зеленым.Значит можно считать что AVZ перестраховывается? Я имею ввиду сообщение" подозрение на keylogger или троянскую DLL." В любом случае это делаетAVZ честь.
Printable View
зеленым.Значит можно считать что AVZ перестраховывается? Я имею ввиду сообщение" подозрение на keylogger или троянскую DLL." В любом случае это делаетAVZ честь.
Ниже сообщение из фидошной конференции AVP.SUPPORT.
Serg Ageev в борьбе с вирусами, безусловно, чайник и многого попросту не представляет. Хотя, думаю, это тоже интересно - как новичок воспринимает AVZ.
Привожу сообщение тут, поскольку сообщаемые им проблемы - имхо, не просто подземный стук, имеют место быть.
У меня тоже не отключаемый по полгода NT4 server после запуска AVZ (без работы в нем, запускал лишь для проверки синтаксиса скриптов) через неделю после его запуска благополучно помер.
Началось это так: при очередном запуске AVZ окно не появилось, в процессах он висел. Попробовал убить виндовым таскменеджером - вроде убился (исчез из списка процессов). Через неделю сообщение винды о нехватке памяти. Программы выгрузил - память освободилась, всего мегабайт на 70 больше обычного. Стал запускать опять - тормозят жутко, виснут.
Перезагружаться винда отказалась - потребовала сначала завершить выполняемый с debug привилегиями программу, а завершать было нечего.
Пришлось жать ресет.
Была мысль о червяке, но уже полторы недели после того машина работает нормально. AVZ там больше не запускал.
У Сержа Win2k, у меня NT4. Он грешит на расширенный драйвер, а я его не ставил, просто запускал AVZ.exe и проверял скрипты.
Возможно, драйвера AVZ не слишком дружат со старыми виндами.
[QUOTE]
Сооб: 1000 из 1000 -996 AVP.SUPPORT
От : Serg Ageev 2:6056/1 Sun 14 Jan 07 17:17
Кому: Alexey Podtoptalow
Тема: KAV6 - бpед с огpаничениями по ОС
TID: ParToss 1.10.069/HSH/W32 devel
REPLY: 2:6056/1 459fa7cd
MSGID: 2:6056/1 45aa43cf
RealName : Сергей Викторович Агеев
Location : г.Камышин Волгоградской обл., Поволжье.
E-Mail : [email][email protected][/email] : DEL - вырезать!
ICQ : 141198428
Fingerprint: B2CF 1A49 19FF 3F3B BCD1 FC1E 7F62 78C4
Привет Alexey!
06 января 2007 16:39, Serg Ageev писал Alexey Podtoptalow:
SA>> avz ещё не пробовал, пошёл про него читать...
...
SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ!
не хотел я его без крайней необходимости больше трогать, да...
принёс клиент убитый (электрически) ноут.
после оживления, решил я посмотреть - чего там внутри водится.
ноут этот инсталлировал я, по своим правилам с инструктированием клиента.
в частности - HЕ работать под админом. для клиента там создан обрезанный юзер.
разумеется, клиент меня так и послушал... ;-)
для начала я стал руками удалять всё из разного рода ТЕМПов.
один файлик удаляться не желает... ;-)
смотрю в процессах - а он запущен. из темпа! ;-)
ну, это явный признак "не земного происхождения"... ;-)
лезу в реестр - нахожу его в РАHе.
ага.
стало интересно, чего ж это такое, что моя версия кава не видит его?
ну, вздохнул, перекрестился и запустил авз.
включил его драйвер, он потребовал перезагрузиться.
перезагрузился.
запустил авз.
попытался повыключать службы - дохлый номер, не в том порядке... надо было СHАЧАЛА всё подготовить, а потом запускать авз.
да и чёрт с ними, от интернета ноут изолирован - и ладно.
запустил проверку.
через полчаса, примерно, ноут выпадает в бсод (ХППро) с ругательством на... ;-) на NTFS.sys!
