Jump to content
regist

AVZ не увидел отладчики процесса.

Recommended Posts

Ссылки на темы:

https://forum.kasperskyclub.ru/index.php?showtopic=61091

https://safezone.cc:443/threads/kasperskij-obnaruzhil-virus-trojan-multi-genautorunreg-a-2.32455/

В логе AVZ отсутсвует запись вида: Опасно - отладчик процесса

По логам HiJackThis видно из темы:

на SafeZone

Спойлер

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

 

В логах из темы на фан-клубе.

O26 - Debugger: HKLM\..\CE i386.exe: [Debugger] = Enable (file missing)
O26 - Debugger: HKLM\..\Cheat Engine.exe: [Debugger] = Enable (file missing)
O26 - Debugger: HKLM\..\ce-x64.exe: [Debugger] = Enable (file missing)
O26 - Debugger: HKLM\..\cheatengine-i386.exe: [Debugger] = Enable (file missing)
O26 - Debugger: HKLM\..\cheatengine-x86_64.exe: [Debugger] = Enable (file missing)

Также прикладываю экспорты реестра во вложение, логи перезаливать в паблик думаю не стоит.

PS. Также очень хочется получить ваши комментарии и исправления AVZ по пожеланиям/замечаниям написанным в соседних темах.

Или хотя бы пока просто пересобрали полиморф со свежими базами.

 

Backup from SZ.rar

2.zip

Share this post


Link to post

Фокус в том, что AVZ считает опасными не все отладчики, а только для системных процессов, где это опасно и нестандартно.

Отладчики из первого поста - это блокиратор читов по именам исполняемых файлов, не опасно. А вот:

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

не проверялись, что не верно. Воспроизвел, исправил, базы обновлены

Share this post


Link to post
В 24.12.2018 в 16:50, Zaitsev Oleg сказал:

не проверялись, что не верно. Воспроизвел, исправил, базы обновлены

Проблема всё ещё актуальна, лог здесь.

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\reg\REBE1l.exe

 

Share this post


Link to post

и опять AVZ не увидел.

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe

А ведь скорее всего именно эту лазейку используют для получения доступа в системе авторы шифратора.

Share this post


Link to post
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\cfmon.bat
O26 - Debugger: HKLM\..\utilman.exe: [Debugger] = C:\Windows\cfmon.bat

AVZ так и не видит, а шифраторы использую эту дыру лезут и лезут.

Share this post


Link to post

Обновил версию EXE и базы, отладчик процесса sethc.exe и utilman.exe должен на подозрение браться с гарантией

Share this post


Link to post
В 01.02.2019 в 22:51, Zaitsev Oleg сказал:

отладчик процесса sethc.exe и utilman.exe должен на подозрение браться с гарантией

Увы :(.

Опять тема с шифровальщиком и опять AVZ не видит

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

 

Share this post


Link to post

Есть возможность на проблемном ПК выгрузить ветку реестра с настройкой отладчиков процессов  для изучения ? Я подозреваю, почему это так - если C:\windows\system32\cmd.exe является системным процессом и не имеет параметров (как в примере лога), то AVZ его не покажет. Там в эвристике есть такая блокировка, если отладчиком является известный легитимный EXE, то он не выводится в списке подозрений. По этой причине, в частности, не отображаются легитимные диспетчеры процессов, калькуляторы и т.п., заменяющие системные через механизм дебаггеров.

Share this post


Link to post
В 03.02.2019 в 19:55, Zaitsev Oleg сказал:

не имеет параметров (как в примере лога)

так лог отражает то, что там в реестре. Так что параметров нет.

В 03.02.2019 в 19:55, Zaitsev Oleg сказал:

Есть возможность на проблемном ПК выгрузить ветку реестра с настройкой отладчиков процессов  для изучения ?

Бэкап этих веток здесь. Если нужно ввиде ветки

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe]
"Debugger"="C:\\windows\\system32\\cmd.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe]
"Debugger"="C:\\windows\\system32\\cmd.exe"

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.