AVZ 4.29

[quote=PavelA;194821]На одной из тестируемых машинок встречал подобнее. Почему-то винда восприняла драйвер, как новое устройство.[/quote]

Павел, с таким сбоем можно бороться или надо удалить драйвер? Если удалить - как?

Выполните стандартный скрипт №6

[b]Олег[/b], если не трудно, можно пересобрать дистрибутив на сайте со свежими базами? Задолбали в "Помогите" логи с базами от 12.12.2007 ;)

Я уже предлагал перед выполнением скрипта поставить предупреждение если базы старые.

Скачал новую версию а она на английском.. старие были на рус..
что делать? (windowsXp sp2)

[quote=yog;197743]Скачал новую версию а она на английском.. старие были на рус..
что делать? (windowsXp sp2)[/quote]
Она мультиязычная. А если в командной строке (или ярлыке) задать ключ lang=ru , то и русской станет.
Например: [CODE]C:\avz\avz.exe lang=ru [/CODE]

yog, как вариант: в языковых настройках виндоуса поставить для non-unicode-> русский.

[QUOTE=Kuzz;197748]Она мультиязычная. А если в командной строке (или ярлыке) задать ключ lang=ru , то и русской станет.
Например: [CODE]C:\avz\avz.exe lang=ru [/CODE][/QUOTE]

а где ета строка?

[quote=yog;197835]а где ета строка?[/quote]
Это параметр запуска - его следует задать в командной строке

Или сделать ярлык на прогу и добавить lang=ru в конце поля "объет"
главное кавычки правильно поставить

В блокнот скопируйте:
[CODE]
avz.exe lang=ru
[/CODE]

И при сохранение документа выберете: [B]Тип файлов: все файлы.[/B]
Укажите имя файла например ackiyvirus.cmd или yakuhaker.bat

Тут главное чтоб расширение файла было cmd или bat

Положите этот файлик в директорию с AVZ и запускайте вместо avz.exe

Пример:
"K:\Soft\Anti Root Kit\avz4_29.9\avz.exe" lang=en
так я английский посчупал - работает
интересно когда пишеш что-то отличное от ru или en

[QUOTE=akoK;197853]В блокнот скопируйте:
[CODE]
avz.exe lang=ru
[/CODE]

И при сохранение документа выберете: [B]Тип файлов: все файлы.[/B]
Укажите имя файла например ackiyvirus.cmd или yakuhaker.bat

Тут главное чтоб расширение файла было cmd или bat

Положите этот файлик в директорию с AVZ и запускайте вместо avz.exe[/QUOTE]
работает !!!!!! :>

С ярлыком самый оптимальный вариант, можно и "горячую клавишу" добавить на вызов программы.
У меня без кавычек работает, просто дописываешь в поле "объект"
жать 1 раз пробел, а потом lang=ru или lang=en взависимости от необходимого языка.
[ATTACH]36631[/ATTACH]

Подскажите что скрывается под цифрами в скобках, и почему так выводится информация.
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> [?1626?]
>> [?1627?]
>> [?1629?]

[QUOTE=Rampant;198510]Подскажите что скрывается под цифрами в скобках, и почему так выводится информация.
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> [?1626?]
>> [?1627?]
>> [?1629?][/QUOTE]
[url]http://virusinfo.info/showpost.php?p=194810&postcount=354[/url]

Всё ясно, только не понял, как это устраняется.

[quote=Rampant;198674]Всё ясно, только не понял, как это устраняется.[/quote]
Если еще раз запустить AVZ и повторить скан, то он покажет название проблем. Устранение - через мастер поиск и встренения пробелем, меню "файл"

При помещении в карантин в последних строках avz*.ini имеем:

AVZVer=4.29
MainAVBase=30.12.1899

так и надо?

[quote=AStr;200870]При помещении в карантин в последних строках avz*.ini имеем:

AVZVer=4.29
MainAVBase=30.12.1899

так и надо?[/quote]
Да, это недокументированная фича. Если показывает 30.12.1899, то это означает, что базы не загружены. Возникает, если используется карантин при помощи скрипта (в этом случае AVZ не загружает базу зверей, только вспомогательные базы и базу чистых)

@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.

Это может пригодиться для варианта, когда система не грузиться с жесткого диска.

[quote=PavelA;201280]@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.

Это может пригодиться для варианта, когда система не грузиться с жесткого диска.[/quote]
Я продумываю такой вариант. Удаленный реестр можно в принципе сканировать, но я продумываю вариант AVZ под Linux - в таком варианте бут-образ получается небольшой, но с реестром проблемы ... - в такой ситуации можно только найти файлы реестра и парсить их.

