ВирЛаб извещен...
Printable View
ВирЛаб извещен...
В результате неумелого составления скрипта, были неверно удалены ключи реестра, как можно их восстановить, почему небыл создан бэкап?
[quote=Rampant;382337]В результате неумелого составления скрипта, были неверно удалены ключи реестра, как можно их восстановить, почему небыл создан бэкап?[/quote]
Бекап создается только в случае, если AVZ что-то делает сам, по собственному разумению. А если в скрипте предписано "прибить файл и почистить реестр", то бекапа нет
Лог как раз остался - в конце там написано что удалилось
с характерным "[микропрограмма лечения]> Удален элемент автозапуска"
Если система не загружается нормально - то исправлять придется с Live-CD или через удаленный реестр (что может и не получиться)
[QUOTE=Rampant;382337]В результате неумелого составления скрипта, были неверно удалены ключи реестра, как можно их восстановить, почему небыл создан бэкап?[/QUOTE]
Это что за издевательство над системой? Просто взяли и весь автозапуск грохнули.
Просто есть пользователи, а есть ламеры, верхушек нахватались, и пытаются казаться профи. Юзер сделал иследование системы, увидел в автозапуске такой параметр - .exe, решил что надо удалить, результат вы видите в логе.
Просматривая лог от АВЗ вдруг подумал о том, что лог собирается из информации в системе, поэтому вполне можно в него подсунуть что-либо вредоносное. Пошел самым простым способом - мудрить с хостс. Но при записе лога стоит фильтр, заменяющий знаки < так, что бы они отображались в логе, а не были частью кода html. Тогда я решил попробовать сделать тоже самое с описаниями файлов (с авторским правом - отображается в списке процессов, например). К сожалению, можно в эту графу записать все что угодно - одновременно и название фирмы и html код - естественно, фирма будет видна, а то, что есть еще и вредоносный код хелпер и не узнает, если не будет смотреть исходный код лога.
Предлагаю сделать такую же фильтрацию по всему логу - просто это потенциальная уязвимость, которой подвержены скорее хелперы, чем кто-то другой - ведь наверняка они смотрят лог с включенными скриптами и все скрипты (а ифрейм тем более) будут действенны...
Что бы было лучше понятно о чем я говорю, приведу пример:
[url]http://slil.ru/27368975[/url]
Сам файл ничего не делает - висит в процессах и в цикле спит 10 секунд, а потом складывает цифры. Завершить его нужно потом через диспетчер задач. В авторском праве у него следующая запись сделана:
[CODE]© Компания Х <iframe src="http://ya.ru" frameBorder="no" height="0" width="0"></iframe>[/CODE]
Поэтому после запуска этого приложения нужно сделать стандартный лог 2 (это быстрее чем 3 и не снимает хуки) и посмотреть на описание в списке процессов в логе - глянуть и исходный код - будет видно, что ифрейм успешно работает.
Возможно, это и не сильно опасно, но такое имеет место.
[quote]9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>>> Нарушение ассоциации REG файлов - исправлено
>> Обнаружен отладчик системного процесса
>>> Обнаружен отладчик системного процесса - исправлено
>> Таймаут завершения служб находится за пределами допустимых значений
>>> Таймаут завершения служб находится за пределами допустимых значений - исправлено[/quote]Это что-то новое появилось и совсем недавно?
[quote=Aleksandra;383085]Это что-то новое появилось и совсем недавно?[/quote]
Нет, оно там уже давно - только оно же интеллектуальное, пока нет проблем, нет и записей в логе, и нет действий над ними соответственно. Причем я не помню точно, AVZ кажется просто ищет проблемы, AVPTool еще и фиксит на автомате наиболее критические.
На Win 2003 Server x64 пытался поставить AVZPM. Естественно, не работает.
