Author Topic: Аваст пропускает руткиты!  (Read 41038 times)

0 Members and 1 Guest are viewing this topic.

AztecDV

  • Guest
Аваст пропускает руткиты!
« on: July 14, 2010, 12:56:18 AM »
У нас в городе сделана домовая сетка (по всему городу).
Клиентом обмена файлами устанавливаются либо StrongDC, либо PeLink.
Дак вот при обмене файлами наблюдается систематическое заражение временных папок для скачивания на диске С руткитами, которые сетевым экраном не обнаруживаются, а обнаруживается только после заражения, и причём следом он (руткит) заражает систему. Сетевой экран ничего не может с этим сделать. Приходится включать антивирус на проверку диска С, и только тогда руткиты удаляются!
 Почему Avast пропускает руткиты, которые потом спустя мнгновение обнаруживает?????
У кого бывали аналогичные случаи??? Как с этим бороться??

axfrost

  • Guest
Re: Аваст пропускает руткиты!
« Reply #1 on: July 30, 2010, 11:52:48 PM »
Видел аналогичную проблему на Windows XP SP3, антивирусы (не только avast) пропускали руткиты,, в некоторых случаях даже полное сканирование не решало проблему. К сожалению, антивирусы не всесильны, единственное решение этой проблемы - пользоваться системой автоматического обновления Windows, т.к. новые критические дыры в Windows обнаруживаются если не еженедельно, то ежемесячно.

superlamer

  • Guest
Re: Аваст пропускает руткиты!
« Reply #2 on: August 29, 2010, 08:48:25 AM »
фух наконец то нанел форум на русском языке :P
а теперь к делу:какой бы антивирус не был хорошим он не обеспечивает 100%защиты что нибудь да пропустит надо пользоаваться дополнительными пргами у меня напримеру меня avast free antivirus и spyware terminator установлены.ни один руткит пока те проникнул
так же есть "антивирусы временного испльзоавания"такие как dr web cureit и kaspersky removal toll засомневался в ненадежности своего антивируса-установил такую штуку себе га комп,просканироавл файлы,закрыл и прога сама удаляется унося с собой вирусы  cureit даже устанавливить не надо...правда нужно качать новые версии этой проги  с сайта так что в роли дополнительной утилитки рекшлмендую kaspersky removal tool
« Last Edit: August 29, 2010, 08:50:09 AM by superlamer »

MaluiPluss

  • Guest
Re: Аваст пропускает руткиты!
« Reply #3 on: December 08, 2012, 12:08:54 AM »
Доброго времени суток,хочу поделится своим опытом по боротьбе с вирусом рудкит как у меня аваст нашел,прошу прощения если офтопик,просьба администрации перенести в нужную ветку,дело в том что я недавно столкнулся с проблемой,не работал интернет,и аваст остановил свои службы,которые нельзя запустить вручную,решение здесь

1. Удаляем Avast на всякий случай, либо отключаем его навсегда. Потом когда все кончится можно будет установить заново, что поделать у всех бывают ошибки.

 

2. Заходим Пуск-Выполнить вводим команду regedit

Открывается редактор реестра, находим следующие ветки

    HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock
    HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WinSock2

и удаляем их и перезагружаемся.

 

3. Находим файл C:\windows\inf\nettcpip.inf

(либо ваш путь до папки Windows, далее будет описание для стандартных путей, если надо подставляйте свои)

примечание: папка inf скорей всего скрытая, поэтому либо через поиск находим файл, либо выставляем настойки чтобы видеть скрытые файлы и папки, либо любым другим удобным способом

Находим в nettcpip.inf  следующий кусок

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0xA0 ; NCF_HAS_UI | NCF_NOT_USER_REMOVABLE

И меняем его на этот

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0x80 ; NCF_HAS_UI

Сохраняем файл, и перезагружаемся.

