[QUOTE=Muffler;116008]Просьба пофиксить:[/QUOTE]
И заодно - грамматическую ошибку ([B]succesfully[/B] -> [B]successfully[/B]).
Printable View
[QUOTE=Muffler;116008]Просьба пофиксить:[/QUOTE]
И заодно - грамматическую ошибку ([B]succesfully[/B] -> [B]successfully[/B]).
[quote=aintrust;116009]грамматическую ошибку ([B]succesfully[/B] -> [B]successfully[/B]).[/quote]
Пофиксим.
[quote=Kuzz;106660]На свежеустановленой системе, без какого-либо установленого постороннего софта (установка по умолчанию, все роли выключены) АВЗ выдал 8 таких сообщений.
Через минут 5-7 таких строчек уже 12.[/quote]
Я погонял Процесс Хантер, и среди юзермодных методов обнаружения скрытых процессов нашлось 2, выдающих те-же "скрытые процессы".
Это "Search threads handles" и "Search processes handles".
Они (методы) базируются на переборе всех хендлов?
А вообще ситуация напоминает [url]http://virusinfo.info/showthread.php?t=10364[/url]
[QUOTE=Kuzz;116189]Они (методы) базируются на переборе всех хендлов?[/QUOTE]
Они базируются на методиках, описанных в статье [URL="http://www.wasm.ru/article.php?article=hiddndt"]Обнаружение скрытых процессов[/URL].
[QUOTE=Kuzz;116189]А вообще ситуация напоминает [url]http://virusinfo.info/showthread.php?t=10364[/url][/QUOTE]
Да, это именно она...
Скажите, плз, как читать данную тему через RSS - у меня постоянно слетает подписка?
Прочитал вот это [url]http://virusinfo.info/faq.php?s=&do=search&q=RSS&match=all&titlesonly=0[/url] , но то, что там описано, у меня не работает...
Здравствуйте Олег, AVZ до сих пор не умеет лечить Win32.neshta.a
Сегодня попробую прислать его Вам на соответствующий раздел сайта.
Иногда получаю такое сообщение:
[URL=http://imageshack.us][IMG]http://img248.imageshack.us/img248/227/untitled1lt1.png[/IMG][/URL]
Такое бывает, если ранее велась интенсивная работа с приводом DVD (писал, читал диски, открывал с диска документы, архивы). Это нормально?
[QUOTE=SuperBrat;116836]Иногда получаю такое сообщение:
[URL=http://imageshack.us][IMG]http://img248.imageshack.us/img248/227/untitled1lt1.png[/IMG][/URL]
Такое бывает, если ранее велась интенсивная работа с приводом DVD (писал, читал диски, открывал с диска документы, архивы). Это нормально?[/QUOTE]
Это глюк. Причина - поиск файла Autorun.Inf на дисках. В 4.26 есть фича, позволяющая отличать HDD от CD/DVD, в 4.25 ее нет.
Олег, версия 4.26 уже выпущена?
[QUOTE=SuperBrat;116887]Олег, версия 4.26 уже выпущена?[/QUOTE]
Еще нет - в стадии пререлиза, скоро выйдет.
[QUOTE=Зайцев Олег;116897]Еще нет - в стадии пререлиза, скоро выйдет.[/QUOTE]
Олег, глюки с переводом на английский будут пофикшены ? Может какой-нибудь пререлиз английский всё-таки на тему корректности перевода есть смысл потестить ?
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
2. Передает данные процессу: 848 C:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
3. Выясняет, какое окно находится в фокусе ввода
4. Опрашивает состояние клавиш
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.67% похож на типовой перехватчик событий клавиатуры/мыши
[QUOTE=RiC;116917]Олег, глюки с переводом на английский будут пофикшены ? Может какой-нибудь пререлиз английский всё-таки на тему корректности перевода есть смысл потестить ?[/QUOTE]
Постараюсь в пятницу такой пре-релиз сделать
[QUOTE=MAZIAK;117077]5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
2. Передает данные процессу: 848 C:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
3. Выясняет, какое окно находится в фокусе ввода
4. Опрашивает состояние клавиш
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.67% похож на типовой перехватчик событий клавиатуры/мыши[/QUOTE]
Типовой эвристический анализ поведения DLL-кейлоггера - а что собственно не так ?
PS: Кстати, PuntoSwitcher я хотел убрать из базы безопасных из-за того, что в нем есть отключаемая фича кейлоггера.
AVZ отличная программа. От все других подобных!
Но думаю в логе выделять _красным_ такое не стоит:
--------------------------------
Функция NtCreateFile (25) перехвачена (80557C20->F4E54460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateKey (29) перехвачена (8055E60F->F4E5CBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcess (2F) перехвачена (805A7DCD->F4D94A20), перехватчик D:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (80574107->F4D94B90), перехватчик D:\WINDOWS\System32\drivers\klif.sys
----------------------------------
И кстати, если во время работы AVZ переключится в текстовый редактор, то в нём появляется "...testtest........" или что-то подобное.
А Punto 2.9 после работы AVZ 4.25 у меня перестает переключать расскладку автоматически в WinXP :(
[QUOTE=tar;117469]AVZ отличная программа. От все других подобных!
Но думаю в логе выделять _красным_ такое не стоит:
--------------------------------
Функция NtCreateFile (25) перехвачена (80557C20->F4E54460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateKey (29) перехвачена (8055E60F->F4E5CBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcess (2F) перехвачена (805A7DCD->F4D94A20), перехватчик D:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (80574107->F4D94B90), перехватчик D:\WINDOWS\System32\drivers\klif.sys
----------------------------------
И кстати, если во время работы AVZ переключится в текстовый редактор, то в нём появляется "...testtest........" или что-то подобное.
А Punto 2.9 после работы AVZ 4.25 у меня перестает переключать расскладку автоматически в WinXP :([/QUOTE]
Перехваты выделены и подсвечены правильно ... это же перехват, AVZ его и констатирует (но не делает выводов о вредоносности или полезности - это должен делать человек). По поводу появления слова "test" см. в FAQ ([url]http://www.z-oleg.com/secur/avz_doc/faq_12.htm[/url]), проблемы в работе Punto 2.9 для меня малообъяснимы, видимо какой-то глюк в этой программе ...
Punto и без AVZ время от времени подглюкивает. Как любой сторонний клавиатурный перехавтчик-обработчик.
[QUOTE=Зайцев Олег;117474]Перехваты выделены и подсвечены правильно ... это же перехват, AVZ его и констатирует (но не делает выводов о вредоносности или полезности - это должен делать человек).[/QUOTE]
[U]В качестве предложения[/U]: мне кажется, что во время обсуждения всей этой цветовой раскраски мы говорили о том, что перехваты, сделанные "безопасными" объектами, не стоит выделять красным в финальном логе. Как и в случае с процессами/модулями, есть смысл выделять их в соответствии с их принадлежностью к классу "безопасности" (в данном случае - видимо черным и/или зеленым).
[QUOTE=aintrust;117514]перехваты, сделанные "безопасными" объектами, не стоит выделять красным в финальном логе.[/QUOTE]
А откуда ты знаешь, что под этим перехватом нет вредоносного? Там же всё цепочкой идёт...
В "стандартные скрипты", если ничего не отмечать и нажать "выполнить отмеченные скрипты", вылезает ошибка - "Не отмечено ни одной операции восстановления"