AV_80 — 20.10.2015 15:22:28

Всем привет! Подскадите умную мысль как это убить :)
Ведать когда то это был руткит :oops: ну и я его того(чем то завалил, уже не помню чем) или же мне показалось что я его завалил и это что то новое и оно дальше сидит в системе, то что это безобразие имет отношение к руткитам я сделал вывод после просмотра вот этой ссылки где продемонстрированы подобные симптомы http://www2.gmer.net/rootkits.php
Программа GMER после запуска сразу выдаёт вот эти строки
=======================================
---- Threads - GMER 2.1 ----

Thread  System [4:3216]  8478CC30

---- EOF - GMER 2.1 ----
========================================
Потом полазил и нашёл это дело в GMER вот скриншот каконо выглядит
http://s016.radikal.ru/i335/1510/6a/d8477e3ccfe6.png
Чем убить эту дрянь?!
Больше ничего странного GMER не показывает ни каких красныз строк и тому подобного нет ...
Что подскажите знатоки?!

simplix — 20.10.2015 16:45:48

AV_80
Выложите логи AntiSMS для начала.

AV_80 — 20.10.2015 17:12:21

Без проблем только скажите где скачать самый последний AntiSMS и можно ли его запустить с безопасного режима(ну в смысле подойдут ли Вам эти логи) потому что сейчас флешки под рукой нет и загрузиться не с чего :(

PS кстати та ссылка что я Вам дал о подобных симптомах, короче первое упоминание о "Thread  System..." там идёт у заразы под названием [email protected]/x64 а вот моя Виндовса то 32 битная, неужели в памяти какая то дрянь 64 разрядная сидит?!

simplix — 20.10.2015 17:51:05

AV_80
В этом же форуме закреплена тема: Обязательно к прочтению перед созданием новой темы.
Достаточно скачать AntiSMS.exe и интегрировать его, можно с безопасного режима. Затем выполнить Пуск -> AntiSMS -> Устранение неполадок, согласиться на перезагрузку и дождаться результата.

AV_80 — 20.10.2015 19:02:51

Ничего не нашёл Ваш AntiSMS кидать вам этот архив?! Непонравился ему мой DNS на сетевой карте(я его сам вручную вводил) потом написало такое "Убран статический маршрут 0.0.0.0,0.0.0.0,192.168.1.1,-1, создана резервная копия" не знаю что это такое...
А вот эти строки: Резервные копии файлов находятся в папке X:\windows\TEMP\AntiSMS\20.10.2015-1\Backup извините простите какой нафиг диск Х:\?! Где оно такое добро у меня нашло?! :shock: Или то Ваш AntiSMS конструирует такое для своей работы?!

В принципе он и до этого ничего не находил, странно бы было если бы сейчас нашол :oops:
Меня эта дрянь которую GMER находит беспокоит, я об этом Thread  System [4:3216]  8478CC30
Может подскажите какой то дедовский метод как затереть эту дрянь в памяти, адресок то его в памяти как я понимаю GMER показывает, вот как то бы его того :oops:

simplix — 20.10.2015 20:01:30

AV_80
Давайте для начала выполним инструкцию, ссылку на которую я дал выше.

2. Загрузите на файлообменник rghost.ru архив с логами из папки %WinDir%\AntiSMS. Если там несколько архивов, выберите самый новый по дате. После анализа этого архива администратор подскажет, нужно ли выполнять дополнительные действия для лечения компьютера.

%WinDir% означает имя системной папки, чаще всего это C:\Windows.

AV_80 — 20.10.2015 20:11:06

simplix не поверите я уже нашёл папку AntiSMS методом поиска по диску С: :crazy: и даже лазил по ней и смотрел чего оно там нашло, потому и говорю что ничего не нашло...
Проверьте личную переписку там к Вам ссылочка в гости пришла :)

simplix — 20.10.2015 20:26:46

Лог чистый, руткита и его следов в системе нет. Вполне возможно, что указанный на скриншоте поток создаёт антивирус или один из безвредных драйверов. Такая запись совсем не означает, что в системе есть руткит, и сейчас мы выяснили, что его действительно нет. Для своего спокойствия можете дополнительно проверить систему антивирусом CureIt, однако AntiSMS сам по себе даёт вполне надёжный результат.

