Исправили с удаленным помощником?
[url=http://i33.fastpic.ru/big/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpg][img]http://i33.fastpic.ru/thumb/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpeg[/img][/url]
Printable View
Исправили с удаленным помощником?
[url=http://i33.fastpic.ru/big/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpg][img]http://i33.fastpic.ru/thumb/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpeg[/img][/url]
[quote="mike 1;1096752"]По словам пользователя после выполнения 7 стандартного скрипта[/quote]Причем здесь стандартный скрипт №7, если система перестала стартовать после Вашего скрипта?
[QUOTE=thyrex;1097269]Причем здесь стандартный скрипт №7, если система перестала стартовать после Вашего скрипта?[/QUOTE]
По словам пользователя система не стартовала после попытки выполнить 7 стандартный скрипт. Я специально этот момент уточнял.
1) [QUOTE]Внимание !!! База поcледний раз обновлялась [B]23.02.2014[/B] [U]необходимо обновить базы[/U] при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в [B]07.02.2014[/B] 18:50:30[/QUOTE]
Может стоит для того случая заменить сообщение на исправьте системную дату или что-то подобное?
2) Если язык для программ не поддерживающих юникод стоит англ., то вот такая вещь
[IMG]http://i33.fastpic.ru/big/2014/0307/a6/98a55bca66b83438a25fe5d45223a4a6.png[/IMG]
3)[URL="http://rghost.ru/52890167"] Вот лог[/URL] со сложной командной строкой. Возможно будет интересен вам для отладки парсинга таких строк.
По этому же логу
[CODE]C:\Windows\system32\drivers\etc\hosts[/CODE]
Думаю вообще не стоит выводить эту строку в лог, как заведомо легальную. Содержимое hosts выводится в другой части лога, там же находится кнопка для вставки команды очищения hosts.
[QUOTE=regist;1098043]
1) Может стоит для того случая заменить сообщение на исправьте системную дату или что-то подобное?
2) Если язык для программ не поддерживающих юникод стоит англ., то вот такая вещь
[IMG]http://i33.fastpic.ru/big/2014/0307/a6/98a55bca66b83438a25fe5d45223a4a6.png[/IMG]
3)[URL="http://rghost.ru/52890167"] Вот лог[/URL] со сложной командной строкой. Возможно будет интересен вам для отладки парсинга таких строк.
По этому же логу
[CODE]C:\Windows\system32\drivers\etc\hosts[/CODE]
Думаю вообще не стоит выводить эту строку в лог, как заведомо легальную. Содержимое hosts выводится в другой части лога, там же находится кнопка для вставки команды очищения hosts.[/QUOTE]
1. В принципе можно что-то смудрить ... при автоанализе это учитывается (там есть дата формирования лога по часам ПК и дата его получения, если первое на сутки больше второго, то значит часы ПК сбиты)
2. Глюк в БД локализации. Поправил, после 16:00 при плановом обновлении баз проблема уйдет
3. Интересно, на ПК, с которого получен лог, есть файл "C:\Disney Interactive Studios\История игрушек\Game-TS3.exe" (парсер рассуждает так - ищет файл с именем "C:\Disney Interactive Studios\История игрушек\Game-TS3.exe", если не находит, то рассуждает, что раз имя не в кавычках, то быть может речь идет о двух разных файлах - "C:\Disney Interactive Studios\История" и "игрушек\Game-TS3.exe".
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[QUOTE=mike 1;1097305]По словам пользователя система не стартовала после попытки выполнить 7 стандартный скрипт. Я специально этот момент уточнял.[/QUOTE]
Случай единичный, видимо какая-то проблема именно в ПК пользователя или в реакции на скрипт
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
[QUOTE=glax24;1096878]Исправили с удаленным помощником?
[url=http://i33.fastpic.ru/big/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpg][img]http://i33.fastpic.ru/thumb/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpeg[/img][/url][/QUOTE]
Да, исправил. Только базу забыл обновить в сборке - исправленная база придет через автоапдейт
1) [quote="Зайцев Олег;1098383"]2. Глюк в БД локализации. Поправил, после 16:00 при плановом обновлении баз проблема уйдет[/quote]
проверил, теперь нормально - строчка полностью на англ.
А самой базы адвари в AVZ пока нет?
