А у меня почему то ща не сохраняется протокол(лог), кликаю а там "Найденных объектов нет".
Приходится через "Файл" сохранять себе на раб. стол протокол. Кстати что это за файл каждый раз он ловит FOPN.sys ?
А у меня почему то ща не сохраняется протокол(лог), кликаю а там "Найденных объектов нет".
Приходится через "Файл" сохранять себе на раб. стол протокол. Кстати что это за файл каждый раз он ловит FOPN.sys ?
[QUOTE=Shredinger]А у меня почему то ща не сохраняется протокол(лог), кликаю а там "Найденных объектов нет".
Приходится через "Файл" сохранять себе на раб. стол протокол. Кстати что это за файл каждый раз он ловит FOPN.sys ?[/QUOTE]
Судя по сообщению "Найденных объектов нет" речь идет о кнопке, вызывающей список найденных объектов. Сохранение лога - кнопка с дискетой чуть выше ...
в INI-файл карантина попала вот такая строка:
Virus=Подозрение на Keylogger или троянскую DLL, A=
видимо это какой-то глюк, не думаю, что так и было задумано
(прислано в теме [URL="http://virusinfo.info/showthread.php?t=5782"]http://virusinfo.info/showthread.php?t=5782[/URL] )
[QUOTE=MOCT]в INI-файл карантина попала вот такая строка:
Virus=Подозрение на Keylogger или троянскую DLL, A=
видимо это какой-то глюк, не думаю, что так и было задумано
(прислано в теме [URL="http://virusinfo.info/showthread.php?t=5782"]http://virusinfo.info/showthread.php?t=5782[/URL] )[/QUOTE]
Видимо так и было задумано - после "A=" должен идти текст с описанием результатов поведенческого анализа. А вот почему его нет - надо будет посмотреть
Кстати, AVZ перешел на ежедневное обновление AV баз ...
Ежедневное обновление это круто. Вот если бы еще было ежедневное скачивание и добавление чистых файлов :)
[QUOTE=Geser]Ежедневное обновление это круто. Вот если бы еще было ежедневное скачивание и добавление чистых файлов :)[/QUOTE]
Это кстати тоже налаживается. Меня сейчас только трафик удерживает от этого - технические возможности проверки, классификации и внесения в базу чистых объектов уже есть.
Кстати, в дейсвие вступила еще одна технология - при внесении зверя в базу он автоматом сопоставляется со всеми чистыми и если есть похожесть, то теоретически возможное ложное срабатывание давится на корню.
Вот, кстати:
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Перехватывает вполне безобидная банерорезалка AdMuncher ([url]www.admuncher.com)[/url]. Смущает фраза "метод не определен"...
[QUOTE=qbs2001]Вот, кстати:
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Перехватывает вполне безобидная банерорезалка AdMuncher ([url]www.admuncher.com)[/url]. Смущает фраза "метод не определен"...[/QUOTE]
[I]метод CodeHijack (метод не определен)[/I] означает, что перехват идет методом модификации машинного кода, но анализ записанных перехватчиком команд не позволяет точно установить методику (в некоторых случаях первые команды опознаются как JMP адрес, или PUSH + ret или иной известный AVZ метод передачи управления перехватчику)
Всем привет :)
Просто хотела сообщить о маленькой ошибке AVZ, при выполнении функции восстановлении системы (если кто-либо о ней уже упоминал - заранее извиняюсь; хотя в этом случае она навряд ли бы до сих пор еще имела место).
Речь идет о сбросе настроек префиксов протоколов Internet Explorer на стандартные. Префикс параметра "home" AVZ скидывает на следующее:
home://
И спасибо за отличного помощника в борьбе с компьютерной заразой.
Удачки :)
[QUOTE=Saule]Всем привет :)
Просто хотела сообщить о маленькой ошибке AVZ, при выполнении функции восстановлении системы (если кто-либо о ней уже упоминал - заранее извиняюсь; хотя в этом случае она навряд ли бы до сих пор еще имела место).
