[B]DelBHO[/B] не отработала должным образом [url]http://virusinfo.info/showthread.php?t=37342[/url]
Printable View
[B]DelBHO[/B] не отработала должным образом [url]http://virusinfo.info/showthread.php?t=37342[/url]
Вроде бы отработала она своё. Или я не туда смотрю?:)
Здравствуйте!
Заметил такую проблему. После проверки и лечения и перезагрузки компьютера Windows XP SP2/3 находит неизвестное устройство, и пытается ставить для него драйвер. Драйвер не находит и в системе остается висеть неизвестное устройство. Случай не единичный, от сборки XP не зависит.
Это побочный эффект работы AVZGuard, можете безболезненно удалить это устройство...
После перезагрузки устройство будет найдено снова. Надо как-то избавляться от этого побочного эффекта. Возможно это драйвер расширенного мониторинга процессов оставляет какую-то бяку?
AVZ - меню - Файл - Стандартные скрипты - Удаление всех драйверов и ключей реестра AVZ.
Не знаю поднимался ли такой вопрос... Возможно ли на сайте z-oleg.com разместить альтернативную ссылку для скачивания утилиты avz с минимумом баз (или к примеру только файл avz.exe и поддержкой языков) . Иногда приходится пользоваться только функцией "Восстановление системы", а пользователю сидящему на Dialupe не в радость выкачивать 3,5 Мб вместо возможных 800кб.
Олег подскажите, можно ли текстовый лог из HJT проверить в AVZ? Может это конечно глупый вопрос, но я только учусь. :smile:
[quote=LEON®;339378]можно ли текстовый лог из HJT проверить в AVZ? Может это конечно глупый вопрос, но я только учусь. :smile:[/quote]
неа, но рассмешил :lol:
Лог Хиджака можно проверить в анализаторе для Хиджака, но "студентам" это лучше делать самостоятельно. ;)
[B]Олег[/B], странности в теме [url]http://virusinfo.info/showthread.php?t=38260[/url]
AVZ не видел автозапуск через HKCU другого пользователя (HijackThis тоже не видел), хотя запускался с правами администратора.
Проблемный файл c:\documents and settings\manager3\manager3.exe загружен.
[quote=AndreyKa;339947][B]Олег[/B], странности в теме [URL]http://virusinfo.info/showthread.php?t=38260[/URL]
AVZ не видел автозапуск через HKCU другого пользователя (HijackThis тоже не видел), хотя запускался с правами администратора.
Проблемный файл c:\documents and settings\manager3\manager3.exe загружен.[/quote]
А он и не должен видеть такие записи - иначе в логе будет туча мусора, особенно на ПК с многопользовательским входом
Принципиально не согласен.
Получается для каждого пользователя (учетной записи) компьютера надо делать отдельный лог AVZ?
кстати а почему BC_ImportALL нету в логе??
а только BC_ImportDeletedList
а ручками лень? :)
[quote=Hanson;339964]кстати а почему BC_ImportALL нету в логе??
а только BC_ImportDeletedList[/quote]
Специально такого нет ... так как карантин BC дублирует обычный карантин, и если "в лоб" применять BC_ImportALL , то получим карантин удвоенного размера
[quote=AndreyKa;339954]Принципиально не согласен.
Получается для каждого пользователя (учетной записи) компьютера надо делать отдельный лог AVZ?[/quote]
я про это тоже где-то уже говорил.. не удобно очень...
[QUOTE]А он и не должен видеть такие записи - иначе в логе будет туча мусора, особенно на ПК с многопользовательским входом[/QUOTE]
так как раз когда на машине несколько юзеров и оно ко всем прописалось - это ж под каждым надо зайти и подчистить..
Насчёт чужих профилей присоединюсь к просящим: оно же фактически в активном автозапуске, логично было бы его видеть. HJT видит, кстати.
И ещё несколько идей, не знаю, насколько они ценные.
1. Краткие сведения о системе (версия, редакция, уровень SP, язык, 32/64, каталог установки, статус UAC, консольный/терминальный доступ) и об AVZ (версия программы и баз) выводить в самом начале лога, [b]перед[/b] списками процессов etc. Чтобы, разглядывая списки, уже понимать, что в них должно быть и чего не должно.
2. Выводить запрос UAC, если AVZ запущен под Вистой без прав администратора. В разделе "Помогите", мне кажется, слишком много логов без этой опции, хелперы постоянно просят переделать.
3. Возможно, имеет смысл приделать определение наличия/отсутствия определённых апдейтов в системе (из нынешних "горячих" навскидку - MS08-067, MS09-001).