4. Далее заходим в свойства сетевого адаптера (Панель управления-Сетевые подключения, правой кнопкой мыши на адаптере – и выбираем свойства) нажимаем кнопочку Установить – Протокол – Добавить – Установить с диска и вписываем путь c:\windows\inf, нажимаем Ок и в открывшемся окне выбираем “Протокол интернета TCP/IP” нажимаем ok. И перезагружаемся
5.  Заходим в свойства сетевого адаптера и видим что если мы выберем “Протокол интернета TCP/IP” то там стала активна кнопочка “Удалить”. Нажимаем ее и перезагружаемся.
6. После перезагрузки копируем  файл tcpip.sys в папку c:\windows\system32\drivers

(берем его с другого компьютера который нормально работает,или предварительно качаем на флэшку.
7.  Далее заходим в свойства сетевого адаптера и проделываем операцию из пункта 4. То есть  нажимаем кнопочку Установить – Протокол – Добавить – Установить с диска и вписываем путь c:\windows\inf, нажимаем Ок и в открывшемся окне выбираем “Протокол интернета TCP/IP”.

У меня сеть появилась сразу без перезагрузки.
Всем спасибо за внимание,огромная просьба администрации не пинать если не по теме материал,с уважением к администрации,желаю успехов,в вашей нелегкой работе.Материал взято здесь.
http://itfound.ru/85-net-seti-avast-tcpip.html#comment-6819

MaluiPluss

  • Guest
Re: Аваст пропускает руткиты!
« Reply #4 on: December 08, 2012, 12:15:22 AM »
хочу добавить если не запускаются службы аваст не беда,переходим в пункт деинсталяции аваста,патом выбираем ввостановление стандартных настроек,патом жмем исправить и всё работает,всем еще раз спасибо,прошу прощения за мой русский.

WandererX

  • Guest
Re: Аваст пропускает руткиты!
« Reply #5 on: December 08, 2012, 05:17:38 AM »
Доброго времени суток,хочу поделится своим опытом по боротьбе с вирусом рудкит как у меня аваст нашел,прошу прощения если офтопик,просьба администрации перенести в нужную ветку,дело в том что я недавно столкнулся с проблемой,не работал интернет,и аваст остановил свои службы,которые нельзя запустить вручную,решение здесь

1. Удаляем Avast на всякий случай, либо отключаем его навсегда. Потом когда все кончится можно будет установить заново, что поделать у всех бывают ошибки.

 

2. Заходим Пуск-Выполнить вводим команду regedit

Открывается редактор реестра, находим следующие ветки

    HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock
    HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WinSock2

и удаляем их и перезагружаемся.

 

3. Находим файл C:\windows\inf\nettcpip.inf

(либо ваш путь до папки Windows, далее будет описание для стандартных путей, если надо подставляйте свои)

примечание: папка inf скорей всего скрытая, поэтому либо через поиск находим файл, либо выставляем настойки чтобы видеть скрытые файлы и папки, либо любым другим удобным способом

Находим в nettcpip.inf  следующий кусок

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0xA0 ; NCF_HAS_UI | NCF_NOT_USER_REMOVABLE

И меняем его на этот

[MS_TCPIP.PrimaryInstall]
; TCPIP has properties to display
Characteristics = 0x80 ; NCF_HAS_UI

Сохраняем файл, и перезагружаемся.

4. Далее заходим в свойства сетевого адаптера (Панель управления-Сетевые подключения, правой кнопкой мыши на адаптере – и выбираем свойства) нажимаем кнопочку Установить – Протокол – Добавить – Установить с диска и вписываем путь c:\windows\inf, нажимаем Ок и в открывшемся окне выбираем “Протокол интернета TCP/IP” нажимаем ok. И перезагружаемся
5.  Заходим в свойства сетевого адаптера и видим что если мы выберем “Протокол интернета TCP/IP” то там стала активна кнопочка “Удалить”. Нажимаем ее и перезагружаемся.
6. После перезагрузки копируем  файл tcpip.sys в папку c:\windows\system32\drivers

(берем его с другого компьютера который нормально работает,или предварительно качаем на флэшку.
7.  Далее заходим в свойства сетевого адаптера и проделываем операцию из пункта 4. То есть  нажимаем кнопочку Установить – Протокол – Добавить – Установить с диска и вписываем путь c:\windows\inf, нажимаем Ок и в открывшемся окне выбираем “Протокол интернета TCP/IP”.

