AVZ 4.30

[quote=avz;216548]Если б я не разбирался, то наверно не спрашивал бы как удалить службу.)[/quote]
Я на самом деле не вам лично - считаю просто, что надо предупреждать слишком смелых.
[quote=avz;216548]Имя службы я вводил правильно.. смотрел по тому же авз.. К примеру Themes. Из служб работают только:
Удаленный вызов процедур (RPC), Службы криптографии, Сетевые подключения, Инструментарий управления Windows, Запуск серверных процессов DCOM, Журнал событий, Диспетчер учетных записей безопасности, Windows Audio, Plug and Play и файервол.[/quote]
Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.
Можно, конечно, по другому - через командную строку, вот так:
[FONT=Tahoma][SIZE=2]sc delete <service name> и перезагрузить комп.
Как я уже сказал: сначала отключить её (Тип Запуска на 'Отключено') и перезагрузить комп.
Вот что у меня осталось из 64 служб, которые были (некоторые там не виндовские):

[IMG]http://i020.radikal.ru/0804/c3/37cbd09a2360.jpg[/IMG]

Paul


[/SIZE][/FONT]

[QUOTE=p2u;216554]Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.[/QUOTE]Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?

[quote=avz;216589]Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?[/quote]
Здесь ещё парочка:
[url]http://www.oszone.net/2357/Services[/url]
С теми, которые там НЕ называются, надо быть крайне осторожным - если они спрятаны от пользователей, то тогда на это, возможно, причина есть. При сомнении введите название в Гугл и там, скорее всего, можно ответ найти о том, что это такое и можно ли это отключить. Если можно отключить, значит можно удалить.
P.S.: В крайнем случае можно их создать заново:
cmd -> sc create <service name> (скорее всего потребуется установочный диск Windows)

Paul

[QUOTE=Mad Scientist]Помню, AVZ и не у не всех юзермод перехватчиков показывает имена файлов.
К примеру:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll: ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.PushAndRet, а кто перехватывает - это оставляется как дополнительное задание пользователю.
Конечно, мне легко говорить в той области, где я не разбираюсь[/QUOTE]

[QUOTE=Vorland]Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?[/QUOTE]

[QUOTE=Зайцев Олег;216228]2. Можно - в принципе можно вывести машинный код, можно дизассемблированный кусок из первых трех-четырех команд[/QUOTE]

Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе. Олег, можно ли выводить модули, где эти перехватчики расположены? Или есть условия, при которых либо выводятся модули, либо только адреса? Проясните Олег, ситуацию, если не затруднит...

[QUOTE=Vorland;216722]Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе.[/QUOTE]

Недавно боролся с user-mode руткитом HackDef. Вот как AVZ его определил - информация из лога AVZ:
[QUOTE]1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1312 msdvdr.pif[/QUOTE]

В разделе "Подозрительные объекты":
[QUOTE]C:\WINNT\system32\msdvdr.pif Подозрение на RootKit[/QUOTE]

Да, было бы неплохо, если бы отображался модуль юзермоде-перехватчика.

Реакция на перехват MessageBoxA и MessageBoxW:

1.1 Поиск перехватчиков API, работающих в UserMode
Функция user32.dll:MessageBoxA (477) перехвачена, метод APICodeHijack.JmpTo[00D42D4E]
Функция user32.dll:MessageBoxW (484) перехвачена, метод APICodeHijack.JmpTo[00D42EE6]

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Hook_MessageBox.dll --> Подозрение на Keylogger или троянскую DLL
Hook_MessageBox.dll>>> Поведенческий анализ
Hook_MessageBox.dll>>> Нейросеть: файл с вероятностью 98.07% похож на типовой перехватчик событий клавиатуры/мыши

В принципе, если в пункте 5 всегда будет орать на юзермод перехваты, то этого будет достаточно, правда если будет несколько библиотек, перехватывающих функции, то будет непонятно кто чего перехватил.

Как я понял, чтобы посмотреть ручником, нужно уметь пользоваться отладчиком (SoftIce) ? :)

Что за прикол такой, всегда отлично обновлялось, а сегодня пишет:

[IMG]http://i002.radikal.ru/0804/34/3e565dc327aa.jpg[/IMG]

-------------------------------------------------------

Добавлено позже:
Оказывается и сайт тоже не доступен.

[quote=sergey888;217337]Что за прикол такой, всегда отлично обновлялось, а сегодня пишет:

[IMG]http://i002.radikal.ru/0804/34/3e565dc327aa.jpg[/IMG][/quote]
А что дает повтор через некоторое время или указание альтернативного зеркала ?

Спасибо !!!
Альтернативное зеркало помогло.
5 повторов в течении 20 минут не помогали.

А я и не обращал внимания, что там есть альтернативное зеркало.

Ошибку подтверждаю,при указании зеркала все нормально

[quote=Гриша;217347]Ошибку подтверждаю,при указании зеркала все нормально[/quote]
Я провел внеочередное обновление - апдейт с z-oleg.com должен заработать

А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен

[quote=username1;218559]А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен[/quote]


Это драйвер файловой системы FAT32. Т.е она защищает свои данные о названиях файлов, атрибутов вообщем.

