Страница 1 из 7 12345 ... Последняя
Показано с 1 по 20 из 126.

AVZ 3.40 - предлагаю потестировать и обсудить

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    AVZ 3.40 - предлагаю потестировать и обсудить

    Итак, новая версия AVZ готова. Ввиду большого количества доработок я решил постепенно их вводить в тестируемую версию. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (внимание ! Архив переименован - теперь он называется http://z-oleg.com/avz-betta3.zip)
    Радикальные новшества:
    1. Анти-RootKit для режима ядра. Он работоспособен по NT, W2K, W2K Server, XP, XP SP1, XP SP2, W3K Server, W3K Server SP1. Антируткит не только регистрирует факт перехвата, но и в большинстве случаев может указать на драйвер-перехватчик. В настройке есть отдельная "птичка", позволяющая раздельно управлять противодействием руткитам для режима пользователя и режима ядра. Антируткит KernelMode влияет на всю систему, блокирование некоторых перехватчиков может привести к BSOD. Кроме того, антируткит успешно нейтрализует многие антивирусные мониторы, Firewall и подобные им программы, модифицирующие KiST (SDT). Поэтому после проверки с противодействием KernelMode руткитам настоятельно рекомендуется перезагрузиться (естественно, диагностический режим не требует никаких перезагрузок и на работу системы не влияет). Антируткит корректно отрабатывает перемещение KiST и добавление в нее функций (что, в частности, делает монитор AVP);
    2. В диспетчере сервисов и драйверов появились кнопки, позволяющие запустить/остановить/удалить сервис и загрузить/выгрузить/удалить драйвер;
    3. Изменена методика сканирования диска - теперь файлы проверяются только в выбранных каталогах (ранее проверялись файлы, лежащие в каталогах по пути к указанному);
    4. Уже работает проверка документов Office. В базе пока нет описаний для макровирусов, поэтому собственно ничего не ловится - это естественно временно.
    ----
    Кроме того, расширена база - добавлено около 450 новых "зверей", усовершенствован эвристик. У версии 3.40 в базе 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения, 234 микропрограммы эвристики, 29674 подписей безопасных файлов
    Последний раз редактировалось Зайцев Олег; 16.05.2005 в 19:56.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    KeServiceDescriptorTable найдена (RVA=082480)
    ntoskrnl.exe обнаружен в памяти по адресу 804D7000
    KESystemDescriptorTable = 80559480
    KiST = 86E5BB58,804E26A8( 297)
    >>> Внимание, таблица KiST перемещена !
    Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwConnectPort (1F) перехвачена (805894AD<>F5D243BD), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwCreateProcess (2F) перехвачена (805AD314<>F5BD8500), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwCreateProcessEx (30) перехвачена (8058041A<>F5BD8670), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwCreateSection (32) перехвачена (8056441B<>F5BD8970), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwCreateThread (35) перехвачена (8057B1C5<>F5BD90CE), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwDeleteKey (3F) перехвачена (80590F78<>F5D37F30), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>F5D37E60), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwLoadKey (62) перехвачена (805AACF0<>F5D37FB0), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwOpenProcess (7A) перехвачена (80573C96<>F5D37850), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwQueryInformationFile (97) перехвачена (8057240A<>F5BD8E2E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>F5BD8F6E), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwReplaceKey (C1) перехвачена (8064D232<>F5D38120), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwRestoreKey (CC) перехвачена (8064BD56<>F5D38260), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>F5BDAE60), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwSetValueKey (F7) перехвачена (80574C1D<>F5D37D80), перехватчик предположительно C:\WINDOWS\System32\vsdatant.sys
    Функция ZwTerminateProcess (101) перехвачена (80582C2B<>F5BD8CF0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Функция ZwTerminateThread (102) перехвачена (8057A8DE<>F5BD8800), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    Проверено функций: 284, перехвачено: 18, восстановлено: 0

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от HATTIFNATTOR
    1.2 Поиск перехватчиков API, работающих в >>> Внимание, таблица KiST перемещена !
    Функция ZwClose (19) перехвачена (80566B49<>F5BD87E0), перехватчик предположительно C:\WINDOWS\System32\Drivers\klif.sys
    ....
    Проверено функций: 284, перехвачено: 18, восстановлено: 0
    Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож. Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit

  5. #4
    Geser
    Guest
    Протокол антивирусной утилиты AVZ версии 3.40
    Сканирование запущено в 5/16/2005 8:50:34 PM
    Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
    Загружены микропрограммы эвристики: 234
    Загружены цифровые подписи системных файлов: 29674
    Режим эвристического анализатора: Средний уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
    Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    KeServiceDescriptorTable найдена (RVA=082480)
    ntoskrnl.exe обнаружен в памяти по адресу 804D7000
    KESystemDescriptorTable = 80559480
    KiST = 804E26A8,804E26A8( 284)
    Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwCreateKey (29) перехвачена (8056E761<>EB22491, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D7, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
    Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
    Проверено функций: 284, перехвачено: 15, восстановлено: 0
    2. Проверка памяти
    Количество найденных процессов: 33
    Количество загруженных модулей: 383
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
    C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 23 TCP портов и 23 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 416, найдено вирусов 0
    Сканирование завершено в 5/16/2005 8:50:45 PM
    Сканирование длилось 00:00:11

  6. #5
    Geser
    Guest
    Включил противодействие. Система выжила
    И монитор реестра Bitdefender отрубился

    Протокол антивирусной утилиты AVZ версии 3.40
    Сканирование запущено в 5/16/2005 8:53:07 PM
    Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
    Загружены микропрограммы эвристики: 234
    Загружены цифровые подписи системных файлов: 29674
    Режим эвристического анализатора: Средний уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции LoadLibraryA нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции accept нейтрализован
    Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции bind нейтрализован
    Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции closesocket нейтрализован
    Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции connect нейтрализован
    Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции gethostbyname нейтрализован
    Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции listen нейтрализован
    Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции recvfrom нейтрализован
    Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции send нейтрализован
    Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции sendto нейтрализован
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции RasDialA нейтрализован
    Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo
    >>> Код руткита в функции RasDialW нейтрализован
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    KeServiceDescriptorTable найдена (RVA=082480)
    ntoskrnl.exe обнаружен в памяти по адресу 804D7000
    KESystemDescriptorTable = 80559480
    KiST = 804E26A8,804E26A8( 284)
    Функция ZwClose (19) перехвачена (80566B49<>EB224966), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwCreateKey (29) перехвачена (8056E761<>EB22491, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwDeleteKey (3F) перехвачена (80590F78<>EB2249D2), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwDeleteValueKey (41) перехвачена (8058E9FA<>EB224A00), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwEnumerateKey (47) перехвачена (8056EE68<>EB224D7, перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>EB224DEE), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwFlushKey (4F) перехвачена (805DA2D0<>EB2249A4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwLoadKey (62) перехвачена (805AACF0<>EB224E66), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwOpenFile (74) перехвачена (80570CE3<>EBC8DDAD), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\filespy.sys
    Функция воcстановлена успешно !
    Функция ZwOpenKey (77) перехвачена (80567AFB<>EB2248D6), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwQueryKey (A0) перехвачена (8056EB71<>EB224DB4), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>EB224E2A), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwSetValueKey (F7) перехвачена (80574C1D<>EB224AAF), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwUnloadKey (107) перехвачена (8064C02B<>EB224E96), перехватчик предположительно C:\Program Files\Softwin\BitDefender8\regspy.sys
    Функция воcстановлена успешно !
    Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>F44DEBE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
    Функция воcстановлена успешно !
    Проверено функций: 284, перехвачено: 15, восстановлено: 15
    2. Проверка памяти
    Количество найденных процессов: 32
    Количество загруженных модулей: 368
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\WINDOWS\system32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\sockspy.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
    C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
    C:\WINDOWS\system32\Audiodev.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\Audiodev.dll>>> Нейросеть: файл с вероятностью 0.59% похож на типовой перехватчик событий клавиатуры/мыши
    C:\WINDOWS\system32\WMVCore.DLL --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\WMVCore.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
    C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 17 TCP портов и 23 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 400, найдено вирусов 0
    Сканирование завершено в 5/16/2005 8:53:14 PM
    Сканирование длилось 00:00:06

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    56
    Цитата Сообщение от Зайцев Олег
    Интересно, что такое C:\WINDOWS\System32\Drivers\klif.sys - уж очень он на монитор AVP похож. Интересно, что будет, если разрешить AVZ блокировать Kernel RootKit
    Так и есть Каспер.
    Разрешил AVZ блокировать Kernel RootKit, нечего Каспер жив.