а обалдел.
потом вспомнил, что на первой, рабочей машине, на которой я пробовал запускать авз, юзеры несколько раз мне говорили, что машина стала "падучей, ругаясь на файловую систему". я сначала решил, что юзеры чего-то напутали - сроду вин2к при мне на разных машинах не ругалась на ФС.
ага.
ладно, загружаю ноут, выгружаю всё "своё": касперского, фаервол и проч..., а затем запустил авз.
"долго дело делается, да недолго сказка сказывается": в итоге был найдет ТОТ самый файл, и "определена его национальность": он оказался... всего-лишь адваре-гатором. ;-(
стоило столько часов мучать машинку... ;-(
попутно я запускал его на своей домашней машине, там тот же кав, но вин2К.
разумеется, я забыл выключить кава, посколько он работает службой и его не видно просто-напросто, потому, что он "без морды".
в результате - авз, с запущенным предварительно драйвером и перезагруженной машиной, просто ПРОПАЛ! исчезло его окно!
я думал, что он банально умер, завершившись.
ан нет, повторно запускаться он отказался...
перезагрузился, также тщательно поостанавливал всё, что можно, запустил авз.
итог: HИЧЕГО не было найдено HОВОГО, то есть того, что HЕ нашёл КАВ.
то, что лежало в ловушке у кав и в специальной вирусной коллекции
(обнаруживаемое кавом) - авз опознал.
после выключения обоих машин и перезагрузки - машины повторно через какое-то время умирают в бсод с ругательством на HТФС.СИС.
;-(
вспоминаю, что забыл Деинсталлировать драйвер авз.
сделал. перезагрузил.
всё заработало стабильно.
пришёл СЮДА ( на /1), запустил авз, посмотрел - точно. драйвер я забыл деинсталлировать.
деинсталлировал, ибо с ним машины HЕ стабильны.
на тех двух машинах я прошёл проверку до конца, на ноутбуке ещё и ревизора запускал.
думаю - надо и первую машину доделать до конца...
запустил авз БЕЗ драйвера.
он сказал, что за пару часов управится.
ну, да ладно, у меня смена двенадцать часов.
итог - через часов семь-восемь авз стал жутко грести.
типа - "беру файл такой-то, но проверить его не могу, ибо не могу создать временный файл." причём место под файл указывает верное, то есть, в существующей темповой папке.
потом тормоза на машине резко пропали - пошёл я глянуть, неужели авз закончил?
ан нет.
в его экранный лог на КАЖДЫЙ файл он стал ругаться "внутренняя ошибка
avz.exe по адресу...".
ну, я не стал его дальше мучать, остановил.
он благополучно остановлися, хотя я опасался, что он помрёт от натуги...
полазил я в его настройках - ЗАРАHЕЕ включить ведение лога, похоже, нельзя.
но есть кнопка - "сохранить лог".
нажимаю.
вижу радостное окно винды, Пристрелившей АВЗ! типа "программа не может... и будет..." ;-)
так что, умирающий авз и следов после себя не оставил, в смысле, всю историю с фактами унёс с собой в могилу... ;-))
для окончательной честности скажу, что на последней машине HИЧЕГО из безопасности HЕ выключалось, ибо машина ОHЛАЙHОВАЯ.
поскольку авз при запуске радостно собщил, что "работающие фаерволы и антивирусы, скорее всего, будут повреждены, не забудьте перезагрузиться ПОТОМ", то все эти семь-восемь часов меня "терзали смутные сомнения" - если авз ЗHАЛ, что он ПОЛОМАЕТ антивирус и фаервол, то почему он HЕ СКАЗАЛ СРАЗУ и ЯВHО, что ВЫКЛЮЧИТЕ ИHТЕРHЕТ! ? ;-)
я, например, не понял - после предупреждения машина была "голая" в сети или нет? :-(
после финальной перезагрузки, кажись, всё работает правильно... ;-))
к чему я всё ЭТО?
