Можно запретить киберхелперу писать со смайликами. То-есть ставить галку в форме "Отключить смайлы в тексте".
Printable View
Можно запретить киберхелперу писать со смайликами. То-есть ставить галку в форме "Отключить смайлы в тексте".
[quote=AndreyKa;347672]Во-первых это AVP Tool включает в себя AVZ, а не наоборот.
Во-вторых найденные объекты были удалены.[/quote]
[SIZE=3][FONT=Calibri]Я прекрасно понимаю, что в это трудно поверить поэтому, не буду оправдываться, а просто приведу скан этого же диска проведенного мной сегодня программой kav_rescue CD. [/FONT][/SIZE]
[SIZE=3][FONT=Calibri]Как видим все вирусы на месте, и никто их не удалял.[/FONT][/SIZE]
[SIZE=3][FONT=Calibri]Так что вопрос остается открытым.[/FONT][/SIZE]
PS Я только что обнаружил, что на тестовом компьютере сбита дата и время, поэтому первый тест датирован
Start time: 2/12/2009 6:48:57 PM
А вторай 2/13/09 11:25 PM Task started
прошу не возмущаться.
[quote=Aleksandr49;348079]Я прекрасно понимаю, что в это трудно поверить поэтому, не буду оправдываться, а просто приведу скан этого же диска проведенного мной сегодня программой kav_rescue CD.
Как видим все вирусы на месте, и никто их не удалял.
Так что вопрос остается открытым.[/quote]
А собственно в чем вопрос ?
[QUOTE]А собственно в чем вопрос ?[/QUOTE]
если соотносить с подобным вопросом выше, то смысл примерно такой: "Почему АВЗ не видит малваре, которое видит каспер?".
[quote=AndreyKa]Во-вторых найденные объекты были удалены. [/quote]
Виноват, ошибся, выдал ожидаемое за действительное.
[quote=priv8v;348081]если соотносить с подобным вопросом выше, то смысл примерно такой: "Почему АВЗ не видит малваре, которое видит каспер?".[/quote]
Это смысл вопроса, но не смысл смысла вопроса :) Судя по логу основная часть файлов - из карантина NIS, они там без расширения и вдобавок криптованы - AVZ их в любом случае не увидит. Что до остального - то там неясно, что живое, что мертвое - собственно AVZ это средство исследования, а не универсальная убивалка (иначе бы размер AVZ был мегабайт на 15 больше)
[quote=Зайцев Олег;348090]- собственно AVZ это средство исследования, а не универсальная убивалка (иначе бы размер AVZ был мегабайт на 15 больше)[/quote]
Большое спасибо за разъяснения, это как раз то, что я и ожидал услышать от профессионалов.
[QUOTE=Aleksandr49;348095]Большое спасибо за разъяснения, это как раз то, что я и ожидал услышать, но от профессионалов.[/QUOTE]
Эффектно сказано! Ну если здесь не профессионалы то вероятней всего Вы форумом ошиблись...
[QUOTE=Jolly Rojer;348126]Эффектно сказано! Ну если здесь не профессионалы то вероятней всего Вы форумом ошиблись...[/QUOTE]
...или абсолютно не понимает о чём говорит.:censored:
[quote=chas99;347833]сегодня попал в ситуацию... в AVZ запустил Ревизор и получил снимок системы, потом обновил КАВ с флешки на которой были базы от 08.02.09 и получил сообщение о зараженном svchost.exe выбрал пропустить! запустил Ревизор и запустил сравнение в результате AVZ выдал что svchost.exe изменился - вопрос почему?[/quote]
читаем [URL="http://forum.kaspersky.com/index.php?showtopic=103734&st=0&start=0"]тут[/URL]
[quote=Jolly Rojer;348126]Эффектно сказано! Ну если здесь не профессионалы то вероятней всего Вы форумом ошиблись...[/quote]
Подправил, вы просто меня не поняли.
Олег, есть просьбы и отзывы от английских коллег:
1) напоминают о просьбе включить в протокол исследования системы список файлов, созданных за последний месяц,
2) просят добавить в форму поиска файлов возможность выбора готового временного промежутка (30 дней, 60 дней, 90 дней),
3) сообщают, что по какой-то причине на их версиях операционных систем (виртуальные и реальные XP и Vista) поиск файлов, созданных за последний месяц, заканчивается нулем. Я проверял; у меня все работает, у них - нет (воспроизвелось на двух разных компьютерах).
