Printable View
@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.
Это может пригодиться для варианта, когда система не грузиться с жесткого диска.
[quote=PavelA;201280]@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.
Это может пригодиться для варианта, когда система не грузиться с жесткого диска.[/quote]
Я продумываю такой вариант. Удаленный реестр можно в принципе сканировать, но я продумываю вариант AVZ под Linux - в таком варианте бут-образ получается небольшой, но с реестром проблемы ... - в такой ситуации можно только найти файлы реестра и парсить их.
Олег здраствуйте у меня AVZ видет процессы без имени
AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
Helper по этому поводу попросил братиться к вам даю ссылку на топик [url]http://virusinfo.info/showthread.php?p=201293&posted=1#post201293[/url]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Процессов более ста
[quote=DemON.!.;201295]Олег здраствуйте у меня AVZ видет процессы без имени
AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
Helper по этому поводу попросил братиться к вам даю ссылку на топик [URL]http://virusinfo.info/showthread.php?p=201293&posted=1#post201293[/URL]
[SIZE=1][COLOR=#666686][B][I]Добавлено через 2 минуты[/I][/B][/COLOR][/SIZE]
Процессов более ста[/quote]
Да, на Windows 2003 Server такой эффект иногда проявляется. Замечено, что нередко он возникает, если установлено ПО от HP. Видимое проявление - плодятся процессы без имени ... причина в том, что в таблицах хендлов остаются "висячие" дескрипторы, не принадлежащие ни к одному из запущенных процессов, и один из алгоритмов поиск считает, что это может быть хендл реального маскирующегося процесса
Большое спасибо за чёткий и грамотный ответ :)
[QUOTE=PavelA;201280]@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.
Это может пригодиться для варианта, когда система не грузиться с жесткого диска.[/QUOTE]
Сканирование ресстра присоединенного диска с больной системой ОЧЕНЬ и ОЧЕНЬ нужно!!! Иначе приходиться иногда Regedit'om с LiveCD руками править то, что AVZ делает не напрягаясь.
Подскажите пожалуйста.
в папке Application Data пользователя с правами юзера живет ntos.exe
под пользователем с правами админа выполнил 3-й скрипт - промолчал. это нормально?
базы от 11.03.
принтскрин прикрепил, логи могу послать, но там о нем ни слова..
[quote=Karlson;202574]Подскажите пожалуйста.
в папке Application Data пользователя с правами юзера живет ntos.exe
под пользователем с правами админа выполнил 3-й скрипт - промолчал. это нормально?
базы от 11.03.
принтскрин прикрепил, логи могу послать, но там о нем ни слова..[/quote]
Там в системе в других местах нет ничего типа catchme.sys или что-нибудь подобнее?
Paul
[quote=p2u;202615]Там в системе в других местах нет ничего типа catchme.sys или что-нибудь подобнее?
Paul[/quote]
не-а..
upd: только что еще раз посмотрел логи - нету вообще ничего, что вызвало бы подозрения...
вот скрины. на первом syscheck из-под юзера, на втором syscure из-под админа. syscure делался перед syscheck-ом.
Похоже, что из под юзера ntos.exe и winlogon.exe (который в Temp-e) не могут запустить свой драйвер и не могут прописаться в глобальную автозагрузку.
А под админом они не активны, т.к. их никто (и ничто) не запускает.
По видимому, AVZ проверяет только глобальную автозагрузку и автозапуск у текущего пользователя.
Можно прокоментировать вот это
[QUOTE]
2. Проверка памяти
Количество найденных процессов: 12
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Файл успешно помещен в карантин (c:\windows\shell.exe)
c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes успешно удален
Количество загруженных модулей: 159
[/QUOTE]
1. svchost.exe помощен в карантин?
2. c:\windows\shell.exe и есть svchost.exe? Похоже что нет, тогда см 1.
3. Если c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes зачем его в карантин, или см 2?
1. Нет. Это эвристика самого первого порядка - по именам файлов. Я не видел, чтобы такие объекты карантинились. Хотя надо бы.
2. Нет, речь именно о shell.exe
3. Видимо, заказано карантинить удаляемые.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Kuzz;202691]По видимому, AVZ проверяет только глобальную автозагрузку и автозапуск у текущего пользователя.[/QUOTE]
Именно. Для обследования других пользователей надо подгружать их NTUSER.DAT.
1. Надобы карантинить.
3. Значит заказано в стандартном скрипте сбора/лечения. Баг?
[quote=pig;203442]Именно. Для обследования других пользователей надо подгружать их NTUSER.DAT.[/quote]
а можно про вот это поподробнее?
а то все цепляют гадость под юзерами, а лечить приходится под админом..
[QUOTE=Karlson;203855]а можно про вот это поподробнее?
а то все цепляют гадость под юзерами, а лечить приходится под админом..[/QUOTE]
Подключать NTUSER.DAT нужно будет если вы лечите из под liveCD, а если из под администратора, то нужно смотреть вручную всех пользователей в HKEY_USERS.
[quote=zerocorporated;203994]Подключать NTUSER.DAT нужно будет если вы лечите из под liveCD, а если из под администратора, то нужно смотреть вручную всех пользователей в HKEY_USERS. Вы можете узнать какому разделу соответствует каждый пользователь посмотрев HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist - в этом разделе данные по всем подключенным кустам реестра.[/quote]
Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ
[quote=Зайцев Олег;203995]Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ[/quote]
Думаю, что такой функционал не помешал бы (для удобства просто)...
Paul
[QUOTE=zerocorporated;203994]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist - в этом разделе данные по всем подключенным кустам реестра.[/QUOTE]
Если пользователь не в системе, его личный куст не загружен.
[quote=Зайцев Олег;203995]Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ[/quote]
я думаю будет полезно.