Олег здраствуйте у меня AVZ видет процессы без имени
AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
Helper по этому поводу попросил братиться к вам даю ссылку на топик [url]http://virusinfo.info/showthread.php?p=201293&posted=1#post201293[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Процессов более ста

[quote=DemON.!.;201295]Олег здраствуйте у меня AVZ видет процессы без имени
AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
Helper по этому поводу попросил братиться к вам даю ссылку на топик [URL]http://virusinfo.info/showthread.php?p=201293&posted=1#post201293[/URL]

[SIZE=1][COLOR=#666686][B][I]Добавлено через 2 минуты[/I][/B][/COLOR][/SIZE]

Процессов более ста[/quote]
Да, на Windows 2003 Server такой эффект иногда проявляется. Замечено, что нередко он возникает, если установлено ПО от HP. Видимое проявление - плодятся процессы без имени ... причина в том, что в таблицах хендлов остаются "висячие" дескрипторы, не принадлежащие ни к одному из запущенных процессов, и один из алгоритмов поиск считает, что это может быть хендл реального маскирующегося процесса

Большое спасибо за чёткий и грамотный ответ :)

[QUOTE=PavelA;201280]@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.

Это может пригодиться для варианта, когда система не грузиться с жесткого диска.[/QUOTE]

Сканирование ресстра присоединенного диска с больной системой ОЧЕНЬ и ОЧЕНЬ нужно!!! Иначе приходиться иногда Regedit'om с LiveCD руками править то, что AVZ делает не напрягаясь.

Подскажите пожалуйста.
в папке Application Data пользователя с правами юзера живет ntos.exe
под пользователем с правами админа выполнил 3-й скрипт - промолчал. это нормально?
базы от 11.03.
принтскрин прикрепил, логи могу послать, но там о нем ни слова..

[quote=Karlson;202574]Подскажите пожалуйста.
в папке Application Data пользователя с правами юзера живет ntos.exe
под пользователем с правами админа выполнил 3-й скрипт - промолчал. это нормально?
базы от 11.03.
принтскрин прикрепил, логи могу послать, но там о нем ни слова..[/quote]
Там в системе в других местах нет ничего типа catchme.sys или что-нибудь подобнее?

Paul

[quote=p2u;202615]Там в системе в других местах нет ничего типа catchme.sys или что-нибудь подобнее?

Paul[/quote]

не-а..

upd: только что еще раз посмотрел логи - нету вообще ничего, что вызвало бы подозрения...

вот скрины. на первом syscheck из-под юзера, на втором syscure из-под админа. syscure делался перед syscheck-ом.

Похоже, что из под юзера ntos.exe и winlogon.exe (который в Temp-e) не могут запустить свой драйвер и не могут прописаться в глобальную автозагрузку.
А под админом они не активны, т.к. их никто (и ничто) не запускает.

По видимому, AVZ проверяет только глобальную автозагрузку и автозапуск у текущего пользователя.

Можно прокоментировать вот это

[QUOTE]
2. Проверка памяти
Количество найденных процессов: 12
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Файл успешно помещен в карантин (c:\windows\shell.exe)
c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes успешно удален
Количество загруженных модулей: 159
[/QUOTE]
1. svchost.exe помощен в карантин?
2. c:\windows\shell.exe и есть svchost.exe? Похоже что нет, тогда см 1.
3. Если c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes зачем его в карантин, или см 2?

1. Нет. Это эвристика самого первого порядка - по именам файлов. Я не видел, чтобы такие объекты карантинились. Хотя надо бы.
2. Нет, речь именно о shell.exe
3. Видимо, заказано карантинить удаляемые.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Kuzz;202691]По видимому, AVZ проверяет только глобальную автозагрузку и автозапуск у текущего пользователя.[/QUOTE]
Именно. Для обследования других пользователей надо подгружать их NTUSER.DAT.

1. Надобы карантинить.
3. Значит заказано в стандартном скрипте сбора/лечения. Баг?

[quote=pig;203442]Именно. Для обследования других пользователей надо подгружать их NTUSER.DAT.[/quote]
а можно про вот это поподробнее?
а то все цепляют гадость под юзерами, а лечить приходится под админом..

[QUOTE=Karlson;203855]а можно про вот это поподробнее?
а то все цепляют гадость под юзерами, а лечить приходится под админом..[/QUOTE]

Подключать NTUSER.DAT нужно будет если вы лечите из под liveCD, а если из под администратора, то нужно смотреть вручную всех пользователей в HKEY_USERS.

[quote=zerocorporated;203994]Подключать NTUSER.DAT нужно будет если вы лечите из под liveCD, а если из под администратора, то нужно смотреть вручную всех пользователей в HKEY_USERS. Вы можете узнать какому разделу соответствует каждый пользователь посмотрев HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist - в этом разделе данные по всем подключенным кустам реестра.[/quote]
Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ

[quote=Зайцев Олег;203995]Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ[/quote]
Думаю, что такой функционал не помешал бы (для удобства просто)...

Paul

[QUOTE=zerocorporated;203994]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist - в этом разделе данные по всем подключенным кустам реестра.[/QUOTE]
Если пользователь не в системе, его личный куст не загружен.

[quote=Зайцев Олег;203995]Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ[/quote]
я думаю будет полезно.