4. Может быть, имеет смысл (и технически возможно) сделать какую-то эвристику, определяющую наличие в системе файлового вируса. Например, отсутствие подписи на файлах, которые в норме должны быть подписаны, или неправильная подпись. Повреждение файла самой AVZ тоже можно сюда включить.
[quote=a1822;340167]Насчёт чужих профилей присоединюсь к просящим: оно же фактически в активном автозапуске, логично было бы его видеть. HJT видит, кстати.
И ещё несколько идей, не знаю, насколько они ценные.
1. Краткие сведения о системе (версия, редакция, уровень SP, язык, 32/64, каталог установки, статус UAC, консольный/терминальный доступ) и об AVZ (версия программы и баз) выводить в самом начале лога, [B]перед[/B] списками процессов etc. Чтобы, разглядывая списки, уже понимать, что в них должно быть и чего не должно.
2. Выводить запрос UAC, если AVZ запущен под Вистой без прав администратора. В разделе "Помогите", мне кажется, слишком много логов без этой опции, хелперы постоянно просят переделать.
3. Возможно, имеет смысл приделать определение наличия/отсутствия определённых апдейтов в системе (из нынешних "горячих" навскидку - MS08-067, MS09-001).
4. Может быть, имеет смысл (и технически возможно) сделать какую-то эвристику, определяющую наличие в системе файлового вируса. Например, отсутствие подписи на файлах, которые в норме должны быть подписаны, или неправильная подпись. Повреждение файла самой AVZ тоже можно сюда включить.[/quote]
1. Так оно там же и выводится - сообщение "[SIZE=2]Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено" после данных о базе, перед началом проверки процессов[/SIZE]
[SIZE=2]2. В принципе такое можно прикрутить[/SIZE]
[SIZE=2]3. Такое чисто технически возможно ... можно ловить отсутствие SP3, равно как проверять наличие/остуствие критических заплаток. Вопрос о полезности этой информации для юзера в принципе открыт (если человек ставит апдейты, то у него все будет в порядке, если не ставит - то скорее всего и не будет их ставить)[/SIZE]
[SIZE=2]4. Это давно сделано. avz.exe проходит самоконтроль при запуске, и если контроль неуспешен, то в логе делается отметка о том, что это опасно и файл возможно заражен или порежден. Проверять системные файлы таким образом очень чревато - дело в том, что существует туча сборок Windows "от Пети", "От Васи" и т.п, в которых нередко не совсем корректно заменяются системные файлы, в результате чего они не опознаются как безопасные. И это минимальное зло - у моего знакомого на такую "крутую сборку, все на ней сидят" например WEB 5.0 отказался ставиться, стали разбираться почему - а оказалось, там примерно 30% системных ключей в реестре просто нет (!!), они так сказать почищены за ненадобностью ... что творится в папке System32 и службах - вообще страшно посмотреть.[/SIZE]
[quote=Зайцев Олег;340189]1. Так оно там же и выводится - сообщение "[SIZE=2]Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено" после данных о базе, перед началом проверки процессов[/SIZE]
[SIZE=2]2. В принципе такое можно прикрутить[/SIZE]
[SIZE=2]3. Такое чисто технически возможно ... можно ловить отсутствие SP3, равно как проверять наличие/остуствие критических заплаток. Вопрос о полезности этой информации для юзера в принципе открыт (если человек ставит апдейты, то у него все будет в порядке, если не ставит - то скорее всего и не будет их ставить)[/SIZE]
[SIZE=2]4. Это давно сделано. avz.exe проходит самоконтроль при запуске, и если контроль неуспешен, то в логе делается отметка о том, что это опасно и файл возможно заражен или порежден. Проверять системные файлы таким образом очень чревато - дело в том, что существует туча сборок Windows "от Пети", "От Васи" и т.п, в которых нередко не совсем корректно заменяются системные файлы, в результате чего они не опознаются как безопасные. И это минимальное зло - у моего знакомого на такую "крутую сборку, все на ней сидят" например WEB 5.0 отказался ставиться, стали разбираться почему - а оказалось, там примерно 30% системных ключей в реестре просто нет (!!), они так сказать почищены за ненадобностью ... что творится в папке System32 и службах - вообще страшно посмотреть.[/SIZE][/quote] 1. Я имел в виду логи, формируемые 2 и 3 стандартными скриптами. Там с самого верха идут списки процессов, модулей и т. д., и только потом тот лог, который в окошке рисуется. Я хотел спросить, нельзя ли сведения о системе продублировать (для хелперов) перед этими списками, чтобы не метаться по логу туда-сюда.
3. Я опять в пользу хелперов спрашиваю. Пользователю-то понятно, что не нужно это, а на чужую машину сядешь - и начинается гадание...
4. Ясно, вопрос снимается.