Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
Printable View
Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
@ [B]Jef239[/B]
Это что-то новенькое... =)
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это [I]System[/I], а не [I]System Idle Process[/I] (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса [I]System[/I] - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.
Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?
@ [b]zerocorporated[/b]
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...
PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?
[quote=aintrust;161997]@ [B]Jef239[/B]
Это что-то новенькое... =)
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это [I]System[/I], а не [I]System Idle Process[/I] (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса [I]System[/I] - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.
Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?
@ [B]zerocorporated[/B]
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...
PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?[/quote]
Я знаю про карантин System, это мелкий баг ... Там все просто, AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.
А мой вопрос на предыдущей странице? :)
[quote=NickGolovko;161847]Олег,
посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит
C:\WINDOWS\S
HJT показывает на ее месте
O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe
Из-за этого я забыл этот файл в скрипте пользователю. :) Подозреваю, что подобное бывало и ранее, но спрашиваю: фиксабельно? :)[/quote]
На месте знака ? стоит какой-то непечатный символ, который AVZ воспринял как разделитель. В теории это можно поймать, я думаю как
[QUOTE=Зайцев Олег;161999]AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.[/QUOTE]
Однако! =)
Олег, посмотрите пожалуйста логи в этом сообщении:
[url]http://virusinfo.info/showpost.php?p=162129&postcount=6[/url]
Чем объяснить, что в логе HJT видно:
[quote]O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll[/quote]
а в AVZ - нет?
А файл этот есть на диске?
Есть запись в реестре, которую нужно показать в любом случае.
[quote=Maxim;162184]Есть запись в реестре, которую нужно показать в любом случае.[/quote]
Возможна ситуация, что файл чистый - тогда запись подавится
Да не похоже ;( [url]http://virusinfo.info/showthread.php?t=12651[/url]
объясните пожалуйста обозначение результата сканирования
вот цитирую часть лога
[QUOTE]
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E711B9->77ED6D7B
Перехватчик kernel32.dll:CopyFileA (62) нейтрализован
Функция kernel32.dll:CopyFileExA (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->77EB1E41->77ED6D8A
Перехватчик kernel32.dll:CreateProcessW (100) нейтрализован
Функция kernel32.dll:DeleteFileA (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7177A->77ED6DB7
Перехватчик kernel32.dll:DeleteFileA (125) нейтрализован
Функция kernel32.dll:DeleteFileW (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E71660->77ED6F1F
Перехватчик kernel32.dll:MoveFileW (602) нейтрализован
Функция kernel32.dll:OpenFile (615) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E72B38->77ED6D4E
Перехватчик kernel32.dll:OpenFile (615) нейтрализован
>>> Внимание, таблица KiST перемещена ! (804FBCA0(284)->E18E3758(297))
Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80556B0E->F2A73302), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805809A6->F2A7102C), перехватчик
D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtQueryInformationFile (97) перехвачена (8055841A->F29A627A), перехватчик D:\WINDOWS\System32\Drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805AB91E->F2A70BB4), перехватчик
[/QUOTE]
я так и не понял, программа обнаружила Руткит или нет?
В ходе сканирования программа снимает хуки и следит за перехватами.
Тут у Вас перехват от cmdmon.sys, но читаем дальше:
[code]Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, [b]драйвер опознан как безопасный[/b][/code]
Т.е. это не руткит.
Конкретно тут - cmdmon.sys от Comodo Firewall, klif.sys - от Антивируса Касперского
[quote=aintrust;161997]@ [B]Jef239[/B]
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это [I]System[/I], а не [I]System Idle[/I][I] Process[/I] (этот псевдо-процесс всегда имеет PID 0).[/quote]
Угу, описался.
[quote=aintrust;161997]Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?[/quote]
О!!!!!!!!!! Полюбуйся!!!!!!!!!!!!!!!! ROTFL! Да, фактическая длина dta -8192 байта. А ты разве не тестер, что не заметил такое чудо?
[CODE]Ошибка карантина файла, попытка прямого чтения (F:\WINNT\System)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (F:\WINNT\System)
[/CODE]
[CODE][InfectedFile]
Src=F:\WINNT\System
Infected=avz00104.dta
Virus=Скопирован автоматически из диспетчера процессов
QDate=19.12.2007 0:11:38
Size=0
MD5=EF8BE0A44DDA0FBFEC365549DE09BA97
[/CODE]
[quote=aintrust;161997]@ [B]zerocorporated[/B]
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...[/quote]
Или у тебя в XP иначе, или ты не понял как смотреть. Передвигаешь сплитер вверх, за границу Constraints.MinHeight. Отпускаешь сплитер. Он уставливается по MinHeight. И видишь описанный эффект.
Кроме того, что описано, не виден сплитер.
[IMG]http://virusinfo.info/attachment.php?attachmentid=25646&stc=1&d=1198013816[/IMG]
Для визуального пропадания эффекта нужно сделать rearrange, например, путём максимизации или нормализации окна.
[b]Команда DeleteService не работает,[/b]
не только для активного, но и для отключенного сервиса/драйвера!
Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает :(.
[QUOTE=Зайцев Олег;161621]
Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.
[/QUOTE]
этот вариант, действительно можно реализовать, использую планировщик заданий, либо системный, либо встроенный в антивирусные программы... тем более, что через консоль управления (Enterprise Edition) можно любому компьютеру поставить задание удаленного запуска AVZ с получением лога исследования и с выполнением уже готового скрипта лечения.
[QUOTE=Зайцев Олег;161621]Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.[/QUOTE]
ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.
Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:
[code]O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/code]
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
Свежий пример тут:
[url]http://virusinfo.info/showthread.php?t=15469[/url]
[quote=Bratez;162579]Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:
[code]O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/code]
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
Свежий пример тут:
[URL]http://virusinfo.info/showthread.php?t=15469[/URL][/quote]
Если служба реально существует, и у нее задан реальный тип автозапуска, то AVZ ее покажет. И файл покажет ... в виде:
[SIZE=2][COLOR=#ff0000]с:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
[/COLOR][/SIZE]
А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[quote=santy;162500]ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.[/quote]
А все дело в том, что для анализатора нужна стационарная база + много чего еще, это очень громоздакая технология. Очень мощная, но очень громоздкая. Под нее мощный сервак нужен, база и прочее
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=Bratez;162427][B]Команда DeleteService не работает,[/B]
не только для активного, но и для отключенного сервиса/драйвера!
Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает :(.[/quote]
Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)
[QUOTE=Зайцев Олег;162599]Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)[/QUOTE]Добавьте кнопочку "Карантин через BC". Очень прошу...
[QUOTE=Зайцев Олег;162599]А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет
[/QUOTE]
Я с этим категорически не согласен. Это огромная дыра в АВЗ сквозь которую проходят и будут проходить руткиты. Показано должно всё что есть в реестре, не зависимо от параметров запуска и наличия файла на диске.
Согласен с Geser, давно уже хотел об этом сказать, информация о системе небывает лишней..
Поддерживаю.
Присоединяюсь. Такие штуки надо показывать:
- либо это активный зловред, которого надо мочить
- либо это мусор, который надо убирать
Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...
Для удобства : для раздела автозапуска в логе добавить также кнопочки удаления ;)
[quote=XL;162718]Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...[/quote]
угу я писал об этом, тоже..
[QUOTE=Geser;162619]Я с этим категорически не согласен. Это огромная дыра в АВЗ сквозь которую проходят и будут проходить руткиты. Показано должно всё что есть в реестре, не зависимо от параметров запуска и наличия файла на диске.[/QUOTE]
Я видел несколько раз в отчетах хвосты из реестра. Файла нет, запись есть.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE=XL;162718]Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...[/QUOTE]
Как я понимаю, AVZ смотрит на исполняемый файл svchost.exe, а не на файл в его потоке.
записи зловредов надо удалять даже если файла самого нет. Если уж взляли на себя лозунг :" за чистый интернет" - надо соблюдать ;)
кстати о том что не хватает в avz , а есть в hijackthis.
в hijackthis есть строчки с 012 ( плагины експлорера , если не ошибаюсь)нет этого в логе AVZ . Вот явное доказательство :
C:\Programme\Internet Explorer\Plugins\NPUPano.dll нет упоминания данного файла в логах AVZ.
[url]http://virusinfo.info/showthread.php?p=162933#post162933[/url]
Вот что за глюк нашёл: При устранение проблемы "Отключить кэширование данных, полученных по защищенному протоколу" Создаётся ключ:
[CODE]HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Internet Settings
DWord DisableCachingOfSSLPages = 1[/CODE]
Тут опечатка как мне кажется в слове Current Version лишний пробел!
[QUOTE=NickGolovko;162807]
Как я понимаю, AVZ смотрит на исполняемый файл svchost.exe, а не на файл в его потоке.[/QUOTE]
Угу, похоже что так. Значит, надо научить avz еще и stream'ы проверять в таком случае...
Есть подозрение, что команда DelCLSID тоже не работает...
Хм, я в какой-то из тем применял - работало
В том то и дело, что работает через раз.
[quote=Maxim;163004]Есть подозрение, что команда DelCLSID тоже не работает...[/quote]
Аналогично.
Вот DelBHO точно работает, и это радует :biggrin:.
[quote=Maxim;163014]В том то и дело, что работает через раз.[/quote]
Не через раз, а с точной математичсекой закономерностью. Это уже пофиксено. Релиз - в субботу. Можно было бы и сегодня, но я хочу с ADS и битыми службами решить вопрос, чтобы релизы не плодить
[QUOTE=Зайцев Олег;163033]Не через раз, а с точной математической закономерностью. Это уже пофиксено.[/QUOTE]Извините, не хотел обидеть. За релиз спасибо.
[url]http://virusinfo.info/showpost.php?p=163059&postcount=6[/url]
Это пару раз уже видел. Отловлен баг?
[quote=Geser;163062][URL]http://virusinfo.info/showpost.php?p=163059&postcount=6[/URL]
Это пару раз уже видел. Отловлен баг?[/quote]
Нет. Он возникает на W2K SP4, я ловлю его
А вот старый вопрос (я уже его поднимал) - на консоли W2k с работающим сервером терминалов AVZ некоторые пути указывает совсем не в тему.
В частности,
1. При работе на консоли, если пользователю средствами AD задан домашний диск (см. рис. 1), то и в диспетчере процессов AVZ, и во многих других местах вместо правильного пути c:\windows\blala указывается p:\windows\blabla
2. При работе в терминальной сессии тоже часть путей показывается неправильно. Иллюстрация - рис. 2 - вообще уникально - AVZ сумел исказить путь из ярлыка! Там то чего искать? :wink_3:
Хотя, покопавшись, нашёл вот что - если свойства ярлыка открыть через плагин EMenu к FARу, то путь действительно такой, как показывает AVZ, то есть как на рис.3 (from_far.png). Если же этот ярлык найти в меню и узнать его свойства там, то получаем рис.4 (from_menu.png)
Вот такой блин терминал. Соответственно, как то трудновато использовать AVZ там.
:sad: