А на VI выливать не сложно? Да и можно придумать механизм поочередного обхода серверов, 1. ЛК 2. VI 3. z-oleg
Printable View
А на VI выливать не сложно? Да и можно придумать механизм поочередного обхода серверов, 1. ЛК 2. VI 3. z-oleg
[quote=Биомеханик;325014]А на VI выливать не сложно? Да и можно придумать механизм поочередного обхода серверов, 1. ЛК 2. VI 3. z-oleg[/quote]
На мой сайт и на VI обновления попадают автоматичсеки, это делает робот, собирающий апдейт и размещающий его по FTP. У ЛК масса заркал, и там все несколько сложнее. Да и проблема не стоит того - актуальные базы конечно хороши, но для исследования ПК радикальной роли не играют ... а в полиморфоной сборке базы всегда актуальные
можно привязать download.z-oleg.com к айфолдеру - оттуда и пусть закачивают саму новую версию и с рапиды. а обновы только на ВИ выкладывать или на ЛК-ашные сервера - так вообще на z-oleg траффа не будет)))
Ну не так уж и много. На AVZ базы выходят раз в день. За час можно их раскидать. Ладно понял, но как тогда быть с трафиком от обновлений? Может на бесплатном хостинге их выкладывать?
Олег!
вот эта строчка неправильно отображается в логе AVZ:
[CODE]O20 - AppInit_DLLs: c:\progra~1\agnitum\outpost firewall pro\wl_hook.dll[/CODE]
[QUOTE]
c:\progra~1\agnitum\outpost
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
firewall.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
pro\wl_hook.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs [/QUOTE]
Нельзя ли это поправить?
firewall.exe - вот этого вообще нигде нет на машине.
Пожелание для новой версии AVZ:
добавить в категорию Автозапуска плагины FireFox.
Похоже, появились такие зловреды, что выгружаются, внедрив свой код.
[url]http://virusinfo.info/showpost.php?p=326505&postcount=13[/url]
[quote=AndreyKa;326527]Пожелание для новой версии AVZ:
добавить в категорию Автозапуска плагины FireFox.
Похоже, появились такие зловреды, что выгружаются, внедрив свой код.
[URL]http://virusinfo.info/showpost.php?p=326505&postcount=13[/URL][/quote]
Да, расплодилось браузеров ... займусь на досуге, посмотрю, что и где он там хранит
[QUOTE=PavelA;326391]вот эта строчка неправильно отображается в логе AVZ:
[CODE]O20 - AppInit_DLLs: c:\progra~1\agnitum\outpost firewall pro\wl_hook.dll[/CODE][/QUOTE]
Да, поправьте. В логах очень часто такое вижу.
[quote=Зайцев Олег;326536]Да, расплодилось браузеров ... займусь на досуге, посмотрю, что и где он там хранит[/quote]
И заодно, если возможно, для браузера Opera - Сtrl+F12 - Содержимое - Настроить Javascript - Папка пользовательских файлов JavaScript - она бывает изменена, встречал случай с порноплагином, основной зловред был удален, но оставался feeder.js
Ещё вопрос, проверяются ли ветки реестра
[code]HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\[/code]И если нет, может стоит внести проверку на предмет подозрительных записей? И ещё, м.б. на уровне эвристики в логах выдавать уведомления по несоответствиях, в папке windows и подпапках, таких как например %systemroot%\svchost.exe (это уже я где-то в логах видел), %systemroot%\drivers, во временных папках, во всех профилях пользователей, например %userprofile%\Application Data, т.е. отображать не только то, что загружено в момент работы AVZ, но и организовать поиск по именам файлов (или по отпечаткам), заодно можно выводить отдельно список недавно созданных файлов (напр. за 30 дней), не прошедших по базе безопасных и файлов без цифровых подписей (такой вопрос уже когда-то поднимался).
[QUOTE]вот эта строчка неправильно отображается в логе AVZ:[/QUOTE]
встречал также случаи, когда некорректно отображались файлы из секции службы и автозапуска, цельные строчки (судя по HJT) в логах AVZ делились на несколько строчек, иногда встречалось в драйверах, например .sys, или msiexec без расширения, но это имхо мелкие баги )
[B]to Pili[/B]
1. Ключи:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\
не проверяются на предмет содержимого в явном виде, но они могут быть восстановлены по эталогу исходя из версии операционной системы одним из скриптво восстановления.