2) [QUOTE][B]\\?\[/B]c:\documents and settings\user\desktop\uvs_v382pack_ru\sphknb[/QUOTE]
[URL="http://rghost.ru/52940625"]Сделал лог AVZ [/URL]при запущенном uVS. Проверил физически на диске файла с именем
[CODE]c:\documents and settings\user\desktop\uvs_v382pack_ru\[B]sphknb[/B][/CODE]
нету (создаётся с другим рандомным именем, но не тем, которое в логе AVZ). Собственно вопрос почему AVZ не исправил этот путь?
3) [QUOTE]3. Сканирование дисков
[B]Ошибка[/B] при сканировании каталога (C:\Users\Александр\AppData\Local\Microsoft\Windows\INetCache\Content.Word\, [B]Privileged instruction, 11,[/B]~WRS{DE9BD2A7-850E-4A15-BC31-672EA62BC685}.tmp
[/QUOTE]
Что означает эта ошибка? И как понимаю это не совсем нормально. Сам [URL="http://rghost.ru/52940737"]лог тут.[/URL]
4) Может можно отключить разбиение строк по пробелу при чтение параметров из раздела
[CODE]HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog[/CODE]
Очень часто рвёт пути к файлам при чтение записей оттуда. [URL="http://rghost.ru/52940896"]Вот хороший пример.[/URL]
5) Всё-таки хотелось бы в логе кнопку для удаления ярлыков из папки автозагрузка, например как для случая указанного [URL="http://virusinfo.info/showthread.php?t=155719&p=1095348&viewfull=1#post1095348"]здесь[/URL]
6) На всякий случай ещё раз напомню просьбу выводить в XML лог параметр Is64="" во всех секциях.
7) При просмотре карантина в AVZ хотелось бы чтобы подсвечивалось другим цветом не только название, а вся выделенная строка. А то неудобно смотреть и надо присмотриваться к примеру это смотришь информацию по файлу avz00052.dta или по avz00051.dta
И желательно, чтобы соседние строки, тоже слегка отличались по оттенку [spoiler=примерно так][IMG]http://i58.fastpic.ru/big/2014/0309/ff/3815e04daa7ad9b462335bda8d656dff.png[/IMG][/spoiler]
но это наверно пожелание уже к будущей версии AVZ :).
[b]Зайцев Олег[/b], амперсанд не экранируется в секции <AntiSpywareProduct>
[HTML] <AntiSpywareProduct>
<Data Name="Windows Defender" pathToSignedProductExe="%ProgramFiles%\Windows Defender\MSASCui.exe" ProductState="397584" />
<Data Name="Spybot - Search and Destroy" pathToSignedProductExe="C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe" ProductState="393232" />
<Data Name="Emsisoft Anti-Malware" pathToSignedProductExe="C:\Program Files (x86)\Emsisoft Anti-Malware\a2start.exe" ProductState="262144" />
</AntiSpywareProduct>[/HTML]
[URL="http://rghost.ru/52978421"]вот лог.[/URL]
[QUOTE=regist;1098999][b]Зайцев Олег[/b], амперсанд не экранируется в секции <AntiSpywareProduct>
[HTML] <AntiSpywareProduct>
<Data Name="Windows Defender" pathToSignedProductExe="%ProgramFiles%\Windows Defender\MSASCui.exe" ProductState="397584" />
<Data Name="Spybot - Search and Destroy" pathToSignedProductExe="C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe" ProductState="393232" />
<Data Name="Emsisoft Anti-Malware" pathToSignedProductExe="C:\Program Files (x86)\Emsisoft Anti-Malware\a2start.exe" ProductState="262144" />
</AntiSpywareProduct>[/HTML]
[URL="http://rghost.ru/52978421"]вот лог.[/URL][/QUOTE]
Да, подтверждаю такой баг. Исправил, базы обновлены - можно пробовать.
1) Баг с экранированием кавычек всё-таки есть, [URL="http://rghost.ru/53047970"]вот лог.[/URL]
[HTML]<ITEM PID="6944" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" /n "G:\!!!ФОРЕКС\!!!Представительство Forex Club\Для Сергея Мисионевича\Клиенты\Обучение\Вводный_Семинар.doc /o """ Size="1922720" Attr="rsAh" CreateDate="23.01.2014 15:56:28" ChangeDate="23.01.2014 15:56:28" MD5="70E0815BADCAA9A7CF24BB6EA0ED686B" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4569.1504" IsPE="1" />[/HTML]
2) Хочется получить ответ на [URL="http://virusinfo.info/showthread.php?t=141836&p=1019730&viewfull=1#post1019730"]этот вопрос.[/URL]
Что делать, когда AVZ не может штатными средставами отключить AVZPM?
