regist Posted December 12, 2018 Ссылки на темы: https://forum.kasperskyclub.ru/index.php?showtopic=61091 https://safezone.cc:443/threads/kasperskij-obnaruzhil-virus-trojan-multi-genautorunreg-a-2.32455/ В логе AVZ отсутсвует запись вида: Опасно - отладчик процесса По логам HiJackThis видно из темы: на SafeZone Спойлер O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe В логах из темы на фан-клубе. O26 - Debugger: HKLM\..\CE i386.exe: [Debugger] = Enable (file missing) O26 - Debugger: HKLM\..\Cheat Engine.exe: [Debugger] = Enable (file missing) O26 - Debugger: HKLM\..\ce-x64.exe: [Debugger] = Enable (file missing) O26 - Debugger: HKLM\..\cheatengine-i386.exe: [Debugger] = Enable (file missing) O26 - Debugger: HKLM\..\cheatengine-x86_64.exe: [Debugger] = Enable (file missing) Также прикладываю экспорты реестра во вложение, логи перезаливать в паблик думаю не стоит. PS. Также очень хочется получить ваши комментарии и исправления AVZ по пожеланиям/замечаниям написанным в соседних темах. Или хотя бы пока просто пересобрали полиморф со свежими базами. Backup from SZ.rar 2.zip Share this post Link to post
regist Posted December 20, 2018 Свежая сборка полиморфа также не увидела отладчик :(. O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat Share this post Link to post
regist Posted December 22, 2018 https://forum.kasperskyclub.ru/index.php?showtopic=61423 ещё одна тема с отладчиками и опять AVZ их не увидел. O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe Share this post Link to post
Zaitsev Oleg Posted December 24, 2018 Фокус в том, что AVZ считает опасными не все отладчики, а только для системных процессов, где это опасно и нестандартно. Отладчики из первого поста - это блокиратор читов по именам исполняемых файлов, не опасно. А вот: O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe не проверялись, что не верно. Воспроизвел, исправил, базы обновлены Share this post Link to post
regist Posted January 10 В 24.12.2018 в 16:50, Zaitsev Oleg сказал: не проверялись, что не верно. Воспроизвел, исправил, базы обновлены Проблема всё ещё актуальна, лог здесь. O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\reg\REBE1l.exe Share this post Link to post
regist Posted January 21 и опять AVZ не увидел. O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe А ведь скорее всего именно эту лазейку используют для получения доступа в системе авторы шифратора. Share this post Link to post
Sandor Posted January 24 Ещё один пример: Цитата O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe Share this post Link to post
regist Posted January 25 O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\cfmon.bat O26 - Debugger: HKLM\..\utilman.exe: [Debugger] = C:\Windows\cfmon.bat AVZ так и не видит, а шифраторы использую эту дыру лезут и лезут. Share this post Link to post
Zaitsev Oleg Posted February 1 Обновил версию EXE и базы, отладчик процесса sethc.exe и utilman.exe должен на подозрение браться с гарантией Share this post Link to post
regist Posted February 3 В 01.02.2019 в 22:51, Zaitsev Oleg сказал: отладчик процесса sethc.exe и utilman.exe должен на подозрение браться с гарантией Увы . Опять тема с шифровальщиком и опять AVZ не видит O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe Share this post Link to post
Zaitsev Oleg Posted February 3 Есть возможность на проблемном ПК выгрузить ветку реестра с настройкой отладчиков процессов для изучения ? Я подозреваю, почему это так - если C:\windows\system32\cmd.exe является системным процессом и не имеет параметров (как в примере лога), то AVZ его не покажет. Там в эвристике есть такая блокировка, если отладчиком является известный легитимный EXE, то он не выводится в списке подозрений. По этой причине, в частности, не отображаются легитимные диспетчеры процессов, калькуляторы и т.п., заменяющие системные через механизм дебаггеров. Share this post Link to post
regist Posted February 5 В 03.02.2019 в 19:55, Zaitsev Oleg сказал: не имеет параметров (как в примере лога) так лог отражает то, что там в реестре. Так что параметров нет. В 03.02.2019 в 19:55, Zaitsev Oleg сказал: Есть возможность на проблемном ПК выгрузить ветку реестра с настройкой отладчиков процессов для изучения ? Бэкап этих веток здесь. Если нужно ввиде ветки [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe] "Debugger"="C:\\windows\\system32\\cmd.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe] "Debugger"="C:\\windows\\system32\\cmd.exe" Share this post Link to post