а вот к чему - инструмент, конечно, интересный, HО.
но использовать его можно ТОЛЬКО в Крайних случаях, и ТОЛЬКО при ЛИЧHОМ присутствии.
тот же КАВ Инспектор - не в пример стабильнее и надёжнее.
от него у меня HИ разу не умирала машина, причём, как правило, пользуюсь я
им удалённо.
SA> короче, инструмент, вроде, интересный, но Оч-ч-ч-чень опасный.
SA> кроме того, у меня сильно вызвало подозрение то, что он пообещал
SA> проверить ВЕСЬ раздел за полтора часа, когда Касперскому Сканеру на
SA> это потребовалось ДВА ДHЯ (двое суток). ну не бывает чудес, не бывает.
SA> либо это проверка "по списку", либо фиг его знает...
действительно, проверилось довольно быстро, не за два часа, но и не за сутки, а быстрее.
хотя я включал максимальную строгость.
так шта (c) - вызывает подозрения...
SA> отложим пока в сторону инструмент, дабы восстановить душевное
SA> равновесие...
а КАВ - молодець - не позволил себя отстрелить.
да и работать "врагам" не позволил. ;-)))
С уважением Serg.
[/QUOTE]
[QUOTE]Возможно, драйвера AVZ не слишком дружат со старыми виндами[/QUOTE]Скорее всего.
[QUOTE]SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ![/QUOTE]
Интересно,какие такие правила создал AVZ ? :O Я, правда с фаером не запускал AVZ, но с NOD он не конфликтовал.
[QUOTE]перезагрузился, также тщательно поостанавливал всё, что можно, запустил авз.
итог: HИЧЕГО не было найдено HОВОГО, то есть того, что HЕ нашёл КАВ.
то, что лежало в ловушке у кав и в специальной вирусной коллекции
(обнаруживаемое кавом) - авз опознал.[/QUOTE]
Неуместное сравнение. Это что - показатель крутизны KAV по сравнениию с AVZ или что?
[QUOTE]SA> короче, инструмент, вроде, интересный, но Оч-ч-ч-чень опасный.
SA> кроме того, у меня сильно вызвало подозрение то, что он пообещал
SA> проверить ВЕСЬ раздел за полтора часа, когда Касперскому Сканеру на
SA> это потребовалось ДВА ДHЯ (двое суток). ну не бывает чудес, не бывает.
SA> либо это проверка "по списку", либо фиг его знает...
действительно, проверилось довольно быстро, не за два часа, но и не за сутки, а быстрее.
хотя я включал максимальную строгость.
так шта (c) - вызывает подозрения[/QUOTE]
Абсолютно не согласен.Скорость сканирования и его время может меняться от разных причин( от настройки сканера,типа и количества файлов,железа, ну и мало ли чего).
Помню, когда у меня была засорена папка документы и особенно темповая,то время сканирования было долгим.Стоило мне удалить мусор оттуда, AVZ (да и не только) сразу же уменьшил время сканирования на 30-40%.
А про опасность вообще странно слышать, пользовался 1 раз и такие выводы сразу.Про AVZ Guard ясно сказано, что нельзя запускать вместе с другими приложениями.А обычный режим настроен только на анализ , а не лечение или удалениe.
Как обычно - товарищ решил, что все знает без справки, и ринулся в бой, а теперь еще жалуется. :) Однако, вероятно, стоило бы изучить поведение AVZPM на старых системах :)
[QUOTE]SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ! [/QUOTE]Какая глупость. АВЗ не создаёт правила.