[QUOTE=username1;218559]А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен[/QUOTE]

Либо алкоголь либо буткит.

[quote=Alex_Goodwin;218619]Либо алкоголь либо буткит.[/quote]

А буткит это опасно??
Вообще почему AVZ не определил модуль, это баг или фича?

[quote=username1;218981]А буткит это опасно??
Вообще почему AVZ не определил модуль, это баг или фича?[/quote]
буткит- да, опасно :diablo:
Довольно прикалываться, как научиться avz определять не заваливая систему 100 процентов, тогда вы и увидите. А пока это не безопасно для системы, поэтому пока так.:P

AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:
[QUOTE]Компьютер был перезагружен после критической ошибки: 0x100000ce (0xbac59338, 0x00000008, 0xbac59338, 0x00000000).[/QUOTE]
файл мини-дампа, прилагается.

[QUOTE=Rampant;220663]AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:

файл мини-дампа, прилагается.[/QUOTE]


[CODE]Windows XP Kernel Version 2600 (Service Pack 3)[/CODE]

У вас SP3 стоит ?

ujexmtm2.sys вероятнее всего вызвал сбой.

Попробуйте выполнить:
[CODE]begin
ExecuteStdScr(6);
end.[/CODE]
И перезагрузится... проблема пропала?

Спасибо за совет, но прежде чем применить этот скрипт, хотелось бы узнать, что это за драйвер, и что исправляет этот скрипт.

Скрипт удаляет драйвера AVZ.

Т.е. с установленным СП3, я буду и в дальнейшем иметь подобные проблемы? Похоже буду, выполнил скрипт, опять синий экран и ребут. Хотелось бы услышать коментарий Олега Зайцева.

[quote=Rampant;220748]Т.е. с установленным СП3, я буду и в дальнейшем иметь подобные проблемы? Похоже буду, выполнил скрипт, опять синий экран и ребут. Хотелось бы услышать коментарий Олега Зайцева.[/quote]
А откуда SP3 взялся, если не секрет ? На офсайте он вроде как не предлагается пока, Windows Update его тоже не предлагает ... множество сборок в Инет типа "100% подлинная версия Windows XP SP3 от Васи Пупкина" я не беру в расчет. Появится официальный SP3, приползет через апдейт, на нем будет проверено и в случае надобностии подрихтовано (драйвера AVZ хранятся в обновляемой базе, поэтому проблем не будет).

[QUOTE=Rampant;220748]Т.е. с установленным СП3, я буду и в дальнейшем иметь подобные проблемы? Похоже буду, выполнил скрипт, опять синий экран и ребут. Хотелось бы услышать коментарий Олега Зайцева.[/QUOTE]

:) Проверьте файл установки SP3 - В нем есть Цифровая подпись от Microsoft? (В свойствах файла)

Вот фото

Несколько раз запускал сканирование папки с несколькими троянами
в параметрах поиска типы файлов - все, эвристика - на максимуме.
что то не так настроено?
все время пишет - просканировано: 0 файлов
3. Сканирование диска. - это строчка видимо показывает что сканирование файлов все-таки было? а сколько просканено,
если при вкл. отчете для чистых - ничего не пишет?
Опять же - что то не так настроено?
Перехвачены API функции - что делать, если проверка drweb
ничего не дала.
Вопрос Олегу. Иногда приходится, загружаться через безопасный режим
в консоль(когда - бывают иногда случаи), у почему бы не сделать консольный вариант с максимально продуманными настройками?
зы.лог приложен.

[quote=Зайцев Олег;220783]А откуда SP3 взялся, если не секрет ? На офсайте он вроде как не предлагается пока, Windows Update его тоже не предлагает ... множество сборок в Инет типа "100% подлинная версия Windows XP SP3 от Васи Пупкина" я не беру в расчет. Появится официальный SP3, приползет через апдейт, на нем будет проверено и в случае надобностии подрихтовано (драйвера AVZ хранятся в обновляемой базе, поэтому проблем не будет).[/quote]

Релиз для производителей уже состоялся(смотрите раздел новостей). А скачать его можна например с [url]www.softpedia.com[/url] :>

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

PS. проверил у себя, у меня проблем с включением-выключением AVZ Guard проблем нет.

[quote=Muffler;220912]Релиз для производителей уже состоялся(смотрите раздел новостей). А скачать его можна например с [URL="http://www.softpedia.com"]www.softpedia.com[/URL] :>

[SIZE=1][COLOR=#666686][B][I]Добавлено через 16 минут[/I][/B][/COLOR][/SIZE]

PS. проверил у себя, у меня проблем с включением-выключением AVZ Guard проблем нет.[/quote]
Про выпуск для производителей я слышал ... но беда в том, что этот выпуск интегрируют в XP и выкладывают в Инет все, кому не лень - поэтому не исключено, что у конкретного человека установлен пре-релиз SP3 или что-то кривособранное из Инет.