У меня сеть появилась сразу без перезагрузки.
Всем спасибо за внимание,огромная просьба администрации не пинать если не по теме материал,с уважением к администрации,желаю успехов,в вашей нелегкой работе.Материал взято здесь.
http://itfound.ru/85-net-seti-avast-tcpip.html#comment-6819
Вы немного не то нашли и немного не то сделали.
Проблема была в ложном срабатывании аваста.
Решение выложено позавчера.
Вашим решением можно убить сеть. Потом только переустановка винды.

MaluiPluss

  • Guest
Re: Аваст пропускает руткиты!
« Reply #6 on: December 08, 2012, 08:51:48 AM »
можно еще воспользоватся утилитой,которая возвращает стандартные параметры виновс папок и т.п,ну а настройки сети вручную ввести(ну лично в моем случаи дело било так) название утилиты SpywareTerminator,мне помогло,если можно дайте ссылочку на топик решение проблемки,спасибо

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3517
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: Аваст пропускает руткиты!
« Reply #7 on: December 08, 2012, 11:23:04 AM »
Сегодня ночью зашёл в Раздел счётчики и производительность,затем слева в Дополнительные инструменты.Там в самом верху в начале 3-х строчек стоят жёлтые треугольники с восклицательными знаками.А почти в самом низу окна надпись-Настроить внешний вид и производительность системы.Я зашёл туда.И в открывшемся маленьком окне зашёл в Предотвращение выполнения данных.Точка стояла в верхнем кружке-Включить DEP только для основных программ и служб Windows.Я прочёл про всё это в справке и поставил точку ниже на-Включить DEP для всех программ и служб,кроме выбранных ниже.Список ниже я не составлял.Потом система предложила перезапустить ноутбук.Я сделал это.И не трогал его в течении 10 минут.Потом вышло окно Аваста о том,что найден:
============
Руткит SVC:cpuz135>C:\..Руткит:скрытая служба.
================================
И спросил меня-Удалить?Я ответил-Да.Потом появилось окно,где было написано-Что для полного удаления его надо перезагрузить систему и во время сканирования системы Авастом до запуска всей системы он будет удалён.Я всё это сделал.Проверка прошла,ничего не было найдено.В карантине тоже ничего не осталось.Система загрузилась и работает нормально.
Вопрос-Откуда этот руткит появился и что он из себя представляет ???
До этого Аваст сканировал и ничего не находил.
Всего всем хорошего!Жду консультации.
Я частичку своей жизни оставил в Ютербоге Германии !

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: Аваст пропускает руткиты!
« Reply #8 on: December 08, 2012, 11:58:07 AM »
============
Руткит SVC:cpuz135>C:\..Руткит:скрытая служба.
================================
http://forum.avast.com/index.php?topic=100878.0

MaluiPluss

  • Guest
Re: Аваст пропускает руткиты!
« Reply #9 on: December 08, 2012, 05:02:30 PM »
там надо нажать ввостановить всё,если система будет виснуть тогда в безопасном режиме удалить програмку и попробовать снова всё сделать как описано без помощи утилитки,на самом деле там не рудкит,дело в том что файлик может біть инфицирован и антивирусом помещается в карантин,надо сам файлик взять с здоровой машины,заменить сделать как описано,мне помогало и юзерам сегодня тоже самое делал,получалось,дело в том что файлики отвечающие за интернет в карантине и нету сетевой карты,если их подменить а патом в самой карте установить протокол вписать путь в виндовс инф,выбрать протокол тисипи айпи перегрузится ну вроде всё).

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4095
  • Help you I can
Re: Аваст пропускает руткиты!
« Reply #10 on: December 09, 2012, 01:34:05 PM »
MaluiPluss
Пожалуйста, попробуйте писать сообщения без такого большого количества пунктуационных и грамматических ошибок (ввосстановить; рудткит; біыть; со здоровой машины; паотом; перезагрузиться). И не забывайте о пробелах после знаков препинания, а также о прописных буквах в начале предложения. Помните: Ваши сообщения читают и иностранцы, а даже Google Translate беспомощен в безграмотных текстах.
« Last Edit: December 09, 2012, 01:37:13 PM by George Yves »
May the FOSS be with you!

qoosimov

  • Guest
Re: Аваст пропускает руткиты!
« Reply #11 on: December 14, 2012, 10:41:52 AM »
АВАСТ ФРИИ это минимальная зашита для ПК
совет: Установите дополнительный программы 
1. SPYWARE TERMINATOR
2. Comodo Faеrwell :)
« Last Edit: December 14, 2012, 10:44:52 AM by qoosimov »

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3517
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: Аваст пропускает руткиты!
« Reply #12 on: December 14, 2012, 09:51:48 PM »
АВАСТ ФРИИ это минимальная зашита для ПК
совет: Установите дополнительный программы  1. SPYWARE TERMINATOR 2. Comodo Faеrwell :)
Извините меня!
Вот что я прочёл в блоге Вадима Стеркина.Ссылка-http://www.outsidethebox.ms/9995/
Защитник Windows рассчитан только на противодействие шпионам.
И вот, когда уже сильно припекло, появился антивирус Microsoft Security Essentials, доступный пользователям лицензионных операционных систем. Такой способ распространения Microsoft выбрала, чтобы «и овцы были целы, и волки сыты».Microsoft Security Essentials рассчитан на борьбу с вирусами и шпионскими программами, поэтому заменяет собой защитник Windows, отключая его при установке.Microsoft Security Essentials очень прост. В нем нет модулей защиты от спама или блокирования ссылок на фишинговые сайты, поэтому и отключать или настраивать особо нечего. Но нужно учесть, что антивирус рассчитан на работу в среде программного обеспечения Microsoft — фильтр спама есть в Outlook, а фишинг контролирует фильтр SmartScreen в Internet Explorer 8,9,10.Стремясь обеспечить максимальную защиту от вредоносных программ, некоторые пользователи устанавливают несколько антивирусов. Вообще, такое удается далеко не всегда, поскольку многие антивирусные программы отказываются устанавливаться, обнаружив в системе «конкурента». Однако установке Microsoft Security Essentials другие антивирусы не препятствуют, а опрос на форуме Windows 7 конференции OSZone удивил меня как раз тем, что каждый шестой владелец антивируса Microsoft использует его совместно с другой программой этого класса.Я затрудняюсь сказать, насколько улучшается защита системы при использовании двух антивирусов, но уж никак не в два раза, потому что подавляющее большинство угроз они и по отдельности предотвратят. А вот что точно ухудшается, так это производительность системы и продуктивность вашей работы, поскольку каждая запущенная программа или открытый файл подвергается двойной проверке.Собственный опыт и анализ тестов подсказывают мне, что Microsoft Security Essentials вполне может обеспечить адекватную защиту системы. И эта способность значительно повышается, если он используется в комплексе с другими мерами обеспечения безопасности Windows – брандмауэром и фильтром SmartScreen браузера Internet Explorer 8,9 и 10,либо эквивалентными средствами защиты других компаний. Если же возникнут подозрения на заражение, всегда можно воспользоваться сторонним антивирусным сканером.
Вывод=============
Avast!Free Antivirus и MSE и браузер IE 8,9,10.
==============================
Вот и думай,что же лучше?
Какая защита,кроме головы пользователя надёжная?
Думать нам самим выходит!
Будьте бдительны и осторожны!
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Nikol@y