AV_80 — 20.10.2015 20:38:10

simplix То что на скриншотре, так оно вылазит сразу после переустановки ОС, так что антивирус тут ни при чём, он ещё на этом этапе не был установлен(значит этот вариант отпадает), а вот драйвера как Вы знаете Windows 8 устанавливает самостоятельно так что вполне может быть то что Вы говорите, но всё равно вопрос остаёться, хочу узнать какой драйвер или какая там зараза это создаёт?!
Скажите чем именно можно посмотреть откуда ноги растут у этого потока, думаю там нас ждут новые открытия :)

PS и этим CureIt или касперскими, впрочем как и другими продуктами Вы меня не удивите, я уже много перепробовал, просто хочу знать что на хозяйстве завелось такого...

simplix — 20.10.2015 21:06:59

Так что ж вы сразу не сказали, что оно вылазит на чистой, только установленной системе? Значит это и не проблема вовсе. Как вы понимаете, только автор утилиты GMER сможет вам ответить, почему его программа определяет один из потоков именно так, следовательно теперь этот вопрос нужно задать ему.

AV_80 — 20.10.2015 21:35:49

simplix я хочу выяснить что это, и что то мне подсказывает что это новый метод сокрытия заразы, сидит себе в системе и антивирусы её не трогают....
А куда ему писать я не знаю, смотрю Вы толковый знаток в железе, потому и прошу подскажите какой то метод/софт как посмотреть что или кто создаёт этот поток, адресок то мы его знаем ну в смысле этого потока, чем посмотреть неужели софтины нет какой то, не  стесняйтесь говорите :)
Да и что то мне подсказывает что всё оно показывает так, как и есть на самом деле...
Эта дрянь наверное завязана на вот этих модулях ядра под именами
dump_diskdump.sys, dump_nvstor.sys , м вот этот красавец dump_dumpfve.sys вирус тотал в его дампе видит какую то заразу https://www.virustotal.com/en/file/c92e … 445365629/
А Вы говорите всё хорошоу...
PS Просто хочу раскопать эту дрянь, свои праскопки дам Вам, научите свой AntiSMS  с этим бороться цены ему не будет, я думаю такая дрянь не только у меня одного сидит...

simplix — 20.10.2015 21:46:36

Вы сами подумайте, что говорите, какой ещё метод сокрытия заразы на чистой, свежеустановленной системе? Если ни AntiSMS, ни CureIt, ни другие антивирусы не находят проблему, значит этой проблемы нет, и смысла высасывать её из воздуха я не вижу. Вы считаете, что GMER не ошибается - пишите его автору, уж точно не мне искать его контакты. По приведённой ссылке на вирустотале банальное ложное срабатывание. Больше ничем помочь не могу, комментировать работу утилиты GMER должен её автор и точка.

happywanderer — 20.10.2015 21:54:23

AV_80
"Не красное, значит не болит.....", также и автор GMER Вам это скажет, а пытливый ум хорош до времени, потом начинается паранойя....

AV_80 — 20.10.2015 22:07:00

happywanderer сообщает:

AV_80
"Не красное, значит не болит.....", также и автор GMER Вам это скажет, а пытливый ум хорош до времени, потом начинается паранойя....