Снова попалась [URL="http://forum.oszone.net/post-2323089.html#post2323089"]тема[/URL], где не удаётся отключить AVZPM. В личку юзер писал, что уже пять-шесть раз пытался отключить драйвер через GUI с последующей перезагрузкой и он по прежнему включён.
Когда в прошлый раз я спрашивал у вас этот вопрос, то указал, что вручную удалить его через диспетчер устройств на виртуалке удалить не удалось. Так что как же его надо отключать/удалять в подобных случаях? Тут XP и драйвер не особенно мешает, а на 7-ке из-за этого лог вообще был бы не читабельный.
3) [quote="Зайцев Олег;1095056"]По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю[/quote]
это по прежнему актуально.
4) Хотелось бы получить комментарии по поводу вопросов в [URL="http://virusinfo.info/showthread.php?t=155719&p=1098548&viewfull=1#post1098548"]посте №26.[/URL]
1) При использование англ. локализации AVZ, на кнопке mbAbort написано [B]$[/B]Abort
[IMG]http://i57.fastpic.ru/big/2014/0320/ba/e7426e9cc2c5f1880cd255dcbd8c00ba.png[/IMG]
2) [quote="regist;1099956"]2) Хочется получить ответ на этот вопрос.
Что делать, когда AVZ не может штатными средставами отключить AVZPM?[/quote]
3) В [URL="http://rghost.ru/53199720"]этом логе[/URL]
[CODE]C:\Windows\system32\Drivers\uti2odky.sys[/CODE]
Это драйвер от AVZ ? AVZ подозревает сам себя?
4) [url]http://rghost.ru/53199745[/url]
mobogenie (в частности c:\program files\mobogenie\daemonprocess.exe ) в базе чистых файлов, а это адварь которую приходится выносить в каждой второй теме в разделе помогите.
5) [URL="http://rghost.ru/53199799"]Тут[/URL] в планировщике заданий есть такое
[CODE]C:\Program Files (x86)\Windows Sidebar\sidebar.exe /SL5="$815B8,3780238,54272,C:\Users\SentinelDead\Desktop\Tunngle_Setup_v4.5.1.3.exe"[/CODE]
AVZ не смог корректно распарсить этот путь.
6) В этом же логе (из. предыдущего пункта) в текстовой части есть
[QUOTE]Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Flash Player SU = [C:\Windows\System32\cmd.exe /k start [url]http://3zz.info/[/url] && exit][/QUOTE]
В табличной части лога этого не видно. А [quote="Зайцев Олег;1095093"] такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные[/quote]
[url]http://virusinfo.info/showthread.php?t=155719&p=1095348&viewfull=1#post1095348[/url]
7) Сейчас очень популярно заражения с подменой и дописыванием параметров в ярлыки браузеров. Когда происходит подмена и вместо browser.exe запускается browser.url AVZ это в логе отображает, а вот если использовать например такой ярлык
[CODE]"C:\Program Files\Internet Explorer\iexplore.exe" www.virus.ru[/CODE]
То так как IE проходит по базе безопасных AVZ, то такой ярлык остаётся абсолютно невидимым для AVZ.
Имхо, если в ярлыке есть нестандартные дописки параметров, то такие ярлыки стоит выводить в лог. И было бы неплохо если бы был визард для исправления подобных ярлыков.
8) По поводу визарда, может добавить ещё один визард для детекта и исправления, когда в реестре повреждён путь %SystemRoot%\ например когда там %[B]f[/B]ystemroot% или %syste[B]n[/B]root% такие логи периодически встречаются.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[quote="regist;1101492"]5) Тут в планировщике заданий есть такое[/quote]
вот что в самом задание прописано
[HTML]<Exec>
<Command>C:\Program Files (x86)\Windows Sidebar\sidebar.exe</Command>
<Arguments>/SL5="$815B8,3780238,54272,C:\Users\SentinelDead\Desktop\Tunngle_Setup_v4.5.1.3.exe"</Arguments>
</Exec>
[/HTML]
[QUOTE=regist;1101492]1) ... 8) [/QUOTE]
1. А что это за окно ? Видимо, глюк какой-то в базе локализации
2+3. Такого быть не должно. Я изменю скрипт удаления драйверов AVZ и проблема устранится. Опознать драйвера можно по MD5: D565AD44C6C4D934AFAD3CA4196B09AA, 524D8D450622DB4A7875B111C299A76B и 8698843A69A239FF023AEC6CAF3939CC
4. daemonprocess в БД чистых, так как ничего такого непристойного он не делает. Уверенность в том, что это адварь чем-то подкреплена ? Я временно убрал файл из БД чистых, но повторю - ничего такого зловредного я в нем не вижу.