>>> Обратите внимание: Порт 6000 TCP - X Windows, Gambler NetGame, Remote Anything (c:\program files\xming\xming.exe)

Во-первых, маленькая поправка: не X Windows, а X Window, иначе M$ это дело бы так не оставила)
Во-вторых, может быть, стоит добавить этот X-сервер как безопасное приложение?

[quote=WhiteWind;221784]>>> Обратите внимание: Порт 6000 TCP - X Windows, Gambler NetGame, Remote Anything (c:\program files\xming\xming.exe)

Во-первых, маленькая поправка: не X Windows, а X Window, иначе M$ это дело бы так не оставила)
Во-вторых, может быть, стоит добавить этот X-сервер как безопасное приложение?[/quote]
Буковку "s" убрать несложно, а вот насчет базы безопасных - вопрос спорный. Дело в том, что нередко средства удаленного управления применяются как админами, так и злоумышленниками (я например в своей сети запретил все средства удаленного управления клиентскими ПК)

Команда ExecuteSysClean не отрабатывает такой параметр автозапуска:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

После проверки всех дисков и перезагрузки в системе обнаружено неопознаное новое устройство. В диспетчере устройств оно так и висит всё время.
Что бы это могло быть?

[quote=U$er;222908]После проверки всех дисков и перезагрузки в системе обнаружено неопознаное новое устройство. В диспетчере устройств оно так и висит всё время.
Что бы это могло быть?[/quote]
AVZGuard включался ? В любом случае стоит выполнить "Файл\Стандартные скрипты" в AVZ, там отметить скрипт номер 6, нажать кнопку выполнения и затем перезагрузиться. Может быть, это "хвост" от AVZGuard

[QUOTE=Зайцев Олег;222909]AVZGuard включался ?[/QUOTE]
Да включался. При включённом AVZGuard кстати была тоже проблема - не получалось запустить ни один ехе, появлялось сообщение что у меня нет прав или что-то в этом духе. Скрипт выполнил, ещё не ребутился.
Спасибо за совет.

[QUOTE=U$er;222918]Да включался. При включённом AVZGuard кстати была тоже проблема - не получалось запустить ни один ехе, появлялось сообщение что у меня нет прав или что-то в этом духе. Скрипт выполнил, ещё не ребутился.
Спасибо за совет.[/QUOTE]
При включенном Гуарде так и должно быть. Для того, чтобы что-то включить/запустить надо его отключить.

[QUOTE=U$er;222918]Да включался. При включённом AVZGuard кстати была тоже проблема - не получалось запустить ни один ехе, появлялось сообщение что у меня нет прав или что-то в этом духе. Скрипт выполнил, ещё не ребутился.
Спасибо за совет.[/QUOTE]

[url]http://z-oleg.com/secur/avz_doc/systemguard_main.htm[/url] вот это почитайте - Это прямое назначение AVZGuard-а

Решил написать сюда так как не могу найти никакой информации и отзывов. Что там насчет APS(Anti Port Scanner) Кто-нибудь этим еще пользуется или проект давно заброшен, а то что-то APS давно не обновляется, но в тоже время ее все еще можно скачать.
Тут на форуме поисковик не выдает никакой информации.

[quote=sergey888;223785]Решил написать сюда так как не могу найти никакой информации и отзывов. Что там насчет APS(Anti Port Scanner) Кто-нибудь этим еще пользуется или проект давно заброшен, а то что-то APS давно не обновляется, но в тоже время ее все еще можно скачать.
Тут на форуме поисковик не выдает никакой информации.[/quote]
А собственно что там искать ? APS является типовым сторожем, который прослушивает описанные в базе порты и поднимает тревогу в случае подключения, подбивая статистику по тому, что, куда, откуда и сколько пришло. Глюкова значимых нет, практически весь мыслимый функционал для такой тулзы там есть ...

[quote=Зайцев Олег;223791]А собственно что там искать ? APS является типовым сторожем, который прослушивает описанные в базе порты и поднимает тревогу в случае подключения, подбивая статистику по тому, что, куда, откуда и сколько пришло. Глюкова значимых нет, практически весь мыслимый функционал для такой тулзы там есть ...[/quote]

И что за все это время с 2004 года не понадобилось никаких изменений и дополнений ??? ;)
Ну хоть бы какие новые порты прослушивать научить нужно было. :D

[quote=sergey888;223792]И что за все это время с 2004 года не понадобилось никаких изменений и дополнений ??? ;)
Ну хоть бы какие новые порты прослушивать научить нужно было. :D[/quote]
Так там же специально база сделана внешняя, XML, все документировано + есть встроенный инструментарий для редактирования этой базы (если кому XML не интересно править). Поэтому каждый может подогнать базу под себя ...

[quote=Зайцев Олег;223797]Так там же специально база сделана внешняя, XML, все документировано + есть встроенный инструментарий для редактирования этой базы (если кому XML не интересно править). Поэтому каждый может подогнать базу под себя ...[/quote]

Ну хорошо предположим вы правы. Но почему на форуме не возможно найти никакой информации об этом. Об AVZ сколько угодно, а о APS никакой. Что тут на форуме эта программа никого не заинтересовала ???
Хотелось бы увидеть отзывы людей помогла ли она хоть кому, а найти ничего не возможно. ;)