Но в систему он прописался и в логах Системы теперь появляется ошибка от Application Popup с описанием:
[QUOTE]Загрузка драйвера \??\C:\WINDOWS\SysWow64\Drivers\uzixntg0.sys заблокирована из-за несовместимости с системой. Обратитесь к разработчику этого программного обеспечения для получения совместимой версии этого драйвера.[/QUOTE]
Как грамотно удалить?
[quote=MrSine;383230]На Win 2003 Server x64 пытался поставить AVZPM. Естественно, не работает.
Но в систему он прописался и в логах Системы теперь появляется ошибка от Application Popup с описанием:
Как грамотно удалить?[/quote]
Надеюсь - это учебный сервер ? :)
Удалить просто - AVZ, файл\стандартные сркипты - скрипт номер 6
Спасибо :) Неа, сервер не учебный, а самый настоящий, рабочий :)
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Скрипт отработал. Сервер благополучно перезагружен. Логи чисты. Еще раз спасибо :)
Олег!
Вопросик есть: DeleteService('aaa',true) удаляет службу и файл. А в задание для ExecuteSysClean эта И-ция попадает?
[QUOTE=PavelA;385296]Олег!
Вопросик есть: DeleteService('aaa',true) удаляет службу и файл. А в задание для ExecuteSysClean эта И-ция попадает?[/QUOTE]
Уже попадает :) (т.е. в текущей версии там только обычное удаление ключа реестра + удаление файла с функцией отложенного удаления, в зачистку и BC файл не попадал).
Добрый день, Олег!
Прошу помощи.
Не могу удалить драйвер расширенного мониторинга процессов (AVZPM) пишет удалено, перегрузитесь, после перезагрузке он на месте.
Версия 4.30 от 6.04.2008
[QUOTE=observer_w;385570]Добрый день, Олег!
Прошу помощи.
Не могу удалить драйвер расширенного мониторинга процессов (AVZPM) пишет удалено, перегрузитесь, после перезагрузке он на месте.
Версия 4.30 от 6.04.2008[/QUOTE]
Файл/Стандартые скрипты, скрипт номер 6 - должно помочь.
[QUOTE=Зайцев Олег;383243]Надеюсь - это учебный сервер ? :)
Удалить просто - AVZ, файл\стандартные сркипты - скрипт номер 6[/QUOTE]
Не помогло, пишет, что удалил, но после перезагрузки все на местах, по крайней мере в меню AVZPM :(
[QUOTE=Br0m;385631]Дата создания - какой формат значений?[/QUOTE]
дд.мм.гггг (к примеру, 10.04.2009 или 10.4.2009)
Господа! Так и не понял, в какую ветку с этим обращаться. Поэтому прошёл сюда со страницы Download/Скачать:
- по ссылке со страницы "Download / Скачать" качается
Bepcия фaйлa: 4.28.0.66
Beрcия прoдуктa: 4.28, хотя вверху страницы указано: Антивирусная утилита AVZ - [B][U]4.30[/U][/B]. Или 4.30 и есть 4.28.0.66??? Тоже самое качается и по ссылке с первого поста этой ветки.
- всполошился я от того, что при сегодняшнем обновлении баз для имеющейся 4.28.0.66 в самом конце процесса выдаётся: [B][I]Oшибкa в xoдe aвтoмaтичecкoгo oбнoвлeния - Зaгpужeнный фaйл пoвpeждeн - main065.avz[/I][/B]
Несколько раз пытался. Вот и решил проверить версию.... А тут непонятки с номерами... А теперь ещё и с базой...
Проясните ситуацию, плз...
Скачали вы версию 4.30, как и должно быть.
[QUOTE]Oшибкa в xoдe aвтoмaтичecкoгo oбнoвлeния - Зaгpужeнный фaйл пoвpeждeн - main065.avz[/QUOTE] это и у меня было такое сегодня.
Скачайте базы с сайта [URL="http://www.z-oleg.com/secur/avz/download.php"]http://www.z-oleg.com/secur/avz/download.php[/URL]