5. да, парсер выделяет "$815B8,3780238,54272,C:\Users\SentinelDead\Desktop\Tunngle_Setup_v4.5.1.3.exe" - так как текст в кавычках, парсер рассматривает его как единое целое. Я подумаю, как такое распарсить корректно (проблема в том, что запятая допустима с имени файла, а в кавычках находится как имя файла, как и несколько цифр перед ним. При этом естественно "C:\Program Files (x86)\Windows Sidebar\sidebar.exe" парсером выделяется корректно
6. Такая конструкция не попадает в таблицу. Внес изменения в БД, сейчас такие строки должны быть видны в таблице и помечаться как подозрительные (пока только все, что открывает странички в инет)
7. часто такие ярлыки бывают легитимными (открывается стартовая страничка, или некий корпоративный портал). Подумаю по поводу эвристики для таких случаев. По поводу %SystemRoot%\ - нет проблем, нужен пример характерной малвари, или пара-тройка характерных логов, далее дело техники
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=regist;1099956]1) Баг с экранированием кавычек всё-таки есть, [URL="http://rghost.ru/53047970"]вот лог.[/URL]
[HTML]<ITEM PID="6944" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" /n "G:\!!!ФОРЕКС\!!!Представительство Forex Club\Для Сергея Мисионевича\Клиенты\Обучение\Вводный_Семинар.doc /o """ Size="1922720" Attr="rsAh" CreateDate="23.01.2014 15:56:28" ChangeDate="23.01.2014 15:56:28" MD5="70E0815BADCAA9A7CF24BB6EA0ED686B" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4569.1504" IsPE="1" />[/HTML]
2) Хочется получить ответ на [URL="http://virusinfo.info/showthread.php?t=141836&p=1019730&viewfull=1#post1019730"]этот вопрос.[/URL]
Что делать, когда AVZ не может штатными средставами отключить AVZPM?
Снова попалась [URL="http://forum.oszone.net/post-2323089.html#post2323089"]тема[/URL], где не удаётся отключить AVZPM. В личку юзер писал, что уже пять-шесть раз пытался отключить драйвер через GUI с последующей перезагрузкой и он по прежнему включён.
Когда в прошлый раз я спрашивал у вас этот вопрос, то указал, что вручную удалить его через диспетчер устройств на виртуалке удалить не удалось. Так что как же его надо отключать/удалять в подобных случаях? Тут XP и драйвер не особенно мешает, а на 7-ке из-за этого лог вообще был бы не читабельный.
3)
это по прежнему актуально.
4) Хотелось бы получить комментарии по поводу вопросов в [URL="http://virusinfo.info/showthread.php?t=155719&p=1098548&viewfull=1#post1098548"]посте №26.[/URL][/QUOTE]
1. Странно, мне не удается такое воспроизвести
2.
1)[quote="Зайцев Олег;1102486"]1. А что это за окно ?[/quote]
MessageDlg - но думаю, что дело не в окне, а именно ошибка в локализации.
2) [quote="Зайцев Олег;1102486"]4. daemonprocess в БД чистых, так как ничего такого непристойного он не делает. Уверенность в том, что это адварь чем-то подкреплена ? Я временно убрал файл из БД чистых, но повторю - ничего такого зловредного я в нем не вижу.[/quote]
[QUOTE]drweb - Adware.NextLive.1
Kaspersky - not-a-virus:AdWare.Win32.Agent.ahgx
gdata - Win32.Adware.NextLive.A[/QUOTE]
[url]https://home.mcafee.com/virusinfo/VirusProfile.aspx?key=6591285[/url]
[url]https://www.google.ru/search?ie=UTF-8&hl=ru&q=mobogenie%20site%3Avirusinfo.info[/url]
[url]http://yandex.ru/yandsearch?text=%5CLocal%5CMobogenie&clid=9582&lr=10277[/url]
это сойдёт за доказательство?
И в частности из-за процесса daemonprocess пользователи жалуются на большую загрузку (тормоза) на компьютере.