    Ну и логи ради интереса, разумеется.

    Протокол антивирусной утилиты AVZ версии 3.40
    Сканирование запущено в 16.05.2005 22:01:48
    Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
    Загружены микропрограммы эвристики: 234
    Загружены цифровые подписи системных файлов: 29674
    Режим эвристического анализатора: Максимальный уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
    Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
    >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
    Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
    >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
    Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
    Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
    Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    KeServiceDescriptorTable найдена (RVA=082480)
    ntoskrnl.exe обнаружен в памяти по адресу 804D7000
    KESystemDescriptorTable = 80559480
    KiST = 81D77510,804E26A8( 297)
    >>> Внимание, таблица KiST перемещена !
    Функция ZwClose (19) перехвачена (80566B49<>EBCCB2E0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwCreateProcess (2F) перехвачена (805AD314<>EBCCB000), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EBCCB170), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwCreateSection (32) перехвачена (8056441B<>EBCCB420), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwCreateThread (35) перехвачена (8057B1C5<>EBCCBBAE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwOpenProcess (7A) перехвачена (80573C96<>EBCCAE00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EBCCB8EE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwQuerySystemInformation (AD) перехвачена (8057C4AA<>EBCCBA2E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwResumeThread (CE) перехвачена (8057B838<>EBCCBB8E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EBCCD950), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EBCCB7A0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция воcстановлена успешно !
    Проверено функций: 284, перехвачено: 11, восстановлено: 11
    >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
    2. Проверка памяти
    Количество найденных процессов: 22
    Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kavsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll,u rlmon.dll,rasapi32.dll,tapi32.dll)
    Процесс c:\program files\microsoft antispyware\gcasserv.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws 2help.dll,netapi32.dll,tapi32.dll)
    Процесс c:\program files\kaspersky lab\kaspersky anti-virus personal\kav.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
    Процесс c:\windows\system32\nvsvc32.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
    Процесс c:\program files\avz v3.40\avz v3.40.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
    Количество загруженных модулей: 353
    Проверка памяти завершена
    3. Сканирование дисков
    C:\Program Files\Paragon Software\Drive Backup\DBW\BM\command.com - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 3 TCP портов и 7 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 8860, найдено вирусов 0
    Сканирование завершено в 16.05.2005 22:12:40
    Сканирование длилось 00:10:52

    Пункты 1.1 и 1.2 шалости Каспера.