Скажите а это мудрость у вас такая из личного опыта?! Я вообще то и хочу чтобы у автора этих странных потоков началась паранойя, если Вы с ним знакомы передайте ему что к нему уже идут :lol:

simplix вспомнил вот когда то утилита RogueKiller(в своих первых версиях) так же находила какие то странные знаки вопроса и удаляла, а теперь ведать она их пропускает... Тоже надо было писать к автору по Вашему?!
СКАЖИТЕ ЛУЧШЕ КАК И ЧЕМ ПОСМОТРЕТЬ ЧТО ЛЕЖИТ ПО ЭТОМУ АДРЕСУ В ПАМЯТИ, а я Вам находки покажу... Всё и базируеться на таких вот мелочах, из таких мелочей потом новые подделки вирусописателей в базах антивирей появляються, так не должно быть, и надо копать в этом направлении, а не прикрывать какие то странности, или мне показалось что Вы это делаете....

happywanderer — 20.10.2015 22:17:46

Да, из личного, у меня голова не помойное ведро, что бы я забивал её всяким не нужным хламом. Есть специально обученные люди, которые выпускают программное обеспечение безопасности, и если это ПО не находит подозрительных объектов, то их там нет. А если комплекс проведённой проверки не выявил зловреда, зачем же создавать проблему искуственно? Ради повышения самооценки или от переизбытка свободного времени?
P.S. Переходите на Линукс, там безопастней, и как в том анекдоте: "... и на трахаешься и на танцуешься..."

AV_80 — 20.10.2015 22:34:49

happywanderer сообщает:

Да, из личного, у меня голова не помойное ведро, что бы я забивал её всяким не нужным хламом. Есть специально обученные люди, которые выпускают программное обеспечение безопасности, и если это ПО не находит подозрительных объектов, то их там нет. А если комплекс проведённой проверки не выявил зловреда, зачем же создавать проблему искуственно? Ради повышения самооценки или от переизбытка свободного времени?

И как вы со своей параноей живёте теперь?! Если вы знания и любопытство сравниваете с помойным ведром то всё с вами понятно, тут у вас уникальный клиничный случай, надо к вам санитаров направить :D
Эти специально обученные люди зачем то же от таких как вы логи собирают, не?! Зачем же им это надо?! Да чтобы что то новое находить, а вы наивный верите что эти специально обученные люди самые умные и всё знают?! А откуда тогда новые вирусы беруться?! Некотрых зловредов сначала никто не может вычислить и вы наивно будите верить что у вас всё чисто, да вы наивный как ребёнок... Например жители Даунбасса тоже верили что януковощ им пакращення сделает и сами знаете чем это закончилось...
Я честно говоря понятия не имею какого чёрта вы встрягли тут в разговор и чего вы там хотите себе повысить, вам в вайф сидеть и ждать когда  специально обученные  люди начнут что то искать, так сидите и ждите, а я им лучше помогу это сделать и вирусописатели быстрее начнут локти кусать ;)

happywanderer — 20.10.2015 22:51:50

Знание и любопытство я не сравнивал с мусорным ведром, а голову(внимательней читайте текст). Я не претендую на спасителя мира, открывателя Америки и изобретателя велосипеда, т.ч. паранойи у меня нет, живу ровно и спокойно. Да и вам бы посоветовал относится к знакам вопроса по проще, и не ищите чёрную кошку в тёмной комнате, даже если она там есть, кроме шишек Вы ничего там не заработаете, погуляйте лучше с девушкой.... Удачи!!! Оффтоп окончен. ;):drinks:

g0dl1ke — 20.10.2015 23:14:53

simplix сообщает:

только автор утилиты GMER сможет вам ответить, почему его программа определяет один из потоков именно так, следовательно теперь этот вопрос нужно задать ему.

Писал ему как-то, предлагал помощь в переводе на великий и могучий - тишина

Сайт давно не обновлен, новости и подавно

Я бы посмотрел в сторону буткита, если реально не ложняк гмера - нужен лог (образ) uvs

И тс слишком грубоват по отношению к simplix и остальным форумчанам, так себя не ведут, когда помощи просят

AV_80 — 21.10.2015 18:09:39

happywanderer сообщает:

Знание и любопытство я не сравнивал с мусорным ведром, а голову(внимательней читайте текст).

