AVZ 4.29

[quote=Зайцев Олег;179166]Если Firewall отсутствует, то при соединении с Инет может происходить что угодно, например ПК может атаковываться из сети эксплоитами.[/quote]

В данном случае причина точно внутри компьютера. Может ли какой-то Firewall помочь определить, какой из модулей пространства ядра инициирует соединения?

[quote=Зайцев Олег;179166]MD5 даются для справки, чтобы идентифицировать файл. AVZ плюс к этому проверяет файлы по базе ЭЦП MS и собственной базе чистых. Вручную эта проверка запускается из меню для указанного файла.[/quote]

Может быть, я не очень понятно спросил, попробую еще раз: AVZ хранит в собственной базе чистых файлов MD5? Рассчет MD5 может помочь мне найти модифицированный системный файл?

[quote=Зайцев Олег;179166]AVZ проверяет ADS, если включена максимальная эвристичка и расширенная проверка, то найдя ADS содержащий исполняемый файл он выдает сообщение в логе.[/quote]

А возможно ли (теоретически) написать для этого (для поиска ADS) скрипт?

Ваши проблемы можно решить невероятно просто. Достаточно выполнить [URL="http://virusinfo.info/showthread.php?t=1235"]правила оформления запроса[/URL].

Хотелось разобраться самому, честно говоря. Ситуация усугубляется тем, что в ближайшее время логи с интересующего меня компьютера я получить не могу. Может, есть более подходящий топик, где можно задавать вопросы на тему методик диагностирования и возможностей AVZ?

[QUOTE=Иван Шацкий;179179]Хотелось разобраться самому, честно говоря.[/QUOTE]Можем разобраться вместе, мне тоже интересно :)
[QUOTE=Иван Шацкий;179179]Может, есть более подходящий топик, где можно задавать вопросы на тему методик диагностирования и возможностей AVZ?[/QUOTE]Нету, но Вы можете это исправить.

[quote=Иван Шацкий;179171]В данном случае причина точно внутри компьютера. 1. Может ли какой-то Firewall помочь определить, какой из модулей пространства ядра инициирует соединения?

2. Может быть, я не очень понятно спросил, попробую еще раз: AVZ хранит в собственной базе чистых файлов MD5? Рассчет MD5 может помочь мне найти модифицированный системный файл?

3.А возможно ли (теоретически) написать для этого (для поиска ADS) скрипт?[/quote]

1. Не нужно этого делать. Нужно оградить ПК от атак извне, это любой Firewall сделает без проблем - отфильтрует и покажет в логе, кто и откуда ломится. Хотя это обычно не интересно - правила FW должны отсекать любую активность кроме той, что мы считаем полезной.
2. AVZ не хранит MD5 в своих базах - у него свои аглоритмы вичисления контрольной суммы, но суть от этого не меняется - изучаемый файл проверяется по базе безопасных, при этом используется контрольная сумма всего файла.
3. Нет. Скриптовой язык AVZ позволяет искать файлы, но для поиска ADS у файла или папки там команд нет

[quote=Maxim;179188]Можем разобраться вместе, мне тоже интересно :)[/quote]

Ладно, убедили, соберу логи по описанной схеме, открою тему в разделе "помогите".

Всем спасибо за ответы.

[quote=Иван Шацкий;179157]Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?[/quote]
Возможно, если стоит alcohol, daemon tools, blind write или подобное.

Олег, а можно все же какие-то комментарии по постам 272,276?

[quote=Surfer;179443]Возможно, если стоит alcohol, daemon tools, blind write или подобное.[/quote]

Daemon Tools стоит, верно...

А с чем связано, не подскажете заради расширения кругозора? Можно попробовать угадать? Потому что и AVZPM, и sptd.sys - драйвера группы "Boot Bus Extender", и второй может загрузиться раньше первого? И для гарантированного отсутствия замаскированных модулей уровня ядра надо, чтобы в системе не было ни одного "левого" драйвера из этой группы? Или глупость сказал?

[quote=Geser;176973]Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?[/quote]
AVZ не показывает в менеджере OLE классы - т.е. если нечто зарегистрировано как класс и не значится как BHO или расширение IE, то оно не найдется. Это один из вариантов

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=Geser;178562]Сегодня делал автокарантин.
Получил следующие ошибки:
[code]Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)[/code][/quote]
Это нормально. В пеорвом случае rundll32.exe в начале, во втором - имя без пути. В случае ручного карантина идет поиск файла, в случае автокарантина поиск тоже идет, но в сокращеном виде. я проверю первый вариант - rundll32.exe в теории делжен отсекаться корректно

[QUOTE=Зайцев Олег;179482]AVZ не показывает в менеджере OLE классы - т.е. если нечто зарегистрировано как класс и не значится как BHO или расширение IE, то оно не найдется. Это один из вариантов

[/QUOTE]

Факт в том что эта программа запускалась при старте Винды. Т.е. это способ автозапуска который АВЗ не контролирует. Т.е. дыра.

Вопрос: можно ли сделать, что бы логи сохранялись так же как карантин - в папках по датам, а не перезаписывались поверх старых. ИМХО удобнее мониторить изменения, пока ревизор не работает..