2. Контроль доверенных приложений из SharedAccess будет в новой версии
3. mountpoints2 сейчас не мониторится, но предполагается его чистка и анализ
4. Подозрительные файлы ищутся - есть набор характерных имен + поиск файлов в папках типа Fonts и т.п., где им не место. Это пока сделано как этам эвристической проверки системы
[quote=Зайцев Олег;326809][B]to Pili[/B]
не проверяются на предмет содержимого в явном виде, но они могут быть восстановлены по эталогу исходя из версии операционной системы одним из скриптво восстановления.[/quote]
По восстановлению это понятно, просто в ветках реестра
SafeBoot, иногда видны зловреды, которые не отображаются например в секции драйверов, то же самое с mountpoints2 и sharedaccess
примеры
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmctl.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VIDEO]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mmctl.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\VIDEO]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Windows Messenger\svchost.exe"="C:\Program Files\Windows Messenger\svchost.exe:*:Disabled:svchost"
"C:\Documents and Settings\user\Local Settings\Temp\4\svchost.exe"="C:\Documents and Settings\user\Local Settings\Temp\4\svchost.exe:*:Disabled:svchost"
"G:\\activexdebugger32.exe"="G:\\activexdebugger32.exe:*:Enabled:ipsec"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f0eb4a2-e20c-11db-b391-0016d4a3a091}]
shell\Auto\command - G:\activexdebugger32.exe f
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8712f221-d7b4-11db-b234-a125bca4d59a}]
shell\AutoRun\command - G:\autorun.exe[/CODE]
[quote=Geser;324927]Я думаю если новую версию выложить только на рапиду, скажм за месяц до того как она появится на сайте, то будет гораздо больше загрузок оттуда.[/quote]
Ребят, думайте и о нас, кто сидит за "серыми" ip-адрессами, в локальных сетях, скачать с рапиды практически невозможно, а таких очень много.
Мониторит ли AVZ эту ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems, ключ Windows ? Старая версия (4.24), вроде бы туда не заглядывала. Спрашиваю потому, что встречал злодея, который прописывал вместо basesrv свою dll. Это был очередной псевдоантивирус, попил мне крови.
И еще, загрузочный сектор проверяется?
[quote=antanta;327112]Мониторит ли AVZ эту ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems, ключ Windows ? Старая версия (4.24), вроде бы туда не заглядывала. Спрашиваю потому, что встречал злодея, который прописывал вместо basesrv свою dll. Это был очередной псевдоантивирус, попил мне крови.
И еще, загрузочный сектор проверяется?[/quote]
Мониторит и автоматом восстанавливает после лечения
Установил вот эту программу. Запустил АВЗ. Она ругается на килоггер и на какой-то порт. До установки Макафи Сайтадвайзера такого не было.
[URL]http://soft.softodrom.ru/ap/p3472.shtml[/URL]
Вопрос по этому логу из "Помогите".
1.4 Поиск маскировки процессов и драйверов
[QUOTE]>> Маскировка драйвера: Base=BAE49000, размер=102400, имя = "\systemroot\system32\drivers\senekahxji.sys"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
[/QUOTE]
Почему этот файл не за карантинился автоматически, и даже не попал в список подозрительных объектов.
[QUOTE=Sibir;327987]Она ругается на килоггер и на какой-то порт.[/QUOTE]
Логи в студию - будет конкретный ответ. Иначе - "либо встретите динозавра, либо нет".
Анинстолировал Макафи Сайтадвайзер - и АВЗ перестал ругаться :-)
Здравствуйте!С Новым годом! :huh: Утилита подозревает один системный файл в том,что он Trojan-GameThief.Win32.OnLineGames.tear.Касперский,Dr.Web и антивирусы на Virustotal ничего плохого в этом файле не видят.
Есть пожелания к новой версии
Можно строчки вида
[QUOTE]Функция NtDeleteKey (3F) перехвачена (80593334->AA420EC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный[/QUOTE]
в случаи опознания как безопасный не выделять красным цветом.