Речь идет о сбросе настроек префиксов протоколов Internet Explorer на стандартные. Префикс параметра "home" AVZ скидывает на следующее:
home://
И спасибо за отличного помощника в борьбе с компьютерной заразой.
Удачки :)[/QUOTE]
Спасибо - я подправил микропрограммку для этого восстановления, обновленная версия уже попала в сегодняшний апдейт баз.
Олег, а как с обновлением через прокси?
[B]anton_dr[/B]
В 4.16 версии были проблемы с прокси , и в 4.18 если устанавливать параметры прокси как написано у Олега в примере, то же ничего не получается, обновление не происходит. Я попробовал установил прямое подключение, и к моему удивлению программа скачала обновления. Выход в Интеренет через прокси - это точно. Единственное программа не запоминает во вкладке выхода заданное положение, и каждый раз перед обновлением приходиться устанавливать какое соединение. С Уважением, Sel.
2 Sel, проблема имеет место быть для тех у кого выход через ISA c NTLM.
пока так и не работает...
С новой версией появилась ещё одна небольшая проблемка. Может это только у меня. Ситуация.
У меня на компьютере стоит программа для дозвона и тарификации интернет соединений [COLOR="Blue"]MuxaSoft Dialer версии 4.1[/COLOR] теперь когда AVZ проверяет компьютер и начинает делать проверку
[COLOR="Blue"]4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\RocketDock\MouseHook2.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\RocketDock\MouseHook2.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 244 TCP портов и 73 UDP портов
>>> Обратите внимание: Порт 31 TCP - Trojan Master Paradise, Trojan Agent 31 (d:\distrib\Программы Зайцева\aps\aps\aps.exe - опознан как безопасный процесс)
>>> Обратите внимание: Порт 555 TCP - Backdoor.PhaseZero, INI-Killer, Stealth Spy[/COLOR] и т.д. у меня запускается программа MuxaSoft Dialer версии 4.1 и начинается дозвон в Интернет. Как избавиться от этой небольшой проблемы. Спасибо. С Уважением, Sel.
Подскажите, плиз, как запустить AVZ и в ком.строке указать стандартный скрипт сбора информации...
хотелось бы из батника сразу отчет создать...
[B]Прикладываю лог сканирования системы[/B]
[B]Интересна ругань AVZ на панель быстрого запуска ноутбука HP
Если надо пришлю файлы [/B]
Всё подозрительное прислать, как написано в правилах. После внесения в базу безопасных ругани быть не должно.
[QUOTE=pig]Всё подозрительное прислать, как написано в правилах. После внесения в базу безопасных ругани быть не должно.[/QUOTE]
Ok отсылаю
При попытке запуска AVZ Guard из терминальной сессии выдается сообщение "Ошибка активации AVZ Guard !" (см. приложение).
В меню остается доступным только первый пункт "Включить AVZGuard". Пункты "Запустить приложение как доверенное" и "Отключть AVZGuard" остаются неактивными. Никакие приложения запустить невозможно. Лечится, кажется, только перезагрузкой системы.
Если нельзя корректно запустить AVZ Guard в терминальной сессии, то может быть, хотя бы, возможно запретить это делать вообще?
[QUOTE=GrAnd]При попытке запуска AVZ Guard из терминальной сессии выдается сообщение "Ошибка активации AVZ Guard !" (см. приложение).
В меню остается доступным только первый пункт "Включить AVZGuard". Пункты "Запустить приложение как доверенное" и "Отключть AVZGuard" остаются неактивными. Никакие приложения запустить невозможно. Лечится, кажется, только перезагрузкой системы.
Если нельзя корректно запустить AVZ Guard в терминальной сессии, то может быть, хотя бы, возможно запретить это делать вообще?[/QUOTE]
Запуск AVZ Guard из терминальной сессии - это конечно из разряда экстрима. Я пропишу в FAQ и справке, что это не следует делать. И быть может поставлю блокировку ... Плюс запись в логе - запущен из терминальной сессии