[QUOTE=NickGolovko;91009]Как обычно - товарищ решил, что все знает без справки, и ринулся в бой, а теперь еще жалуется. :) Однако, вероятно, стоило бы изучить поведение AVZPM на старых системах :)[/QUOTE]
Я видел такую ситуацию, это типовой случай - у бедолаги явно пара троянов + гнилое железо + ненастроенный KAV 6 с включенной проактивкой. Все это помножено на полное непонимание того, что и где он делал, отсюда и подобные опусы :)
[QUOTE=NickGolovko;91009]Как обычно - товарищ решил, что все знает без справки, и ринулся в бой, а теперь еще жалуется. :) Однако, вероятно, стоило бы изучить поведение AVZPM на старых системах :)[/QUOTE]
Угу. Но не только AVZPM, но и обычного драйвера, который он ставит при запуске. Думаю, у меня NT4.0 server sp6a неслабо повис как раз из-за него, расширенный драйвер я не устанавливал.
Машина чистая, в корпоративной локалке. Троянов там отродясь не было и не предвидятся.
Железо старое, но очень качественное. PII-266, 256 RAM, диск 4 Гб сказевый.
Нет, давайте не валить все в одну кучу. Проблема, описанная вами с Windows NT4, может быть никак не связана с тем, что вы сюда запостили из Фидо (про тот случай я не буду говорить - ибо кроме улыбки он ничего не вызывает).
[QUOTE=Alexey P.;91039]Угу. Но не только AVZPM, но и обычного драйвера, который он ставит при запуске. [/QUOTE]
Начнем с того, что при запуске AVZ не ставит драйверов (никаких!), и если вы запускали AVZ только с целью проверки скриптов, то грешить на драйвер(-ы) просто бессмысленно. Свой основной драйвер (тот, что раньше звался avz.sys) AVZ ставит только тогда, когда вы нажимаете кнопку "Пуск" и дело доходит до проверки перехватов в SSDT, о чем свидетельствует сообщение:
[CODE]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
[/CODE]
[QUOTE=Alexey P.;91039]Думаю, у меня NT4.0 server sp6a неслабо повис как раз из-за него, расширенный драйвер я не устанавливал.[/QUOTE]
Вот и надо сначала прояснить, у вас драйвер устанавливался или нет. Более того, по окончании своей работы AVZ динамически выгружает драйвер, поэтому при каждом последующем запуске все происходит как с чистого листа.
Поэтому к вам вопрос: так все-таки драйвер у вас загружен (т.е. вы нажимали кнопку "Пуск") или нет?
[QUOTE=aintrust;91054]Нет, давайте не валить все в одну кучу. Проблема, описанная вами с Windows NT4, может быть никак не связана с тем, что вы сюда запостили из Фидо (про тот случай я не буду говорить - ибо кроме улыбки он ничего не вызывает).
[/QUOTE]
Не совсем так. В той куче наивной ерунды всё же есть тревожные моменты, и мне они здорово напомнили мой случай. Потому и написал.
[QUOTE]
Начнем с того, что при запуске AVZ не ставит драйверов (никаких!), и если вы запускали AVZ только с целью проверки скриптов, то грешить на драйвер(-ы) просто бессмысленно. Свой основной драйвер (тот, что раньше звался avz.sys) AVZ ставит только тогда, когда вы нажимаете кнопку "Пуск" и дело доходит до проверки перехватов в SSDT, о чем свидетельствует сообщение:
[CODE]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
[/CODE]
Вот и надо сначала прояснить, у вас драйвер устанавливался или нет. Более того, по окончании своей работы AVZ динамически выгружает драйвер, поэтому при каждом последующем запуске все происходит как с чистого листа.
Поэтому к вам вопрос: так все-таки драйвер у вас загружен (т.е. вы нажимали кнопку "Пуск") или нет?[/QUOTE]
Я уже и сам сомневаюсь - может, и запустил разок. Но пробовать повторить на той машине боязно, мне и так в тот раз на рождество пришлось ехать на работу поднимать эту машину.
Прошу прощения, если я пишу не в эту тему, но, вроде бы пошла новая эпидемия червей - я выслал образец. Когда примерно планируется обновление базы - я только что проверял - вроде до сих пор не определяет...
И сюда ли я пишу?
Спасибо! :)
[QUOTE=Nick222;91076]
И сюда ли я пишу?