  8. #7
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    46
    Попадёт теперь AVZ в Riskware.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    56
    Пусть попробуют, шапками закидаем.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    56
    Олег, а когда появится запуск из контекстного меню, порой так не хватает для проверки отдельных (подозрительных) файлов.
    Неплохо ввести "инкрементальную загрузку" обновлений (как у avast'а), хотя бы в недалекой перспективе, пока программа еще компактная, а то быстро вырастит как на дрожжах.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Потестил на 98-ом - полет нормальный
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Тоже добавлю свой лог:
    Код:
    Протокол антивирусной утилиты AVZ версии 3.40
    Сканирование запущено в 16.05.2005 23:05:22
    Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
    Загружены микропрограммы эвристики: 234
    Загружены цифровые подписи системных файлов: 29674
    Режим эвристического анализатора: Максимальный уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
     KeServiceDescriptorTable найдена (RVA=08A500)
     ntoskrnl.exe обнаружен в памяти по адресу 804D7000
       KESystemDescriptorTable = 80561500
       KiST = 804E48B0,804E48B0( 284)
    Функция ZwCreateSection (32) перехвачена (8056CE25<>F347DF8C), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
    Функция ZwOpenSection (7D) перехвачена (8057EB3A<>F347D8F8), перехватчик предположительно C:\WINDOWS\system32\drivers\RapDrv.sys
    Проверено функций: 284, перехвачено: 2, восстановлено: 0
    2. Проверка памяти
     Количество найденных процессов: 28
    Процесс c:\program files\iss\blackice\rapapp.exe может работать с сетью (ws2_32.dll,ws2help.dll)
    Процесс c:\program files\war-ftpd\war-ftpd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
    Процесс c:\program files\drweb\drwebscd.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws2help.dll,netapi32.dll,tapi32.dll)
    Процесс c:\program files\iss\blackice\blackd.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
    Процесс c:\program files\opera75\opera.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll)
    Процесс c:\******\desktop\avz\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll,tapi32.dll,wininet.dll)
     Количество загруженных модулей: 307
    Проверка памяти завершена
    3. Сканирование дисков
    C:\WINDOWS\Installer\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\IconE9F814232.chm - PE файл с нестандартным расширением(степень опасности 5%)
    C:\WINDOWS\system\WINASPI.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\WINDOWS\system\WOWPOST.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\WINDOWS\system32\drivers\ASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    C:\WINDOWS\system32\WNASPI2K.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     В базе 320 описаний портов
     На данном ПК открыто 28 TCP портов и 11 UDP портов
     Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 23699, найдено вирусов 0
    Сканирование завершено в 16.05.2005 23:10:23
    Сканирование длилось 00:05:01
    

  13. #12
    Junior Member Репутация
    Регистрация
    15.02.2005
    Сообщений
    24
    Вес репутации
    44
    ...
    Режим эвристического анализатора: Максимальный уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
    Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
    ...
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    KeServiceDescriptorTable найдена (RVA=082480)
    ntoskrnl.exe обнаружен в памяти по адресу 804D7000
    KESystemDescriptorTable = 80559480
    KiST = 821FE570,804E26A8( 297)
    >>> Внимание, таблица KiST перемещена !
    Функция ZwClose (19) перехвачена (80566B49<>EFB64070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateKey (29) перехвачена (8056E761<>F84FAAB0), перехватчик предположительно a347bus.sys
    Функция ZwCreatePagingFile (2D) перехвачена (805B77B8<>F84EEB00), перехватчик предположительно a347bus.sys
    Функция ZwCreateProcess (2F) перехвачена (805AD314<>EFB63D90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateProcessEx (30) перехвачена (8058041A<>EFB63F00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateSection (32) перехвачена (8056441B<>EFB641B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateThread (35) перехвачена (8057B1C5<>EFB647FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwEnumerateKey (47) перехвачена (8056EE68<>F84EF38, перехватчик предположительно a347bus.sys
    Функция ZwEnumerateValueKey (49) перехвачена (8057EB28<>F84FABF0), перехватчик предположительно a347bus.sys
    Функция ZwOpenKey (77) перехвачена (80567AFB<>F84FAA74), перехватчик предположительно a347bus.sys
    Функция ZwOpenProcess (7A) перехвачена (80573C96<>EFB63B90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwQueryInformationFile (97) перехвачена (8057240A<>EFB6469E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwQueryKey (A0) перехвачена (8056EB71<>F84EF3A, перехватчик предположительно a347bus.sys
    Функция ZwQueryValueKey (B1) перехвачена (8056B0BB<>F84FAB46), перехватчик предположительно a347bus.sys
    Функция ZwSetInformationProcess (E4) перехвачена (8056BD05<>EFB66530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwSetSystemPowerState (F1) перехвачена (80665527<>F84FA390), перехватчик предположительно a347bus.sys
    Функция ZwTerminateProcess (101) перехвачена (80582C2B<>EFB64550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwWriteVirtualMemory (115) перехвачена (8057E5E0<>EFCB15B0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FILTNT.SYS
    ...
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
    C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши
    ...

