Всем доброго времени суток.
Вопрос об обновлении.
Есть версия AVZ 4.24 r2 oт 20.03.2007 и упорно не хочет обновляться до текущей.(базы обновляются).
Если такое обновление не возможно (то есть надо по новой скачивать) просьба об этом написать в ответе.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Конечно следует обновиться до 4.25, так как весрии X.XX rY - это промежуточные релизы. Но базы 4.24 и 4.25 полностью совместимы, обновление должно идти. А что понимается под "Не хочет обновляться" ? Т.е. выдается какая-то ошибка, или обновление завершается без ошибок но база остается старая ?Сообщение от Nikollay
И еще один вопрос что это значит - прямое чтение?
3. Сканирование дисков
Прямое чтение C:\Program Files\ESET\cache\CACHE.NDB
Прямое чтение C:\Program Files\ESET\logs\virlog.dat
Прямое чтение C:\Program Files\ESET\logs\warnlog.dat
Нет. В пункте о программе версия остается старой (просто я полагал что должо обновляться)А что понимается под "Не хочет обновляться" ? Т.е. выдается какая-то ошибка, или обновление завершается без ошибок но база остается старая ?
а она и будет оставаться старой , надо заново новую версию скачивать.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Но вот у меня возникла проблема (виндовоз 2003 серв), что я не могу зайти в систему (присутствует домен) ни под локальным админом ни под сетевым... Вернее как бы заходит, но потом говорит о закрытии всех подключений и возвращается на круги своя (на приглашение зайти на комп).
Ошибка была вроде для netlogon:
10044 Поддержка указанного типа сокетов в этом семействе адресов отсутствует
-netlogon служба не запускается.
-служба Internet Connection Firewall (IGF) / Internet Connection Sharing (ICS) (Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS))- тоже не запущена (но она мне не столь важна...)
Это к сожалению все то, что я вспомнил.
До сканирования AVZ в сеть заходил (но не пинговались другие компы и не выходил с 2003 в Интернет).
После сканирования AVZ и дальнейшей перезагрузкой в сеть не заходит... (ни под локальным админом, ни в безопасном, ни последней удачной конфигурации).
В AVZ выполнял еще две операции (14. Автоматическое исправление настроек SPl/LSP и 15. Сброс настроек SPI/LSP и TCP/IP (XP+)).
Воот результаты сканирования AVZ и его исправления 14 и 15).
Подскажите, что можно сделать.
"""""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""
Внимание !!! База поcледний раз обновлялась 03.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
----- порезано ----
Ошибка LSP NameSpace: "Tcpip" --> отсутствует файл C:\Documents and Settings\kost\WINDOWS\System32\mswsock.dll
----- порезано ----
Последний раз редактировалось Зайцев Олег; 03.05.2007 в 16:39.
Смотрим хелп - http://www.z-oleg.com/secur/avz_doc/sys_repair.htm - там же сказано по поводу п.п. 14 "Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии". Судя по логу как раз из терминальной сессии он и запущен. Короче говоря, нужно
1. Зайти админом именно с консоли, а не терминалкой
2. Выполнить http://support.microsoft.com/kb/299357
Естественно - там же пункт меню даже называется "Обновление баз" (см. http://www.z-oleg.com/secur/avz_doc/avz_avupdate.htm) Т.е. обновляется база, а не сам AVZ. Для обновления AVZ следует скачать новую версию и распаковать ее поверх существующей.
Баг с удалением сервиса из BC_ ?
Олег посмотри - http://virusinfo.info/showthread.php?t=9449
Лог АВЗ -
C:\WINDOWS\system32:lzx32.sys:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Лог бутклинера -
Quarantine path: \??\C:\Documents and Settings\Lev\Рабочий стол\avz4\Quarantine\2007-05-03\
Quarantine File \??\C:\WINDOWS\system32\lzx32.sys - succeeded
Quarantine service file pe386 - succeeded
Delete File \??\C:\WINDOWS\system32\lzx32.sys - succeeded
Delete Service & File pe386 - failed (0xC0000121)
Почему в логе АВЗ показывается поток, а в логе Бутклинера файл, и удаление сервиса тоже кстати неотработало, судя по логу....
Команда карантина и удаления неправильные (или зловред в двух местах - в чистом виде и в потоке), в даннос случае имя файла C:\WINDOWS\system32\lzx32.sys, а нужно - C:\WINDOWS\system32:lzx32.sys или C:\WINDOWS\system32:lzx32.sys:$DATA. На стадии Delete Service & File судя по всему прибил описание драйвера в реестре...
Уважеаемый Зайцев Олег, эти операции производились не в терминалке!,а с консоли под локальным администратором. (прежде чем это делать я прочитал что в хелпе написано..., и я указал что зайти локально не могу, ни под локальным админом, но в безопасном, ни ласт удачной конфигурации...). Рековери консоль с загрузочного диска результатов тоже не дала.
Скрипт удаления -
begin
BC_QrSvc('pe386');
BC_DeleteSvc('pe386');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Вроде правильный. При наличии NTFS, PE386 садиться в поток а не в файл, единственно теоритически могли сначала посадить, а потом сконвертить в NTFS. Но самое интересно в том, что во втором логе, после выполнения скрипта PE386й остался жив -
"C:\WINDOWS\system32:lzx32.sys:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла"
Возможно другое - BC убивает по полному пути, если в реестре приписано типа system32:lzx32.sys, то BC его не найдет при выполнении BC_DeleteSvc('pe386'); ... но это так, догадка
Здраствуйте! Почему когда я нажимаю "Включить AVZGuard" через несколько секунд комп виснет намертво, если при этом загружен драйвер расширенного мониторинга, то windows вываливается в BSOD: там написано что-то про дамп памяти и файл драйвера ujqwodk1.sys.
сделайте все логи по правилам в новой теме. (http://virusinfo.info/showthread.php?t=1235 ), посмотрим
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Есть предложение добавить к цветовой гамме логов розовый цвет, когда в логе есть такое : имя содержит национальные символы(Думаю, понятно почему) строка станет розовой.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Фиолетовой в крапинкустрока станет розовой
Да хоть малиновойФиолетовой в крапинку
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
так AVZ же пишет про такие файлы в логе исследования - "имя содержит национальные символы". Кроме того, на XP svchost обязан опознаться по базе чистых - если он в логе, то это уже подозрительно независимо от цвета. А пинчи и другие звери очень давно применяют вставку похожих по начертанию букв в латинские имена, это уже года 3-4 как широко применяется.Да хоть малиновой
На самом деле у меня более интересное предложение. Предлогаю те самые национальные символы выделять цветом. Иначе сложно будет что-то сказать о файлах путь к которым типа C:\Винда\system32\... АВЗ будет ругаться на все, в таком случае.
Ваши права в разделе