[/QUOTE]
[email][email protected][/email] Отправлять в .zip-архиве, пароль virus.
Речь видимо идет о новом Email-Worm.Win32.Warezov - он добавлен в базу, завтра утром он станет детектироваться.
[QUOTE=Alexey P.;91068]Не совсем так. В той куче наивной ерунды всё же есть тревожные моменты, и мне они здорово напомнили мой случай. Потому и написал.[/QUOTE]
Среди всех этих эмоций вашего знакомого постоянно проскальзывает одно и то же: упоминание о каком-то драйвере AVZ, который он все время или включает, или же потом забывает выключить, и который, по его словам, провоцирует падение системы в синьку с ругательствами на ntfs.sys (может, он сам сюда придет и запостит хотя бы минидамп?). О каком именно из драйверов AVZ идет речь, ведь их у него [U]четыре[/U]? Вы-то сами, прочитав весь этот "поток сознания" в Фидо, сможете мне ответить на этот простой вопрос?
Кстати, если честно, я совершенно не понимаю вашего знакомого, который вместо того, чтобы об этом рассказать тут, на форуме, или непосредственно Олегу, все написал только в Фидо. Смысл-то какой был?
[QUOTE=Alexey P.;91068]Я уже и сам сомневаюсь - может, и запустил разок. Но пробовать повторить на той машине боязно, мне и так в тот раз на рождество пришлось ехать на работу поднимать эту машину.[/QUOTE]
AVZ - это некоммерческий продукт, и использовать его в ответственных случаях можно только на свой страх и риск, об этом много раз уже говорилось и писалось. Хотя база пользователей у продукта большая, тем не менее есть конфигурации (типа вашей - старый компьютер + старая операционка), на которой он не так уж сильно проверялся. Вполне вероятно, что там действительно есть проблемы! И надо их искать, кто же спорит. А вы, как инициатор разговора, готовы взяться за это - все проверить в разных вариантах работы, в различных конфигурацих драйверов и потом отписаться тут? =)
Олег, в скриптах не может быть переменных в адресе на DeleteFile? У нас неуловимый драйвер, который постоянно переименовывается, и все, что о нем известно, - его имя начинается с а и в нем восемь, что ли, знаков. DeleteFile('C:\Windows\system32\drivers\a???????.sys') не прокатит?
Это чревато, под раздачу могут попасть вполне легитимные драйвера. У себя насчитал парочку с семью знаками, парочку с десятью, и штуки четыре покороче.
[QUOTE=NickGolovko;91146]Олег, в скриптах не может быть переменных в адресе на DeleteFile? У нас неуловимый драйвер, который постоянно переименовывается, и все, что о нем известно, - его имя начинается с а и в нем восемь, что ли, знаков. DeleteFile('C:\Windows\system32\drivers\a???????.sys') не прокатит?[/QUOTE]
Прямо [I]déja-vu[/I]... =) А, случаем, последний Алкоголь там не установлен? Вот он точно ставит в динамике мини-порт драйвер SCSI со случайным именем, начинающимся на букву 'a', а потом стирает и его файл, и запись в реестре. Кстати, тут же, на [I]Virusinfo[/I], это и обсуждалось (смотрите здесь: [URL="http://virusinfo.info/showthread.php?t=7387"]Неуловимый руткит[/URL]). Если нет Алкоголя, то пришлите сюда дамп этого драйвера (AVZ умеет это делать), посмотрим на него. Правда, если внутри дампа найдете строку [I]vaxscsi.sys[/I] или [I]dtscsi.sys[/I] - можете не присылать.
PS. Если ситуация более сложная - шлите сюда логи, а лучше и самого товарища, у которого проблемы. Я уважаю ваше стремление "практиковать" с помощью AVZ на стороне =), но все-ж таки именно здесь находится форум с официальной поддержкой продукта и множество спецов (в т.ч. и сам автор утилиты), которые имеют серьезную практику в вопросах лечения компьютеров. А иначе количество "проблем" типа той, о которой писал вчера [B]Alexey P.[/B], будет расти до бесконечности.