Вот вопрос - привилегия "отладка" улудшает возможности avz по борьбе с хуками не под администратором?
И чтобы два раза не всавать :) а возможности вирусов?
[quote=UFANych;348692]Вот вопрос - привилегия "отладка" улудшает возможности avz по борьбе с хуками не под администратором?
И чтобы два раза не всавать :) а возможности вирусов?[/quote]
Нет, не совсем - кроме этой привилегии нужно еще несколько, аналогично и у зловреда. Но эта привилегия является ключевой для ряда операций, таких как остановка системного процесса и запись в память других процессов, поэтому ее наличие у юзера - серьезная "дырка" в защите системы
[quote=chas99;347833]сегодня попал в ситуацию... в AVZ запустил Ревизор и получил снимок системы, потом обновил КАВ с флешки на которой были базы от 08.02.09 и получил сообщение о зараженном svchost.exe выбрал пропустить! запустил Ревизор и запустил сравнение в результате AVZ выдал что svchost.exe изменился - вопрос почему?[/quote][URL="http://virusinfo.info/showpost.php?p=348206&postcount=690"]Выше[/URL] [B]Hanson[/B] дал ссылку по поводу фолса, а [URL="http://forum.kaspersky.com/index.php?showtopic=103004&view=findpost&p=878475"]изменился из-за попытки записи[/URL].
Ещё позанудствую на старую тему.
[url]http://virusinfo.info/showpost.php?p=349873&postcount=14[/url]
[quote]Сменился профиль пользователя - началось все с начала....[/quote]
a1822,Работы ведутся. Менеджер авторанов уже должен работать по всем пользователям/профилям (можно проверить, скачав версию в моей подписи).
[quote=drongo;350144]a1822,Работы ведутся. Менеджер авторанов уже должен работать по всем пользователям/профилям (можно проверить, скачав версию в моей подписи).[/quote]
Ага, вижу, показывает вроде. Вообще занятная штука, скорей бы уже релиз...
Извиняюсь, если этот вопрос уже поднимался но я только на днях столкнулся с компьютером- заблокирован редактор реестра, диспетчер задач, безопасный режим, при запуске AVZ он тут же прибивается.
Первый раз окно AVZ появляется на 1 секунду, потом вообще процесс не стартует. Понятно, что переименовывание avz.exe не помогает (вообще нет возможности запустить AVZ так же как CureIt или Process Explorer). Nod32 убивается, так же как Avira Antivir (можно установить но потом они не работают).
Скан с LiveCD Windows CureIt показал наличие нескольких малварей
( там точно был один файловый, не помню как называется, он заражал все .exe), один из вирей записывал себя в планировщик windows, (я все-таки смог 1 раз чудом стартануть AVZ предварительно сняв перехваты и поубивав несколько сервисов gmer'ом и rootkit unhooker'ом, разлочить редактор реестра, и убедиться в присутствии Net-Worm.Win32.Kido.*), разблокировать безопасный режим но малварь работала и там и так же прибивала AVZ, вообщем больше я ничего не смог сделать. Что можете посоветовать в такой ситуации когда малварь целенаправленно не дает работать антивирусным средствам? Спасибо.
Ну для начала вам в [URL="http://virusinfo.info/forumdisplay.php?f=46"]помогите[/URL], судя по количеству ваших сообщений вы это знаете.
Скачайте AVZ у меня из подписи и попробуйте запустить его. AVPTool ещё есть...
Тут обсуждение программы, а не помощь в лечении.
[B]light59[/B]
{ Полиморфный AVZ }
Скачал.
[CODE]procedure TForm1.Timer1Timer(Sender: TObject);
var H:HWND;
begin
H:=FindWindow('TApplication','Антивирусная утилита AVZ');
if H<>0 then PostMessage(h, wm_quit, 0, 0)
end;[/CODE]
Может имя окна все-таки поменять?
А то находится и убивается элементарно.
Олег,
занятный кейс с форума Geeks To Go.
Под моим наблюдением шло лечение компьютера, инфицированного вредоносным ПО из семейства Delf, в составе вредоносной BHO DLL и прикрывавшего ее драйвера, оба товарища хорошо видны в протоколе AVZ, который я вкладываю.