Да вы что, а знания и любопытство у вас значит в анусе храняться?! :shock: Странно, у нормальных людей такие вещи в голове сидят откуда же мне было знать чт оу вас всё по другому :D

happywanderer сообщает:

Я не претендую на спасителя мира, открывателя Америки и изобретателя велосипеда, т.ч. паранойи у меня нет, живу ровно и спокойно.

а вас кто разве на эту должность спасителя номиновал здесь, сами лезите в разговор и свои пять копеек везде суните, не?! :D Вы же говорили что это мудрость из вашего личного опыта, так что паранойя у вас уже давно есть, просто вы её не замечаете такое бывает :) Опять же например жители Даунбасса живут со своим собственным дебелизмом и даже не догадываються что он у них есть(он им мешает это осознать) точно так же вы живёте со своей параноей коль вы сами говорили что это мудрость из вашего опыта была, видите как всё просто?!:oops:

happywanderer сообщает:

Да и вам бы посоветовал относится к знакам вопроса по проще, и не ищите чёрную кошку в тёмной комнате, даже если она там есть, кроме шишек Вы ничего там не заработаете

как бы ваша кошка драная с комнаты убегать не начала :lol:  Умные люди свет включают и тогда что то ищут, а такие как вы шишки набивают :lol: Берите с собой экстракт валерьянки и она сама к вам придёт и будет вам как вы там говорили "... и на трахаешься и на танцуешься..." так вроде, не?! 

happywanderer сообщает:

погуляйте лучше с девушкой.... Удачи!!! Оффтоп окончен. ;):drinks:

да я бы рад, но жена не пускает с девками гулять, разве что в тихаря к соседке за солью пойти :lol:
PS Я вообще не понимаю какого чёрта вы тут свои пять копеек всунули, по теме вопроса ни чего не сказали, нагородили какого бреда молодого не опытного юноши, лучше бы своему совету последовали и сами на девки сходили а то смотрю вам моча в голову уже бьёт...
Как говориться какой привет такой ответ, извольте откланяться, досвидос, или как там у вас говорят давай досвидания :)

======================================================

g0dl1ke сообщает:

Писал ему как-то, предлагал помощь в переводе на великий и могучий - тишина Сайт давно не обновлен, новости и подавно

о добрый человек а имейл вы к нему подкинуть не могли бы?! Или мыло у него поменялось, может занят если молчит, я тут нагуглил что теперь автор Gmerа в лабораторию Аваста работает, а на счёт обновления сайта последняя версия программы  2.1.19357 была обновлена: 2014-01-28 так что мой Windows 8 по древнее по дате будет чем последняя версия GMER, мыслю ловите?!:)

g0dl1ke сообщает:

Я бы посмотрел в сторону буткита, если реально не ложняк гмера - нужен лог (образ) uvs

возможно это оно и есть, я даже не исключаю что эта дрянь сидит где то в системных областях жесткого диска, потому и убить форматированием не удалось...

g0dl1ke сообщает:

И тс слишком грубоват по отношению к simplix и остальным форумчанам, так себя не ведут, когда помощи просят

вы чего такое говорите я simplix считаю реальным специалистом потому и пишу тут,  если бы я не считал simplix спецом поверьте меня бы тут тупо не было, меня наоборот городость распирает что в моей Украине есть такие люди как simplix
Ну не с кацапскими же окупантами мне своими находками делиться, не?! Вот и хочу раскопать где собака зарыта и подкинуть эту тему simplix пусть научит свою софтину бороться с заразой этой ;)
А то что этот пасажир малолетний happy... сюда влез и свои сообщения не по теме катать начал это не ко мне, я тут ни при чём, как мне писали так я и отвечал, как говориться какой привет такой ответ, хотя честно говоря так и не понял чего он мне тут пытался доказать, зато посмеялся  :lol:

hal — 27.10.2015 00:38:33

AV_80 сообщает:

Ну не с кацапскими же окупантами мне своими находками делиться, не?!

За это надо банить.

simplix — 27.10.2015 01:04:41

Тему закрываю за отсутствием реальной проблемы, да и переходы на личности начались.