Можно ли в AVZ добавить проверку ярлыков на рабочем столе, панели быстрого запуска, а также проверку ярлыков для всех установленных в системе браузеров?
Printable View
Можно ли в AVZ добавить проверку ярлыков на рабочем столе, панели быстрого запуска, а также проверку ярлыков для всех установленных в системе браузеров?
[b]mike 1[/b], об этом уже попросили Олега в приватном общении
[quote="regist;1087839"]И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку Прервать работу скрипта. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.[/quote]
Проблема снова актуальна на релизной версии AVZ с последним обновлением баз, похоже поломалось с обновлением баз.
И заодно уже столько исправлений было сделано, а дата обновления полиморфа
[QUOTE]2014-02-23 13:12[/QUOTE]
1. Парочка стилистических ошибок в справке (в локальной и в он-лайн версиях):
Подсистема AVZGuard - О технологии.
Рекомендации (2 пункт):
[QUOTE]• С точки зрения regedit операция пройдет успешно, но если обновить (данны[COLOR="#FF0000"]й[/COLOR]) данные при помощи F5, то можно убедиться, что реестр не изменился.[/QUOTE]
Особенности выключения ПК при включенном AVZGuard.
[QUOTE]• Некоторые (приложени[COLOR="#FF0000"]е[/COLOR]) приложения в момент завершения могут выдавать сообщение о ошибках, (связанны[COLOR="#FF0000"]е[/COLOR]) связанных с ограничением их деятельности[/QUOTE]
Заключение (красным):
[QUOTE]Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после (лечени[COLOR="#FF0000"]е[/COLOR]) лечения с его использованием.[/QUOTE]
2. Пресловутый mobogenie снова попал в базу доверенных (виден в зеленых строчках лога).
Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. [URL="http://virusinfo.info/attachment.php?attachmentid=476186&d=1401289693"]Вот пример лога.[/URL]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64
[HTML] <ITEM File="C:\Program Files (x86)\Real\RealPlayer\RPDS\Bin64\rpsystray.exe" CheckResult="-1" Enabled="1" Type="LNK" Size="1227360" Attr="rsAh" CreateDate="09.02.2014 16:44:37" ChangeDate="09.02.2014 16:44:37" MD5="55FE859162C05E90C6A7A7855BB2EC89" Vendor="RealNetworks, Inc." Product="RealPlayer Cloud" OFN="rpsystray.exe" VerMS="65536" VerLS="262292" IsPE="1" Is64="1" X1="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" X2="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk" X3="" X4="" Is64="0" />[/HTML]
лог [URL="http://virusinfo.info/attachment.php?attachmentid=476213&d=1401301818"]здесь[/URL].
[QUOTE=regist;1120255]Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. [URL="http://virusinfo.info/attachment.php?attachmentid=476186&d=1401289693"]Вот пример лога.[/URL]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64
[HTML] <ITEM File="C:\Program Files (x86)\Real\RealPlayer\RPDS\Bin64\rpsystray.exe" CheckResult="-1" Enabled="1" Type="LNK" Size="1227360" Attr="rsAh" CreateDate="09.02.2014 16:44:37" ChangeDate="09.02.2014 16:44:37" MD5="55FE859162C05E90C6A7A7855BB2EC89" Vendor="RealNetworks, Inc." Product="RealPlayer Cloud" OFN="rpsystray.exe" VerMS="65536" VerLS="262292" IsPE="1" Is64="1" X1="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" X2="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk" X3="" X4="" Is64="0" />[/HTML]
лог [URL="http://virusinfo.info/attachment.php?attachmentid=476213&d=1401301818"]здесь[/URL].[/QUOTE]
В начале лога версия указана - 4.41 ...
1) Может можно прикрутить какое-то уведомление при обновление баз через GUI что вышла новая версия AVZ.
2) [QUOTE]7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\CMD = [cmd.exe /c start [url]http://extendedunlimited.org[/url] && exit]
Проверка завершена[/QUOTE]
почему не попало в табличную часть лога? AVZ 4.43, базы свежии. [URL="http://rghost.ru/56134581"]Вот лог.[/URL]
3) [url]http://rghost.ru/56134634[/url]
3.1 почему[CODE] [B]\SystemRoot\[/B]system32\DRIVERS\FStarForce.sys[/CODE]
почему путь к файлу не был нормализован (заменён на пусть к папке windows) ?
3.2 - регулярный фолс на файлы с типа [QUOTE]C:\WINDOWS\TEMP\~DF4553.tmp[/QUOTE]
уже один раз указывал на это [URL="http://virusinfo.info/showthread.php?t=155719&p=1104456&viewfull=1#post1104456"]здесь[/URL]. Кстати и на msi переодически ещё ругается, что-то типа Trojan.BAT.Del
4) Опять неэкранированные кавычки, правда здесь базы старые. Возможно это уже исправлено, но на всякий случай лог
[HTML] <ITEM PID="4532" File="c:\program files\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0" CmdLine=""C:\Program Files\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="06.01.2012 01:21:44" ChangeDate="06.01.2012 01:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />[/HTML]
[url]http://rghost.ru/56134946[/url]
5) [quote="regist;1122419"]Кстати и на msi переодически ещё ругается, что-то типа Trojan.BAT.Del[/quote]
вот [URL="http://rghost.ru/56164732"]пример лога[/URL]
6) Если для команды DeleteFile есть возможность указать разрядность файла (AMode : string = '32'), то такая же возможность по идее должна поддерживаться и для команды SysCleanAddFile.
7) DeleteDirectory(' ',' ') - во второй паре кавычек какой аргумент можно указывать? Это для того чтобы указать каким алгоритмом будет удаляться папка?
Увидел что тут присутствует Олег Зайцев потому решил написать сюда!
Смотрите что мне удалось увидеть, загрузился с установочного диска Windows 8 через командную строку запустил АВЗ и увидел в логах такое
А почему я лог загрузить сюда не могу?! Ладно вот сюда закинул [url]http://rghost.ru/56583277[/url]
Карантин сделать не получается пишет что ошибка, под самой виндовс 8 эти файлы АВЗ видит зелёным цветом, ведать это новый способ того как зараза скрывается...
Что скажите?! Как от этого избавиться?!
Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:
[quote="NickMukola;1130235"]Смотрите что мне удалось увидеть, загрузился с установочного диска Windows 8 через командную строку запустил АВЗ и увидел в логах такое[/quote]
Если система загружена с диска, AVZ исследует её, а не зараженную ОС.
[QUOTE=Никита Соловьев;1130256]Если система загружена с диска, AVZ исследует её, а не зараженную ОС.[/QUOTE] Ух ты живой специалист появился, а то я думал все вымерли как мамонты, спасибо что отаукнулись:) Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =(
Кстати ещё раньше из загрузочного диска АВЗ тоже на диске С: нашел какой то файл, котрый из по самой оси АВЗ не находил почему то... Счас пороюсь в старых логах и скажу что за файл был...
Вот вроде это[ATTACH=CONFIG]481264[/ATTACH] под самим виндовсом оно этот gm.dls не видело, как то эта дрянь скрывалась...
PS что то мне ни логи ни скрины на ваш сайт закидывать не выходит, приходиться стронными ресурсами пользоваться...
[quote="NickMukola;1130258"]Ух ты живой специалист появился, а то я думал все вымерли как мамонты[/quote]
Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.
[quote="NickMukola;1130258"]Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =([/quote]
Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность.
Диск С в данном случае не проверялся. Вам по-русски вроде написали
[quote="Никита Соловьев;1130256"]Если система загружена с диска, AVZ исследует её, а не зараженную ОС.[/quote]
[QUOTE=Никита Соловьев;1130314]Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.[/QUOTE]
Да что туда заглядывать от них помощи и так ни какой =( В отчётах куча красных строк как на скриншоте [ATTACH=CONFIG]481462[/ATTACH] а они говорят что так должно быть, впрямь такое ощущение что они прикрывают эту заразу...