OK, попробуем :) Если уж народ приходит на KL Forum - можно лечить и там (как правило, один скрипт, и все готово ;) ), ну, а если что-то серьезное, переадресовать товарища всегда можно ;) Пробовали пока закарантинить, если не выйдет - будем дампировать. :)
[QUOTE=NickGolovko;91162]OK, попробуем :) Если уж народ приходит на KL Forum - можно лечить и там (как правило, один скрипт, и все готово ;) ), ну, а если что-то серьезное, переадресовать товарища всегда можно ;) Пробовали пока закарантинить, если не выйдет - будем дампировать. :)[/QUOTE]
ОК, делайте дамп и постите его сюда. Я понял правильно, что Алкоголь там не установлен?
Что касается форума ЛК, то, на мой взгляд, довольно забавно, что на форуме компании, выпускающий коммерческие продукты как раз для борьбы с компьютерной заразой, диагностика и лечение зачастую осуществляется бесплатными утилитами со стороны. =)
А частично даже посредством утилиты прямого конкурента :)
Насчет Alcohol не помню. :) Сейчас я не на компьютере - когда смогу, гляну в лог. :) Ну, а насчет форума - что поделаешь, Касперский тоже не всесилен :) Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D
[QUOTE=NickGolovko;91180]Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D[/QUOTE]
Так если бы только на форуме... Впрочем, это уже не моя "юрисдикция"... =)
Олег глянь лог
[url]http://virusinfo.info/showthread.php?t=7515[/url]
Там похоже кекой-то руткит. И потом, удалённая адварь в папке Нортона... Странно.
[QUOTE=Geser;91189]Олег глянь лог
[url]http://virusinfo.info/showthread.php?t=7515[/url]
Там похоже кекой-то руткит. И потом, удалённая адварь в папке Нортона... Странно.[/QUOTE]
Перехваты не очень похожи на руткит - скорее это защита процесса от манипуляций с ним, судя по функциям. C:\WINDOWS\system32\drivers\Haspnt.sys - это драйвер HASP ключей. Тут другое дело - нужно нужно по имени файла поискать, есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.
[QUOTE=Зайцев Олег;91192]Перехваты не очень похожи на руткит - скорее это защита процесса от манипуляций с ним, судя по функциям. C:\WINDOWS\system32\drivers\Haspnt.sys - это драйвер HASP ключей. Тут другое дело - нужно нужно по имени файла поискать, есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.[/QUOTE]
А открытое соединение на 110 порт без имени процесса?
[QUOTE=NickGolovko;91180]Ну, а насчет форума - что поделаешь, Касперский тоже не всесилен :) Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D[/QUOTE]
:) Или воткнуть в AVZ "Авторизованный партнер ЛК" :) Последнее кстати в теории возможно, правда при условии, что для изучения ПК пострадавших в их конференции они положат архив у себя на сервере. У меня кстати с начала месяца намоталось 205 ГБ трафика ...
[QUOTE=Geser;91193]А открытое соединение на 110 порт без имени процесса?[/QUOTE]
Соединение по 110 порту - это же POP3 - забор почты, а не ее рассылка. Поэтому спам-бот вроде отпадает, значит это либо висячее соединение, либо некий зловред открыл порт 110 для своиз нужд. Этому человеку видимо стоит активировать AVZPM, перезагрузиться и повторить логи с ним. Сейчас я отпишу в той теме
[QUOTE]Соединение по 110 порту - это же POP3 [/QUOTE]
Угу, перепутал
[quote=Зайцев Олег;91192]есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.[/quote]
Да, это приблуда от Live Update & Live Registration
Олег, есть два пожелания по доработке логов syscure и syscheck.
1. В списке модулей, как и в списке процессов, добавить столбец "Информация".
