, РїРѕСЃРєРѕР»СЊРєСѓ
	СЃРЅР°С‡Р°Р»Р° РїРёС€СѓС‚ РІРёСЂСѓСЃ,
	РїРѕС‚РѕРј РµРіРѕ РЅР°РґРѕ ... <a href="https://www.liveinternet.ru/users/voldar/post156879564/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Ссылки

-Музыка

-Поиск по дневнику

-Подписка по e-mail

-Сообщества

Нечто аномальное от Cureit.