Прямое чтение - это чтение в обход файловой системы. Непосредственно с диска на физическом уровне. Применяется тогда, когда система не пускает читать файл обычным образом.
Printable View
Прямое чтение - это чтение в обход файловой системы. Непосредственно с диска на физическом уровне. Применяется тогда, когда система не пускает читать файл обычным образом.
[QUOTE=drol;172834]Олег, я человек не сведущий в антивирусных отчетах. Подскажите, что значит «Прямое чтение C:\Documents and Settings\Олег\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temporary Internet Files\Content.IE5\index.dat” С уважением.[/QUOTE]
Прямое чтение означает, что обычным способом считать данные не удалось (использовались чем-то) и AVZ применяет "Прямое чтение".
Основано оно на том, что AVZ получает список кластеров где расположена информация и пытается считать информацию с этих кластеров.
Упс... ответечали уже.
[QUOTE=Зайцев Олег;172755]Как не работает ?[/QUOTE]Просто не работает. Применял в нескольких темах для зачистки мусора. Связка SysCleanAddFile + ExecuteSysClean справилась.
[quote=borka;172712]Может, я чего-то не понял, но файл avz.hlp лежит рядом с экзешником...[/quote]
Еще раз посмотрел архив. Лежит там родненький, вместе с avz.cnt.
Выходит незаметно для себя avz.hlp затер.
Спасибо за помощь
Нельзя ли, чтобы AVZ как-то выводил следующие строки в логах?
[url]http://virusinfo.info/showthread.php?t=16621[/url]
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{150DB5AC-1F8A-4229-8630-0D0F9EB5F992}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D640CCF-615A-4753-ADBB-634355DEEC8D}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DE5C1B6-A6CC-49A7-83AE-CA0AB863D00E}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD25A1B6-029A-4888-8BB7-686C2896D834}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68[/code]
А то пользователь сразу сказал, что серверы не его... начали искать - Trojan.DNSChanger - как и ожидалось
Вызываю "Исследование системы". Запускаю. По окончании спрашивает "Показать протокол". Отвечаю YES и.... ничего не показывается. Сам протокол на диске есть, ассоциация на HTM живая и назначена на IE.
Баг?!
У меня так же :(
Угу. Если браузер по умолчанию - не IE, то не открывает. Приходися через контекстное меню, либо Файл-Открыть...
У меня вопрос возник, может подскажет кто.
Работают ли такие комбинации:
[code]DeleteFileMask('папка', 'файлмаска', false);
BC_ImportDeletedList[/code]
Т.е. все удаляемые файлы будут импортировать в BC? И удаляться при загрузке, если по хорошему не вышло?
И второй:
[code]DeleteFileMask('папка', 'файлмаска', false);
ExecuteSysClean[/code]
Будет ли проводиться чистка удаляемых файлов?
[quote=rubin;175591]У меня вопрос возник, может подскажет кто.
Работают ли такие комбинации:
[code]DeleteFileMask('папка', 'файлмаска', false);
BC_ImportDeletedList[/code]
Т.е. все удаляемые файлы будут импортировать в BC? И удаляться при загрузке, если по хорошему не вышло?
И второй:
[code]DeleteFileMask('папка', 'файлмаска', false);
ExecuteSysClean[/code]
Будет ли проводиться чистка удаляемых файлов?[/quote]
Да, в теории должно работать. DeleteFileMask по сути цикл поиска файлов по заданным условим + вызов DeleteFile для всех найденных
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=rubin;174835]Нельзя ли, чтобы AVZ как-то выводил следующие строки в логах?
[URL]http://virusinfo.info/showthread.php?t=16621[/URL]
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{150DB5AC-1F8A-4229-8630-0D0F9EB5F992}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D640CCF-615A-4753-ADBB-634355DEEC8D}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DE5C1B6-A6CC-49A7-83AE-CA0AB863D00E}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD25A1B6-029A-4888-8BB7-686C2896D834}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68[/code]
А то пользователь сразу сказал, что серверы не его... начали искать - Trojan.DNSChanger - как и ожидалось[/quote]
Нельзя - многие пользователи считают такие настройки конфиденциальными (в корпоративной среде как может и быть), и "засветка" в логах адресов DNS, прокси, прочих настроек начиная с IP адреса и т.п. часто воспринимается весьма отрицательно.
[QUOTE=Зайцев Олег;175618]
Нельзя - многие пользователи считают такие настройки конфиденциальными (в корпоративной среде как может и быть), и "засветка" в логах адресов DNS, прокси, прочих настроек начиная с IP адреса и т.п. часто воспринимается весьма отрицательно.[/QUOTE]
Ну так выводить хоть первые два числа адреса, а вместо остальных звездочки
Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?