[QUOTE=Никита Соловьев;1130314]Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность..[/QUOTE]
Да именно его и имею ввиду =) Я конечно не сильно разбираюсь в этих тонкостях настройки АВЗ(как и на что оно там заточено искать) но коль оно мне из под установочного диска виндовс 8 нашло на диске С: этот файп gm.dls и теперь проверка АВЗ из под самого виндовса 8 больше не выдаёт сообщений о подозрении на Trojan-Downloader.Win32 то значит таки как то оно скрывалось раньше, а Вы говорите не ищет оно ничего на диске С:, а ведь нашло =)
Я делал скрипт 3 и галочки были установлены на этом диске X: (который зачем то создаётся) и ещё ставил галку на диске C: Хотя какая разница, если в базах АВЗ эти файлы не существуют значит они какие то не такие, потому их и отмечает желтым, вроде даже UVS запущенное из под установочного диска виндовс 8 ругалось на этот файл SystemPropertiesPerformance.exe, и ещё раз повторюсь
"Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:" короче сидит какая то зараза, давайте калитесь как Вам её выковырять и предоставить на обследование...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE=thyrex;1130316]Диск С в данном случае не проверялся. Вам по-русски вроде написали[/QUOTE]
ой спасибо что сказали, а я то думал это на китайском =) Что же Вы злой такой то?! Плевать где оно там что ищет, Олег Зайцев базы АВЗ обновляет постоянно, и коль эти файлы пошли желтым значит тут уже что то не то, вот и хочу разобраться....
[COLOR="#FF0000"][B]Лучше скажите мне подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидить какой файл на этом секторе лежит, а то я тут вроде кое что заметил [/B][/COLOR]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
И ещё вот эти три красавца напрягают:
dump_diskdump.dmp
[COLOR="#FF0000"]dump_dumpfve.dmp[/COLOR]
dump_nvstor.dmp
dump_diskdump.dmp и dump_nvstor.dmp после проверки на virustotal.com в этих дампах ничего не выявлено!
А вот эта дрянь [COLOR="#FF0000"]dump_dumpfve.dmp [/COLOR]на вирустотал имеет какую то дрянь в себе [URL="https://www.virustotal.com/ru/file/d97dd8c5353ad603b993b1275108e0ebf8539fea37a80f759da0c9bd2b599f6f/analysis/1403862860/"]вот смотрите[/URL] мало того на сколько я нагуглил оно имеет отношение к 64 разрядному виндовс, а у меня сейчас стоит 32, зачем оно мне?! Правда когда то стоял виндовс 7(64) ведать что то от него осталось но где?! Тем более что я делал затирание всего диска С: нулями перед установкой 8ки...
Кстати в АВЗ из под виндовс 7/8 дампы модулей ядра делаются на ура, а вот из под виндовс ХР почему то дампы модулей ядра делать нельзя, папка DMP не появляется, это я у знакомого выяснил что такие фокусы в ХР происходят, хотя ХРка уже на покой мелкософтом отправлена может и не стоит по этому поводу заморачиваться...
[b]NickMukola[/b], такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.
[QUOTE=olejah;1130688][b]NickMukola[/b], такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.[/QUOTE]
Ну вот как всегда по сути вопроса Вам нечего сказать, а рот баном затыкать Вы я вижу умеете и опыт у Вас наверное в этом большой =)
А что я собственно не так сказал?! Написал правду что в раздел "Помогите" нет смысла обращаться, и написал почему я так считаю, и вместо того чтобы задуматься над этим и улучшить свой ресурс в помощи юзерам Вы делаете наоборот!
По поводу сообщения к [B]thyrex[/B] ну так тут какой привет такой ответ, ведь по сути вопроса он ничего не ответил, а нравоучениями со мной заниматься не нужно!
ВОТ ИМЕННО ЧТО ХОЧУ ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ И ОТВЕТ НА СВОИ ВОПРОСЫ, потому и решил тут написать, + создатель данной программы ОЛЕГ ЗАЙЦЕВ тут присутствует, честно говоря если бы не Олег я бы тут и не писал вовсе ничего!