[B]Олег[/B]

Вот начало проблемы [url]http://virusinfo.info/showthread.php?t=16953[/url]
После того, как я по доверчивости и наивности без бэкапа системстейта (сам виноват :) ) выполнил предлагаемые скрипты, ситуацию это только усугубило. Выполнение скритов из бэкапа AVZ обратно всё не вернуло. Снёс всё и поставил ось ([B]WinServer2003[/B]) заново. Запустил AVZ с драйвером расширенного мониторинга процессов и без него - всё чисто. Накатываю [B]SP2[/B]. Запускаю AVZ без драйвера - норма. Загружаю драйвер ... и опять вижу такие же сообщения

[B][I]>> обнаружена подмена PID (текущий PID=0, реальный = 328)Маскировка процесса с PID=1280, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1280)Маскировка процесса с PID=1624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1624)Маскировка процесса с PID=1812, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1812)Маскировка процесса с PID=1884, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1884)Маскировка процесса с PID=2040, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2040)Маскировка процесса с PID=268, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 268)
Поиск маскировки процессов и драйверов завершен[/I][/B]

Что это?

И ещё вопрос. На этом же компе через локальные групповые политики убираю автозапуск всего, в том числе и CDRom-а. Проверяю - автозапуск не работает. А AVZ меня продолжает предупреждать, что автозапуск с CDRom-а открыт. Кто неправ?

Спасибо.

[quote=Bugnet;179721][B]Олег[/B]

Вот начало проблемы [URL]http://virusinfo.info/showthread.php?t=16953[/URL]
После того, как я по доверчивости и наивности без бэкапа системстейта (сам виноват :) ) выполнил предлагаемые скрипты, ситуацию это только усугубило.
Что это?
.....
И ещё вопрос. На этом же компе через локальные групповые политики убираю автозапуск всего, в том числе и CDRom-а. Проверяю - автозапуск не работает. А AVZ меня продолжает предупреждать, что автозапуск с CDRom-а открыт. Кто неправ?

Спасибо.[/quote]

Нельзя так баловаться с сервером ... в указанной теме кто-то сообщил хелперам о том, что это сервер ? Я не заметил ... Естественно, что удаление политик на сервере с активным IPSec приведет к отключению Инет, в этом нет ничего удивительного.
AVZ проверяет глобальный флаг автозапуска с CDRom, потому он и сообщает о том, что автозагрузка возможна.

[quote=Зайцев Олег;179729]... в указанной теме кто-то сообщил хелперам о том, что это сервер ? Я не заметил ... [/quote]
Так я ж без всяких то претензий. :)
(Но в каждом из логов есть строка об оси и сервис паках. ;)
Но любой мог и не заметить).

Так а что с маскировкой процессов?
Это нормально для Win2k3 c SP2 или это мой уникальный случай?

Спасибо.

[quote=Bugnet;179742]Так я ж без всяких то претензий. :)
(Но в каждом из логов есть строка об оси и сервис паках. ;)
Но любой мог и не заметить).

Так а что с маскировкой процессов?
Это нормально для Win2k3 c SP2 или это мой уникальный случай?

Спасибо.[/quote]
Да причем тут претензии - просто перед [b]любым[/b] шаманством с серверной осью крайне желательно забекапить ее целиком (скажем акронисом или чем-то подобным, бекап всего системного раздела). Иначе легко дойти до format c: :) А хелперам лучше сообщать в явном виде, что это сервер - версию в логе легко и не заметить ... а для сервера многие вещи опасны, например удаление политик для сервака чревато (скрипт номер 6 AVZ), а вот для обычной операционки безопасно.
По поводу маскировки - на сервере такое часто бывает, это не опасно. Просто там есть фоновая активность, скажем процесс X может запуститься и завершиться, а в ходе скана это будет воспринять как маскировка. Чаще всего такое проявляется на Win2k3, причем далеко не всегда - например, на моих серверах с Win2k3 такого эффекта не наблюдается.

Олег, есть ли возможность с помощью АВЗ при перезагрузке заменить зараженный системный файл на чистую копию? (человек мне говорил, что не мог вылечить его сканерами в безопасном режиме. подменил на чистый, загрузившись с лайф-диска.)

[code]begin
// Переименовываем зараженный файл
RenameFile('root\file.exe', 'root\file.bak');
// Копируем из указанного места здоровый файл
CopyFile('root\clean\file.exe', 'root\file.exe');
// Удаляем зараженный
BC_DeleteFile('%windir%\system32\file.bak');
BC_Activate;
RebootWindows(true);
end.[/code]
Не пойдет?

Здравствуйте! Такая беда. После скана дисков программой AVZ перестали читаться R и RW диски (самописные, не "фабричные", так как "фабричные" читаются), которые раньше читались нормально. Такая же история на другом компе. Как быть?

[quote=Karlson;179592]Вопрос: можно ли сделать, что бы логи сохранялись так же как карантин - в папках по датам, а не перезаписывались поверх старых. ИМХО удобнее мониторить изменения, пока ревизор не работает..[/quote]

или может приписывать к папке номер (имя ПК).. а то если обходишь компы с флешкой или с сетевого диска зпускаешь, логи перезаписываются...