[quote=Geser;176973]Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?[/quote]
Это Win2k? Там вроде есть особенность - запуск идёт и из подпапок ключа Run.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Тьфу, посмотрел. В тваоих данных не видно, откуда она запускается. То есть это OLE-сервер. А какая програма его запускает - непонятно. Поищи по рестру 5C68BFD9-83A2-4DB9-983E-A2BC5E876E56 и 76826D50-F6EB-43A0-BC6D-4F43479CA75B
Если найдёшь - повезло.
Но похоже, что это часть InstallShield и запускает его какой-то стартер от InstallShield. Гм, не проще ли в самом InstallShield в меню порыться и отключить автоматическое обновление?
В некоторых случаях некорректно отображаются BHO.
Например тут: [url]http://virusinfo.info/showpost.php?p=177332&postcount=8[/url]
В логе HijackThis:
[code]O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll[/code]
а в логе AVZ - пустышка, т.е. выведен только CLSID, а файла и описания нет. Если файл в базе безопасных, то этой строки в логе совсем не должно быть.
чем отличаются параметры командной строки NW и NQ?
В описаниях параметров есть только описание параметра NQ. А в примерах (например "Заготовка скрипта для сканирования сети") есть параметр NW:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\netscan.avz
и в описании примера дается описание параметра NW, идентичное параметру NQ.
Зачем тогда два этих параметрв в командой строке?
Сегодня делал автокарантин.
Получил следующие ошибки:
[CODE]Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)[/CODE]
При выполнении такого скрипта:
[CODE]
begin
RunScan;
ExecuteStdScr(3);
end.
[/CODE]
Наблюдается наползания кнопки "Пуск" на кнопку "Прервать работу скрипта"
При карантине файлов, опознанных AVZ как безопасные, они естественно в карантин не попадают, но ini-файл так же создается. Нельзя в такой файлик вносить пометку - "safe" или нечто подобное? Чтобы не гадать, просто не закарантинилось или AVZ опознал...
Заранее извиняюсь, если пишу не туда, куда надо, если что - ткните носом, куда можно подобные вопросы задавать.
Вопрос первый. Имеется система (W2K Pro), в которой точно что-то сидит, потому как при выходе в интернет (dial-up'ном) процесс System открывает кучу соединений. Ни один из инструментов AVZ ничего подозрительного не показывает. Загрузка процессора скачет от 0 до 100 процентов и обратно, процессорное время занимает все тот же System. Можно ли как-то узнать, кто виноват? Что может дать в этом случае расчет MD5, проверяются ли эти контрольные суммы по базе безопасных файлов? Есть ли способ проверить цифровую подпись системного файла Windows? Или это не имеет смысла, за изменением системных файлов следит SFC?
Вопрос второй. Есть ли в AVZ возможность выполнить сканирование диска на предмет наличия файлов с альтернативными data streams?
Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?
Лог-файлы в данную минуту прицепить не могу, до интересующей меня системы не добраться. Но если без них никак - обязательно сделаю. Если где-то здесь есть раздел, где отвечают на вопросы по AVZ - отправьте туда (сходу не нашел).
Заранее спасибо.
[quote=Иван Шацкий;179157]Заранее извиняюсь, если пишу не туда, куда надо, если что - ткните носом, куда можно подобные вопросы задавать.
Вопрос первый. Имеется система (W2K Pro), в которой точно что-то сидит, потому как при выходе в интернет (dial-up'ном) процесс System открывает кучу соединений. Ни один из инструментов AVZ ничего подозрительного не показывает. Загрузка процессора скачет от 0 до 100 процентов и обратно, процессорное время занимает все тот же System. Можно ли как-то узнать, кто виноват? Что может дать в этом случае расчет MD5, проверяются ли эти контрольные суммы по базе безопасных файлов? Есть ли способ проверить цифровую подпись системного файла Windows? Или это не имеет смысла, за изменением системных файлов следит SFC?
Вопрос второй. Есть ли в AVZ возможность выполнить сканирование диска на предмет наличия файлов с альтернативными data streams?
Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?
Лог-файлы в данную минуту прицепить не могу, до интересующей меня системы не добраться. Но если без них никак - обязательно сделаю. Если где-то здесь есть раздел, где отвечают на вопросы по AVZ - отправьте туда (сходу не нашел).
Заранее спасибо.[/quote]
Если Firewall отсутствует, то при соединении с Инет может происходить что угодно, например ПК может атаковываться из сети эксплоитами.
MD5 даются для справки, чтобы идентифицировать файл. AVZ плюс к этому проверяет файлы по базе ЭЦП MS и собственной базе чистых. Вручную эта проверка запускается из меню для указанного файла.
AVZ проверяет ADS, если включена максимальная эвристичка и расширенная проверка, то найдя ADS содержащий исполняемый файл он выдает сообщение в логе.
AVZPM может регистрировать драйвера от CD эмуляторов и тп, нужно разбираться конкретно