Подозреваю что эта дрянь присутствует на многих компьютерах не только у меня, но по какой то причине она мастерски скрывается, ДАВАЙТЕ РАСКОПАЕМ ЭТО ДЕЛО И ТОГДА ПРОГРАММЕ AVZ ЦЕНЫ НЕ БУДЕТ, А ВЫ ПОЧЕМУ ТО ДЕЛАЕТЕ ВСЁ ДЛЯ ТОГО ЧТОБЫ НИЧЕГО КОПАТЬ В ДАННОМ НАПРАВЛЕНИИ, ИЛИ МНЕ ПОКАЗАЛОСЬ...
Сейчас вижу только один выход старый дедовский метод затереть весть жесткий диск и снести всё, но тогда я не смогу дать вам на растерзание эту дрянь, и оно дальше будет фунциклировать где то у кого то...
ПОДСКАЖИТЕ МНЕ, ЕЩЁ РАЗ ПОВТОРЮСЬ:
"Лучше скажите мне, подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидеть какой файл на этом секторе лежит, а то я тут вроде кое что заметил" я просто наблюдаю некие партиции ФАТ в старой разметке жесткого диска, хотя никогда не создавал такого добра, вот и предполагаю что оттуда ноги растут, возможно это оттуда всё подгружается в момент зависания загрузочного диска виндовс(я выше об этом писал)
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Я понимаю так, коль базы всегда обновляются (ведь АВЗ не мертвый проект, а вполне развивающийся) и коль оно показывает эти файлы на диске X: желтым значит уже что то не то, в карантин закинуть их не могу пишет какую то ошибку в прямом чтении(ведать эта дрянь защищается так) а под установленным виндовс 8 эти же файлы с такими же названиями/именами вроде как есть на диске С: но уже АВЗ их показывает почему то зелёным, мыслю ловите?! Вот вам новый метод как оно прячется!
Сначала я грешил на установочный диск виндовс 8, так как мой лицензионный в руках ребёнка дал трещину =) (но ключ то от виндовса остался) потому скачал образ с торрента записал на болванку, но потом выяснил что с образом из торрента всё как бы нормально ведь хеш сума образа сходиться с сайтом MSDN значит оригинал!
Вот мои копания и привели меня к этим неизвестным парциям ФАТ...
[b]Зайцев Олег[/b],
1) AVZ проверяет настройки прокси и выводит в лог информацию об
[QUOTE]7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-3714907952-3208398762-1056632465-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="http=127.0.0.1:8080"
Проверка завершена[/QUOTE]
Но AVZ не проверяет ключ
[CODE]HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\[/CODE]
например не видит такое
[CODE]Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
@="http=127.0.0.1:8080"[/CODE]
2) [quote="regist;1122419"]3.2 - регулярный фолс на файлы с типа
C:\WINDOWS\TEMP\~DF4553.tmp[/quote]
Собрал небольшую подборку логов с фолсом на файлы вида TS_8BCC.tmp [URL="http://rghost.ru/56670120"]лежит тут.[/URL]
Надеюсь этого достачно чтобы откректировать эвристику на эти файлы. Во всех этих логах в этих файлах подозревается Подозрение на [COLOR="#FF0000"]Trojan.Win32.Agent2.byu[/COLOR].
3) Просьба проверить насколько удачно удаляет AVZ драйвер regfltrx64.sys при заражение
not-a-virus:AdWare.Win32.Tirrip (Adware.PirritSuggestor) на х64 системах.
[QUOTE]64-х битный ИСПОЛНЯЕМЫЙ
тип запуска: При инициализации ядра (1)[/QUOTE]
У меня на виртуалке AVZ с ним не справился.
[quote="Зайцев Олег;1093492"][+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов[/quote]
можно аналогичный фикс сделать и в HTML логе? Увы, там тоже встречаются NUL символы.
Опять непонятный символ - 0х05 в XML логе
[IMG]http://i61.fastpic.ru/big/2014/0707/75/5490bb44e58dc6c3899a5aa3dc504275.png[/IMG]
[IMG]http://i61.fastpic.ru/big/2014/0707/6a/6560a1d4e4c7bfecb6d1e31d147db56a.png[/IMG]
[URL="http://rghost.ru/56775686"]вот лог.[/URL]
1) Mobogenie опять попал в базу чистых.