  • Poster
  • *
  • Posts: 445
    • lab14
Re: Аваст пропускает руткиты!
« Reply #13 on: December 15, 2012, 03:15:51 AM »
del
« Last Edit: February 13, 2013, 06:23:59 PM by Nikol@y »
Windows 10 Pro x64, MS Office 2010 x64, IE11, Dr.WEB SS 12
Сертификаты

qoosimov

  • Guest
Re: Аваст пропускает руткиты!
« Reply #14 on: December 15, 2012, 06:31:28 AM »
АВАСТ ФРИИ это минимальная зашита для ПК
совет: Установите дополнительный программы  1. SPYWARE TERMINATOR 2. Comodo Faеrwell :)
Извините меня!
Вот что я прочёл в блоге Вадима Стеркина.Ссылка-http://www.outsidethebox.ms/9995/
Защитник Windows рассчитан только на противодействие шпионам.
И вот, когда уже сильно припекло, появился антивирус Microsoft Security Essentials, доступный пользователям лицензионных операционных систем. Такой способ распространения Microsoft выбрала, чтобы «и овцы были целы, и волки сыты».Microsoft Security Essentials рассчитан на борьбу с вирусами и шпионскими программами, поэтому заменяет собой защитник Windows, отключая его при установке.Microsoft Security Essentials очень прост. В нем нет модулей защиты от спама или блокирования ссылок на фишинговые сайты, поэтому и отключать или настраивать особо нечего. Но нужно учесть, что антивирус рассчитан на работу в среде программного обеспечения Microsoft — фильтр спама есть в Outlook, а фишинг контролирует фильтр SmartScreen в Internet Explorer 8,9,10.Стремясь обеспечить максимальную защиту от вредоносных программ, некоторые пользователи устанавливают несколько антивирусов. Вообще, такое удается далеко не всегда, поскольку многие антивирусные программы отказываются устанавливаться, обнаружив в системе «конкурента». Однако установке Microsoft Security Essentials другие антивирусы не препятствуют, а опрос на форуме Windows 7 конференции OSZone удивил меня как раз тем, что каждый шестой владелец антивируса Microsoft использует его совместно с другой программой этого класса.Я затрудняюсь сказать, насколько улучшается защита системы при использовании двух антивирусов, но уж никак не в два раза, потому что подавляющее большинство угроз они и по отдельности предотвратят. А вот что точно ухудшается, так это производительность системы и продуктивность вашей работы, поскольку каждая запущенная программа или открытый файл подвергается двойной проверке.Собственный опыт и анализ тестов подсказывают мне, что Microsoft Security Essentials вполне может обеспечить адекватную защиту системы. И эта способность значительно повышается, если он используется в комплексе с другими мерами обеспечения безопасности Windows – брандмауэром и фильтром SmartScreen браузера Internet Explorer 8,9 и 10,либо эквивалентными средствами защиты других компаний. Если же возникнут подозрения на заражение, всегда можно воспользоваться сторонним антивирусным сканером.
Вывод=============
Avast!Free Antivirus и MSE и браузер IE 8,9,10.
==============================
Вот и думай,что же лучше?
Какая защита,кроме головы пользователя надёжная?
Думать нам самим выходит!
Будьте бдительны и осторожны!
ivanovich не паникуйте не знаю у вас что есть в компьютере но у меня не пентагон и мне достаточно Аваст+Комодо+спайвар терминатор а на чет Майкрософт Есентиальс вот вам силка http://www.comss.ru/page.php?id=932 вывод
1 Два антивируса в одном компе это проста конфликт на 70% минимум
2 Антивирус который вы советуете Майкрософт Есентиальса не очен хороший показатели