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.05.2005
    Сообщений
    45
    Вес репутации
    47
    Интересный момент:

    Вот лог...
    Протокол антивирусной утилиты AVZ версии 3.40
    Сканирование запущено в 17.05.2005 0:16:46
    Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
    Загружены микропрограммы эвристики: 234
    Загружены цифровые подписи системных файлов: 29674
    Режим эвристического анализатора: Максимальный уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    KeServiceDescriptorTable найдена (RVA=082B80)
    ntoskrnl.exe обнаружен в памяти по адресу 804D7000
    KESystemDescriptorTable = 80559B80
    KiST = 804E2D20,804E2D20( 284)
    Функция ZwConnectPort (1F) перехвачена (80598C34<>F7A564F2), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
    Функция воcстановлена успешно !
    Функция ZwCreatePort (2E) перехвачена (80592699<>F7A56442), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
    Функция воcстановлена успешно !
    Функция ZwCreateThread (35) перехвачена (8057F262<>F7A5632C), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
    Функция воcстановлена успешно !
    Функция ZwWriteVirtualMemory (115) перехвачена (8057C123<>F7A565BE), перехватчик предположительно C:\WINDOWS\System32\Drivers\bcftdi.SYS
    Функция воcстановлена успешно !
    Проверено функций: 284, перехвачено: 4, восстановлено: 4
    2. Проверка памяти
    Количество найденных процессов: 34
    [skiped]
    Количество загруженных модулей: 368
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    [skiped]

    Пока вроде бы все хорошо... Перехватчики от Jetico FW успешно нейтрализованы (Jetico продолжает жить) Но дальше выскакивает предупреждение данного FW о том, что приложение (AVZ) очень хочет обратиться к сети:
    17.05.2005 0:17:01.642 Спросить доступ к сети D:\Distrib\AV\avz\avz.exe PID: 1660; Hash: 81782A0E 5932102E ADA6A262 4AC016A0 82167827
    При выборе "блокировать автивность" получаю:

    [avz log continue]
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 0 TCP портов и 0 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 402, найдено вирусов 0
    Сканирование завершено в 17.05.2005 0:17:15
    Сканирование длилось 00:00:30

    Возникает вопрос, значит "Поиск открытых портов TCP/UDP" не защищены анти-руткитом?
    Последний раз редактировалось Dandy; 17.05.2005 в 01:00.

  15. #14
    новый
    Guest
    Здраствуйте. Протокол антивирусной утилиты AVZ версии 3.40
    Сканирование запущено в 17.05.2005 4:40:10
    Загружена база: 13420 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
    Загружены микропрограммы эвристики: 234
    Загружены цифровые подписи системных файлов: 29674
    Режим эвристического анализатора: Максимальный уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
    Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    KeServiceDescriptorTable найдена (RVA=08C500)
    ntoskrnl.exe обнаружен в памяти по адресу 804D7000
    KESystemDescriptorTable = 80563500
    KiST = 81E49A50,804E4F40( 297)
    >>> Внимание, таблица KiST перемещена !
    Функция ZwClose (19) перехвачена (80570D29<>A2DFB070), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateProcess (2F) перехвачена (805B4A28<>A2DFAD90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateProcessEx (30) перехвачена (8058B5EC<>A2DFAF00), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateSection (32) перехвачена (8056EE25<>A2DFB1B0), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwCreateThread (35) перехвачена (80586CE6<>A2DFB7FE), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwOpenProcess (7A) перехвачена (80581C68<>A2DFAB90), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwQueryInformationFile (97) перехвачена (80580C35<>A2DFB69E), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9<>A2DFD530), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwTerminateProcess (101) перехвачена (8058CE75<>A2DFB550), перехватчик предположительно C:\WINDOWS\System32\drivers\klif.sys
    Функция ZwWriteVirtualMemory (115) перехвачена (805880B7<>A2F00BE0), перехватчик предположительно C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\2000\FILTNT.SY S
    Проверено функций: 284, перехвачено: 10, восстановлено: 0
    2. Проверка памяти
    Количество найденных процессов: 14
    Процесс c:\program files\positive technologies\startup monitor\ptstartmon.exe может работать с сетью (netapi32.dll)
    Процесс e:\программы\Новая папка\avz3.40\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
    Количество загруженных модулей: 203
    Проверка памяти завершена
    3. Сканирование дисков
    Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\1049\
    Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Library\
    Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Samples\
    Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\Startup\
    Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Office\
    Ошибка при сканировании каталога C:\Program Files\Microsoft Office\Templates\1049\
    C:\Program Files\ReGetDx\regetdx.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
    C:\Program Files\WinRAR\WinRAR.exe.bak - PE файл с нестандартным расширением(степень опасности 5%)
    E:\программы\Новая папка\clrav\CLRAV.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 2 TCP портов и 3 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 15780, найдено вирусов 0
    Сканирование завершено в 17.05.2005 4:43:01
    Сканирование длилось 00:02:51
    Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"

