Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.
Printable View
Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.
[QUOTE=Geser;97301]Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.[/QUOTE]
Такое возможно, но тормозить будет (если глобально делать). А вот если в рамках исследования системы - другое дело.
[QUOTE=Зайцев Олег;97303]Такое возможно, но тормозить будет (если глобально делать). А вот если в рамках исследования системы - другое дело.[/QUOTE]
Там один из логов это сканирование системного диска, если я не ошибаюсь. Вот там добавить проверку подписей. Медленно, за то надёжно :)
Подскажите, плз, как убрать червей из памяти - никак не могу автозагрузку отключить - опять появляются. Вроде и из диспетчера задач удалял и всё такое...
Дайте ссылку, плз, если есть инструкция подходящая.
Спасибо :)
[quote=Nick222;97408]Подскажите, плз, как убрать червей из памяти..[/quote]
Это вам в [URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите![/URL]
что-то шрифт какой-то нестандартный в авз
[URL=http://img206.imageshack.us/my.php?image=tmpsm5.png][IMG]http://img206.imageshack.us/img206/236/tmpsm5.th.png[/IMG][/URL]
[QUOTE=maXmo;97459]что-то шрифт какой-то нестандартный в авз
[URL=http://img206.imageshack.us/my.php?image=tmpsm5.png][IMG]http://img206.imageshack.us/img206/236/tmpsm5.th.png[/IMG][/URL][/QUOTE]
Шрифт стандартный - MS Sans Serif, 10 pt. Он крупнее системного, так как системный - 8. Сделано специально, чтобы зрение не портить ... Хотя это можно сделать опциональной фичей
[QUOTE=Geser;97304]Там один из логов это сканирование системного диска, если я не ошибаюсь. Вот там добавить проверку подписей. Медленно, за то надёжно :)[/QUOTE]
Есть еще более красивое решение - патчится таким образом только 2-3 файла (iexplorer, ndis.sys в частности). Для них можно сделать микропрограмму эвритической проверки и выводить в лог предупреждение.
Сегодня 2-3 а завтра больше. МИкропрограмму можно сделать независимо и запускать при обычном сканировании. А когда запускается скрипт проверки для раздела "Помогите" лучше все проверять.
Вопрос такой - при запущенной AVZ курсор стоит или в ТоталКоммандере или там в Excel. Периодически проявляется самопроизвольный набор строки вида "testtesttesttesttesttesttesttesttest". Грешил на троянов, келоггеров, шуток. Обсканировался всем, чем можно. Ни хрена не нашел. Заметил три раза, что только при висящей в памяти AVZ происходит. Это то, о чем я думаю? Или просто известная фишка, про которую я не знаю?
Готов понести заслуженное наказание, если не в тему. Но вот такая ситуация имеет место быть и есть подозрение на утилиту. Автора ни в чем не виню и никогда винить не собираюсь....
Это АВЗ провоцирует кейлогеры, посылая программам тестовую строку как нажатия клавиш.;)
угу...причем сама ни одного не показывает
[QUOTE=Alvares;97516]угу...причем сама ни одного не показывает[/QUOTE]
Я это в FAQ прописал. Как правильно отметил выше [B]Kuzz[/B], это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.
Было бы здорово, чтобы при помощи скрипта можно было бы дать команду искать (например имя файла)по реестру из авз, и конечно сохранялся бы лог найденного. Hу а если не найдётся, то уведомление об этом.
[QUOTE=Зайцев Олег;97522]Я это в FAQ прописал. Как правильно отметил выше [B]Kuzz[/B], это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.[/QUOTE]
ага даже постоянно замечаю смену расскладки в пунто свитче, при сканировании..
NO-REG писал:
[quote]Может и это будет и лишняя работа, но лично я считаю что было бы неплохо добавить в раздел Файл> Восстановление системы 16-й пункт «Восстановить базовые сервизы» или аналогичный скрипт. Иногда очень устаешь от воплей «ВИРУС!!! ТРОЯН!!! ПЕРЕУСТАНОВКА ВИНДЫ!!!» и т.д. когда достаточно просто восстановить службы после «КРИВЫХ РУК!!!» и «ТУПИКОВОЙ ИЗВИЛИНЫ!!!»
Когда-то что-то похожее попадалось толи на JS, толи VBS, но сейчас ничего похожего не нахожу. Может на AVZ пойдёт? [/quote]
[QUOTE=drongo;97557]Было бы здорово, чтобы при помощи скрипта можно было бы дать команду искать (например имя файла)по реестру из авз, и конечно сохранялся бы лог найденного. Hу а если не найдётся, то уведомление об этом.[/QUOTE]
В новой версии это уже реализовано - универсальный поиск по реестру из скриптов (искать можно глобально, в указанной ветке).
[QUOTE=Зайцев Олег;97522]Я это в FAQ прописал. Как правильно отметил выше [B]Kuzz[/B], это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.[/QUOTE]
Спасибо за разъяснения. Теперь ясно на кого грешить :) На "КРИВЫЕ РУКИ" и "ТУПИКОВУЮ ИЗВИЛИНУ". Сорри за беспокойство:*
[SIZE=2]Простите, что беспокою из-за мелких беспорядков... :)
1. Приложение есть в списке Автозапуска, но нет в логе сканирования.
2. "Менеджер расширений проводника" показывает не всё (читал о подобном в предыдущей теме по AVZ). Точнее - выводит список HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ Но до последних пор показывал все ContextMenuHandlers.
(Кстати, перестали показывать и все другие программы, имеющие такую функцию (числом до 20), - за исключением StartupList'а.
То же самое относится к Расширениям ИЭ: теперь AVZ опять показывает всех, но последние две недели выводил только BHO, а модули расширения - нет. Правда, в указанный период все другие тоже перестали показывать расширения, за исключением той же программы.
Видимо, дело в беспорядке в моём реестре.)
[/SIZE]
Можно ли где нибудь в AVZ меню/Справка/О Программе разместить информацию о "свежести" установленных баз.(Суммарное количество сигнатур + дата последнего обновления)
Например, как у Вас на сайте:
[quote]
Версия: 4.23
База: от 01.03.2007
Сигнатуры: 90924
Нейропрофили: 2
МП эвристики: 367
МП лечения: 55
МП восстановления: 15
База безопасных: 56670[/quote]