[HTML]<ITEM PID="596" File="c:\program files\mobogenie\daemonprocess.exe" CheckResult="0" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files\Mobogenie\DaemonProcess.exe"" Size="761024" Attr="rsAh" CreateDate="23.01.2014 22:20:17" ChangeDate="10.12.2013 10:30:11" MD5="1A48C5D391127BB190FEAB18EE5FB6E2" IsPE="1"[/HTML]
[URL="http://rghost.ru/57039783"]вот лог.[/URL]
2) Уже писал про ошибку парсинга подобной строки, по тому логу вроде поправили, сейчас снова не совсем правильно распарсило
[HTML]<ITEM File="$11022A,3464320,53248,C:\Users\2BD1~1\AppData\Local\Temp\Rar$EXa0.501\Tunngle_Setup_v4.4.0.1.exe" JobName="SidebarExecute" Status="23653220" CheckResult="-1" Enabled="49720800" Descr="" LegalCopyright="" SHPath="C:\Windows\system32\Tasks\" FullCmd=" C:\Program Files (x86)\Windows Sidebar\sidebar.exe /SL5="$11022A,3464320,53248,C:\Users\2BD1~1\AppData\Local\Temp\Rar$EXa0.501\Tunngle_Setup_v4.4.0.1.exe""/>[/HTML]
[URL="http://rghost.ru/57039873"]вот лог.[/URL]
3) Непонятные символы в XML
[HTML] <Interface Name="Hamachi" IPAddress="0.0.0.0" SubnetMask="0.0.0.0" DefaultGateway="????SC?????A??????????????c????????????ѕ??????????????????ѕ???????????????ѕ???????????????????????????????????????????????????????????????ѕ??????????????????ѕ???????????????ѕ???????????????????????????????????????????a??????a????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????в????????aA??????Џ?A????a??a!???ЎЖ????????????????????????????????????????????????????????a??????????????????????????????????????????????????????????????????????????????????????????????????°???????????????????????????C????|?ad?????A???????a????????????ѕ??????????????????ѕ??????????????????????????????????????ѕ??????????????????ѕ??????????????????ca????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????Р?????a????C??????????????????????????e!??a????a??A?????c??a???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????|lC?????ш??????OC" NameServer="" Domain="" DhcpServer="25.0.0.1" />[/HTML]
[IMG]http://i67.fastpic.ru/big/2014/0722/98/6d347e6e94f1cfb688e28de2de1db298.png[/IMG]
[URL="http://rghost.ru/57039937"]лог.[/URL]
4) Не экранированные кавычки в XML [URL="http://rghost.ru/57039975"]логе[/URL]
[HTML]<KEYLOGGER>
<ITEM File="C:\Windows\system32\uxtheme.dll" Verdict="Реагирует на события: клавиатура
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "Область поиска")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "Антивирусная утилита AVZ")" CheckResult="-1" Size="245760" Attr="rsAh" CreateDate="14.07.2009 06:39:11" ChangeDate="13.02.2014 22:38:26" MD5="44A31726E11AD598BB1D9C30A691D06A" Vendor="Microsoft Corporation" Product="Операционная система Microsoft® Windows®" OFN="UxTheme.dll.mui" Ver="6.1.7600.16385" IsPE="1" IsDLL="1"/>
<ITEM File="C:\Windows\system32\slc.dll" Verdict="" CheckResult="-1" Size="36352" Attr="rsAh" CreateDate="14.07.2009 06:35:27" ChangeDate="03.08.2011 21:34:01" MD5="75DEBE9728CF0E1882C3D55D4DEC0C6D" IsPE="1" IsDLL="1"/>
</KEYLOGGER>[/HTML]
5) Опять не экранированные кавычки
[HTML] <ITEM PID="1984" File="c:\windows\samsung\panelmgr\ssmmgr.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\Windows\Samsung\PanelMgr\SSMMgr exe" /autorun" Size="688128" Attr="rsAh" CreateDate="09.03.2013 14:44:42" ChangeDate="05.07.2011 22:31:59" MD5="280B622B4C4C717A9E053EAA01B38949" OFN="LaserSMMgr.EXE" Ver="3.3.0.4" IsPE="1" />[/HTML]
[URL="http://rghost.ru/57040211"]вот лог.[/URL]