Консультант составил для пользователя частично неверный, но в принципе рабочий скрипт:
[CODE]begin
BC_DeleteSvc('iljcgqtu');
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\atl70t.dll','');
DelBHO('{E04BA622-02AB-4AAB-ABA0-F64BB73BAA6E}');
DeleteFile('C:\WINDOWS\system32\atl70t.dll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'bclr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После запуска скрипта оба файла остались на своих местах, причем ни SearchRootkit, ни SetAVZGuardStatus, ни команды Boot Cleaner, судя по косвенным признакам, вообще не смогли отработать. Можно судить об этом хотя бы по тому, что протокол BC (bclr.log) не создался.
Тогда консультант попросил юзера выполнить скрипт для программы ComboFix:
[CODE]KillAll::
Driver::
iljcgqtu
File::
C:\WINDOWS\system32\atl70t.dll
c:\windows\system32\drivers\iljcgqtu.sys
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E04BA622-02AB-4AAB-ABA0-F64BB73BAA6E}]
[/CODE]
После этой процедуры оба файла оказались начисто вытерты со всеми следами, даже BHO не осталось.
Отсюда у меня возникает вопрос: какие такие адские процедуры удаления использует ComboFix, что она смогла справиться там, где не смог даже запуститься Boot Cleaner?
Мы никогда не пересадим англичан на AVZ, если в реальных кейсах они будут видеть, что их любимые инструменты справляются лучше ;)
Просматриваю скрипты написаные хелперами в разделе "Помогите" все строчки вроде понятны(нашёл описание на сайте Олега), кроме одной executerepair(цифра);,
мне понятно что это вызов процедур лечения\восстановления но каких процедур описания не нашёл., эта информация только для хелперов открыта??
[quote=NickGolovko;351301]Олег,
занятный кейс с форума Geeks To Go.
.....
Мы никогда не пересадим англичан на AVZ, если в реальных кейсах они будут видеть, что их любимые инструменты справляются лучше ;)[/quote]
1. Во втором случае стирается драйвер c:\windows\system32\drivers\iljcgqtu.sys, в скрипте AVZ этого нет. Если в регистрации драйвера что-то намудрено (имя драйвера без пути например), то сем файл драйвера не удалится.
2. Есть подозрение, что AVZ работал без прав админа или антивирус на ПК юзера его активно блокировал
Я проверил - у юзера судя по логам стоит McAffee, он детектит BootCleaner как трояна и убивает его. Поэтому BC не сработал вообще !
[QUOTE=vistaorxpmoy;351310]Просматриваю скрипты написаные хелперами в разделе "Помогите" все строчки вроде понятны(нашёл описание на сайте Олега), кроме одной executerepair(цифра);,
мне понятно что это вызов процедур лечения\восстановления но каких процедур описания не нашёл., эта информация только для хелперов открыта??[/QUOTE]
Читайте "Восст. системы." в хелпе. Закрытой И-ции, особенно по скриптам, у нас нет.
[quote=vistaorxpmoy;351310]Просматриваю скрипты написаные хелперами в разделе "Помогите" все строчки вроде понятны(нашёл описание на сайте Олега), кроме одной executerepair(цифра);,
мне понятно что это вызов процедур лечения\восстановления но каких процедур описания не нашёл., эта информация только для хелперов открыта??[/quote]
Это секретная информация, она описана в документации :) [URL]http://www.z-oleg.com/secur/avz_doc/script_executerepair.htm[/URL]
Спасибо)). М-дя надо очки купить, да побольше :)
[quote=Mad Scientist;351253][B]light59[/B]
{ Полиморфный AVZ }
Скачал.
[code]procedure TForm1.Timer1Timer(Sender: TObject);
var H:HWND;
begin
H:=FindWindow('TApplication','Антивирусная утилита AVZ');
if H<>0 then PostMessage(h, wm_quit, 0, 0)
end;[/code]
Может имя окна все-таки поменять?
А то находится и убивается элементарно.[/quote]
Стоит попробовать [B]avz.exe ag=y [/B]
[QUOTE=NickGolovko;351301]
Тогда консультант попросил юзера выполнить скрипт для программы ComboFix:
[/QUOTE]
Да, уж... запуск Combofix, равно как и его деинстал не для слабонервных.
[QUOTE]procedure TForm1.Timer1Timer(Sender: TObject);
var H:HWND;
begin
H:=FindWindow('TApplication','Антивирусная утилита AVZ');
if H<>0 then PostMessage(h, wm_quit, 0, 0)
end;
[/QUOTE]
хоть у меня сейчас и нет делфи компилятора, но мне кажется, что окно АВЗ отрубит это сообщение
[B]Ошибка AVZ Guard: C0000001 [/B]так и остаётся. (Vista sp1+all update).