2. В списке открытых портов показывать не только имя, но и ID процесса.
Олег!
В теме [url]http://virusinfo.info/showthread.php?t=7533[/url] в логах куча всего известного, но на немецком языке. См. апплеты панели управления.
Нельзя ли их как-нибудь в базе отметить? Наверняка, русские у тебя уже в базе есть.
Нужно их все прислать ,а иначе вряд ли ;)
одно имя - маловато будет . имя при желании можно заменить , копирайты подделать :)
У меня была небольшая проблема с удалением одного html файла,
сохраненного в катал. "Мои документы". - 2 дня система ругалась, что
файл используется(!)..(хотя он вообще ничем не был открыт), минуту
назад он удалился без проблем..(в смысле - в корзину).
ie вообще не открывался. AVZ говорит файл чист.Cист. win me
Могу прислать его содержимое.
2. avz в последнее время очень сильно подозревает некоторые
стандартные системные библиотечки:
C:\WINDOWS\SYSTEM\NVIEW.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\SYSTEM\NVIEW.DLL>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Как настроить утилиту, чтобы она не обращала на них внимания?
лог прилагаю.
Bариант один, прислать Олегу этот файл, он попадёт после проверки в базу безопасных , если он таковой ;) Также выполните правила в разделе "помогите", в том формате который приложили ,разобраться довольно проблематично .
Извините, если написал не в тот раздел (тогда подскажите куда написать)...
Отловил седня у клиентов с помощью AVZ. Что-то, из этого списка, он продетектил и обезвредил, а что-то нет, или только выказал подозрения (может я и что-то лишнее в карантин сунул... :) ). Пришлось бить руками :) .
А они ухитрились вырубить NOD32, правда у него базы были недельной давности...
Кстати, неплохо бы, занести новый релиз НОДа в безопасные, да и еще некоторый софт, типа Kerio Winrout и Acronis-овский планировщик...
Как это сделать?
Лучше всего выполнить [url=http://virusinfo.info/showthread.php?t=1235]правила[/url]. В крайнем случае можно залить со ссылкой на эту тему: [url]http://virusinfo.info/showthread.php?t=7320[/url].
[QUOTE=pig;91487]Лучше всего выполнить [url=http://virusinfo.info/showthread.php?t=1235]правила[/url]. В крайнем случае можно залить со ссылкой на эту тему: [url]http://virusinfo.info/showthread.php?t=7320[/url].[/QUOTE]
Ну выполнить правила уже не получиться, я уже дома, просто притащил с собой файл карантина.
У меня размер карантина в RAR-е ~1 Мб, а ограничение на вложение 488 Кб... Бить на куски?
Нет. лить [URL="http://virusinfo.info/upload_virus.php"]сюда[/URL] со ссылкой на эту тему - [url]http://virusinfo.info/showthread.php?t=7320[/url]
[QUOTE=anton_dr;91491]Нет. лить [URL="http://virusinfo.info/upload_virus.php"]сюда[/URL] со ссылкой на эту тему - [url]http://virusinfo.info/showthread.php?t=7320[/url][/QUOTE]
Спасибо за подсказку :)
Залил: 070117_125654_virus_45ae717613004.rar
А как быть с пожеланием о внесении в список безопасных?
[quote=Arhimed;91498]
А как быть с пожеланием о внесении в список безопасных?[/quote]
Очень просто - [url]http://virusinfo.info/index.php?page=upload_clean[/url]
[QUOTE=anton_dr;91502]Очень просто - [url]http://virusinfo.info/index.php?page=upload_clean[/url][/QUOTE]
Спасибо, все сделал по инструкции.
Только я пользуюсь Оперой и у меня в настройках стоит "Блокировать всплывающие окна", видимо поэтому я не получил отчета о загрузке файла. Может надо в инструкцию добавить, что отчет выводится всплывающим окном, чтобы знать что надо отключить опцию для получения отчета... (если, конечно, он выводится именно таким способом)