3)[quote="Зайцев Олег;1102486"]По поводу %SystemRoot%\ - нет проблем, нужен пример характерной малвари, или пара-тройка характерных логов, далее дело техники[/quote]
ок, постараюсь подобрать логи
4) [url]http://rghost.ru/53280507[/url]
[QUOTE][B]globalroot[/B]\systemroot\system32\Qzwi4Nm.exe[/QUOTE]
AVZ вроде должен исправлять такие пути.
5) Пару дней назад в помогите мне снова встретился Backdoor.Win32.Javik.a, вот [URL="http://virusinfo.info/virusdetector/report.php?md5=21C245F22E2A5C64AA2D918459FCA1B6"]отчёт вирусдетектора[/URL] того юзера. Проверил на виртуалке AVZ до сих пор не умеет корректно его удалять (хотя эта проблема была ещё на ver 4.39). После удаления по прежнему проблемы с отображением меню пуск. А также при удаление с помощью AVZ через uVS видно, что следы от файла в системе остались (ExecuteSysClean разумеется использовался).
[IMG]http://i57.fastpic.ru/big/2014/0323/fa/9efe85af0e947837fb3bbe3a5e1996fa.png[/IMG]
6) [quote="Зайцев Олег;1095056"]По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
[/quote]
Похоже аналогичная проблема и .sys вот [URL="http://rghost.ru/53280747"]пример лога[/URL] в помогите подобное уже несколько раз встретил.
7) Последнее время часто HTML логи как-то непонятно отображаются. Вот [URL="http://rghost.ru/53280797"]лог для примера[/URL]
В Opera Presto и Google Chrome выглядит [spoiler][IMG]http://i57.fastpic.ru/big/2014/0323/3e/8d49cbd2c4a05a09c476dfa7dc563d3e.png[/IMG][/spoiler]
в IE выглядит [spoiler][IMG]http://i59.fastpic.ru/big/2014/0323/1f/828ad27ee2e45653bafaf91022eec71f.png[/IMG][/spoiler]
1) [quote="regist;1101492"]1) При использование англ. локализации AVZ, на кнопке mbAbort написано $Abort[/quote]
при использование русской локализации аналогичная проблема
[IMG]http://i33.fastpic.ru/big/2014/0324/5d/f439945ae46db435d063063cffc8e75d.png[/IMG]
2) [quote="Зайцев Олег;1102486"]1. А что это за окно ? Видимо, глюк какой-то в базе локализации
2+3. Такого быть не должно. Я изменю скрипт удаления драйверов AVZ и проблема устранится.[/quote]
для этих исправлений надо ждать выхода новой версии или это придёт с обновением баз?
3) [quote="regist;1102543"]ок, постараюсь подобрать логи[/quote]
[URL="http://rghost.ru/53309282"]вот подборка логов.[/URL]
[QUOTE=regist;1102854]1)
при использование русской локализации аналогичная проблема
[IMG]http://i33.fastpic.ru/big/2014/0324/5d/f439945ae46db435d063063cffc8e75d.png[/IMG]
2)
для этих исправлений надо ждать выхода новой версии или это придёт с обновением баз?
[/QUOTE]
Баг пофикшен, исправится при обновлении версии (там просто вместо "&" затесался "$")
[quote="Зайцев Олег;1102486"]Я изменю скрипт удаления драйверов AVZ и проблема устранится.[/quote]
для этого тоже надо ждать обновления версии?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[URL="http://rghost.ru/53363888"]Опять косяк с кавычками.[/URL] Строка 550
[HTML]<ITEM File="C:\Program Files\Rockwell Software\RSView\PRJHOOK32.dll" Verdict="Реагирует на события: клавиатура
Передает данные процессу: 4320 E:\МАЕ\virus\avz4\avz4\avz.exe (окно = "Стандартные скрипты")
Выясняет, какое окно находится в фокусе ввода" CheckResult="-1" Size="5632" Attr="rsah" CreateDate="14.11.2013 10:42:39" ChangeDate="05.11.2004 10:05:00" MD5="50E7AA7D6DA6385341A2726BDEF9E7F4" Vendor="Rockwell Software Inc." Product="DSICmn" OFN="PRJHOOK32.DLL" Ver="7.10.10.0" IsPE="1" IsDLL="1"/>[/HTML]
Вот [URL="http://virusinfo.info/showthread.php?t=156912"]ссылка на тему.[/URL]
[QUOTE=regist;1103452]для этого тоже надо ждать обновления версии?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[URL="http://rghost.ru/53363888"]Опять косяк с кавычками.[/URL] Строка 550
[HTML]<ITEM File="C:\Program Files\Rockwell Software\RSView\PRJHOOK32.dll" Verdict="Реагирует на события: клавиатура
Передает данные процессу: 4320 E:\МАЕ\virus\avz4\avz4\avz.exe (окно = "Стандартные скрипты")
Выясняет, какое окно находится в фокусе ввода" CheckResult="-1" Size="5632" Attr="rsah" CreateDate="14.11.2013 10:42:39" ChangeDate="05.11.2004 10:05:00" MD5="50E7AA7D6DA6385341A2726BDEF9E7F4" Vendor="Rockwell Software Inc." Product="DSICmn" OFN="PRJHOOK32.DLL" Ver="7.10.10.0" IsPE="1" IsDLL="1"/>[/HTML]
Вот [URL="http://virusinfo.info/showthread.php?t=156912"]ссылка на тему.[/URL][/QUOTE]
Нет, скрипт появится через автоапдейт.