Объяснение как я понимаю вот это - "(начиная с NT 4.0 и заканчивая Vista Beta 1)".
На без сп всё работает. О чём хоть ошибка??
[QUOTE=Зайцев Олег;351336]Стоит попробовать [B]avz.exe ag=y [/B][/QUOTE]
Как ни пробуй, а вот это - [URL="http://aintrust.blogspot.com/2006_05_01_archive.html"]Утилита AVZ v4.16: некоторые "забавные" особенности[/URL], см. в конце статьи об [I]AVZGuardKill[/I] - работает до сих пор, хотя и прошло уже почти 3 года.
PS. Давно меня тут не было - зашел случайно...
[QUOTE=aintrust;351903]Как ни пробуй, а вот это - [URL="http://aintrust.blogspot.com/2006_05_01_archive.html"]Утилита AVZ v4.16: некоторые "забавные" особенности[/URL], см. в конце статьи об [I]AVZGuardKill[/I] - работает до сих пор, хотя и прошло уже почти 3 года.
PS. Давно меня тут не было - зашел случайно...[/QUOTE]
угу, avz.exe ag=y ни чего не дает, AVZ так же прибивается.
В данный момент AVZ Guard, я думаю, лучше выполняет функцию ограничения прав вредоносных программ во время лечения (мешает им восстанавливать свои файлы и записи в реестре при лечении ОС), чем функцию защиты самой AVZ.
угу. ведь самозащита не является ее целью...
@ [B]kps[/B]
На самом деле - не лучше и не хуже, одинаково посредственно. Обойти защиту AVZGuard так же просто, как и прибить саму AVZ.
[quote=aintrust;360937]@ [B]kps[/B]
На самом деле - не лучше и не хуже, одинаково посредственно. Обойти защиту AVZGuard так же просто, как и прибить саму AVZ.[/quote]
А иначе и не будет ... ведь AVZ часто применяется в системе, где уже есть другие антивирусы (причем он не инсталлируется в систему, а применяется по методике запустил-применил-удалил). И каждый перехват, снятие перехвата или иная самозащитная манипуляция оборачивается лавиной всяких несовместимостей с антивирями, причем чем глубже я лезу в систему, тем выше вероятность, что на некоей системе X с антивирусом Y и Firewall Z возникнет некий глюк (глюк системы, агрессивное реагирование этих антивирусов/Firewall на AVZ вплоть до полной блокировки его работы и т.п.)
[QUOTE]На самом деле - не лучше и не хуже, одинаково посредственно. Обойти защиту AVZGuard так же просто, как и прибить саму AVZ.
[/QUOTE]
если кинуться искать способы убийства АВЗ с гуардом/без гуарда, то получим воз и еще маленькую тележку. Блокировка/удаление файлов, скрытие окна, прощелкивание по кнопкам, закрытие окна и т.д и т.п - причем все это будет на винапи занимать строк 20 от силы - авз не антивирус, против него такие атаки не делают, а если много делают - против этого выпускает Олег соответствующую заплату...
Если запустить avz с параметрами HiddenMode=3 и Script=c:\my_script.txt, а в my_script.txt прописать вызов стандартного скрипта исследования или лечебные процедуры, то активный зловред сможет отследить только по имени процесса? Или окно avz, пусть и невидимое, тоже создаётся и является "красной тряпкой" для вируса?
[QUOTE=Зайцев Олег;360942]А иначе и не будет ... ведь AVZ часто применяется в системе, где уже есть другие антивирусы (причем он не инсталлируется в систему, а применяется по методике запустил-применил-удалил). И каждый перехват, снятие перехвата или иная самозащитная манипуляция оборачивается лавиной всяких несовместимостей с антивирями, причем чем глубже я лезу в систему, тем выше вероятность, что на некоей системе X с антивирусом Y и Firewall Z возникнет некий глюк (глюк системы, агрессивное реагирование этих антивирусов/Firewall на AVZ вплоть до полной блокировки его работы и т.п.)[/QUOTE]
Получается забавная ситуация. Защита в АВЗ не улучшается для совместимости с антивирусами. В то же время антивирусы АВЗ и так мочат.