  16. #15
    Junior Member Репутация
    Регистрация
    15.02.2005
    Сообщений
    24
    Вес репутации
    44
    Цитата Сообщение от Dandy
    Возникает вопрос, значит "Поиск открытых портов TCP/UDP" не защищены анти-руткитом?
    говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    to новый
    Не могли бы подсказать,что это такое ">>> Внимание, таблица KiST перемещена !"
    Это означает, что некое приложение X переместило KiST (это таблица, в которой хранятся адреса ситемных функций) в памяти. Это уже само по себе является сигналом о том, что некое приложение вмешалось в работу ядра. Данное сообщение является нормой для монитор AVP и некоторых RootKit режима ядра.
    to Dandy
    Как совершенно правильно подметил Михаил, нарушение работы перехватчиков Firewall приводит к его противодействию разным сетевым операциям.
    to Geser
    Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.

  18. #17
    Geser
    Guest
    Цитата Сообщение от Зайцев Олег
    to новый

    to Geser
    Я вот думаю, нужно поместить в лог предпуреждение, что после блокирования перехватчиков KernelMode нужна перезагрузка, чтобы приложения-перехватчики могли нормально восстановить свою работу.
    Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого Правда предупреждения читают 10% пользователей
    Кстати, автозапуск так и не работает Мож как-то выловим баг?

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.05.2005
    Сообщений
    45
    Вес репутации
    47
    Цитата Сообщение от Михаил
    говорит о том, что фаер работает правильно - когда его отрубают, с сетью нельзя работать вообще. эх, Аутпост бы так работал
    Вы не меня не правильно поняли.
    1) После того, как перехваты востановлены AVZ (в KernelMode) - работа с сетью возможна без проблем.
    2) После востановления, некоторая активность (вирусоподобная) становится для FW незаметной (создание скрытого процесса, запись в память и т.п) - как и должно быть, но!

    При всем при этом, при попытк AVZ получить список открытых портов, FW данную активность пресекает! Отсюда:
    На данном ПК открыто 0 TCP портов и 0 UDP портов
    Хотя данный ПК - мой тестовый сервер под Eserv/3

    Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Geser
    Угу, а то человек с нейтрализованным антивирусом нахватаетя всякого Правда предупреждения читают 10% пользователей
    Кстати, автозапуск так и не работает Мож как-то выловим баг?
    Ну, пункт "противодействие" по умолчанию естественно отключен ... но для убедительности я покрасил его в красный цвет, при наведении мыша - грозное предупреждение во всплывающей подсказке, при запуске сканирования с противодействием - грозное предупреждение с подтверждением + сообщение в логе о надобности скорейшей перезагрузки (оно выдается, если восстановлена хотя-бы одна функция)

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Dandy
    Поэтому у меня и возникло подозрение, что 6-ой пункт работы AVZ не защищен антируткитом. Или почему тогда FW определяет (не блокирует) - спрашивает, что делать с данной активностью? (после востановления в Kernel и User mode)
    От то защищен ... но неизвестно, на каком уровне и как Firewall блокирует эти операции - скорее всего, у него есть еще какая-то методика защиты, которую не нейтрализуцет AVZ. Большинство руткитов маскируют открываемые ими порты за счет перехвата системных функций.

Страница 1 из 7 12345 ... Последняя

Похожие темы

  1. предлагаю помощь
    От Zion в разделе Технические и иные вопросы
    Ответов: 1
    Последнее сообщение: 21.09.2007, 19:08
  2. AVZ 3.10 - предлагаю потестировать и обсудить
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 256
    Последнее сообщение: 16.05.2005, 19:28

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00772 seconds with 25 queries