А вот бага из строки 550 пофикшена, но фикс появится только в новой версии
В этой [url]http://virusinfo.info/showthread.php?t=157342[/url] теме у AVZ какая-то проблема с определением кодировки.
[QUOTE]7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера [B]"????????t¦""[/B][/QUOTE]
В логе TDSSKiller отображается имя так:
[QUOTE]
楗敳潂瑯獁楳瑳湡t¦"
[/QUOTE]
После конвертации удалось понять что эта служба от
[QUOTE]
WiseBootAssistant
[/QUOTE]
1) [quote="Зайцев Олег;1103561"]Нет, скрипт появится через автоапдейт.[/quote]
Скрипт для отключения AVZPM уже обновился или пока нет? Пользователь говорит, что AVZPM по прежнему [URL="http://forum.oszone.net/post-2329265.html#post2329265"]не отключается.[/URL] В стандартном скрипте №6 скрипт тоже обновился? Я там им посоветовал удалить драйвера и следы AVZ.
2) Очень часто в логах в секции подозрительные файлы видно у .msi файлов Подозрение на Exploit.Win32.IH_Infector.12
у .tmp (часто они от принтера эпсон) - Trojan.Win32.Agent2.byu
То есть именно эти эвристики давно и постоянно фолсят, можно и как-то скорректировать? Вот [URL="http://rghost.ru/53556539"]лог для примера.[/URL]
1) [URL="http://gfile.ru/a8aRC"]Опять лог с не экранированными кавычками.[/URL]
[HTML] <ITEM PID="3860" File="c:\program files (x86)\newtech infosystems\acer backup manager\backupmanagertray.exe" CheckResult="-1" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2009, NewTech Infosystems, Inc. All rights reserved." Hidden="0" CmdLine=""C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="265984" Attr="rsAh" CreateDate="29.06.2010 05:22:46" ChangeDate="29.06.2010 05:22:46" MD5="E2787B4F27F598BFA501B1971A4D5378" Vendor="NewTech Infosystems, Inc." Product="Acer Backup Manager" Ver="2.0.1.68" IsPE="1" />[/HTML]
2) [IMG]http://i59.fastpic.ru/big/2014/0401/71/a233274e53a945caa5f165f7593c1071.png[/IMG]
[url]http://gfile.ru/a5CHk[/url]
Это новая фича? Подробней про неё можно? У того юзера потом запросил лог Gmer никаких следов руткита там не было.
3) [URL="http://gfile.ru/a5cVr"]ещё один лог[/URL]
[QUOTE]Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""[/QUOTE]
4) Про баг в AVZ когда в логе вместо пути отображается только .dll или только .sys уже писал. [URL="http://gfile.ru/a891L"]Вот для комплекта только .exe [/URL]
[IMG]http://i57.fastpic.ru/big/2014/0408/08/6f6ba886b3f64a936b0c6c26b82bbf08.png[/IMG]
5) По поводу того, что
[quote="regist;1102543"]7) Последнее время часто HTML логи как-то непонятно отображаются. Вот лог для примера
В Opera Presto и Google Chrome выглядит[/quote]
добавлю скрин
[IMG]http://i57.fastpic.ru/big/2014/0408/f6/48034a5fa628b995429534f7341777f6.png[/IMG]
Загрузка AVZ с офиц. сайта блокируется браузером google как опасная.