[quote="regist;1140363"]Непонятные символы в XML[/quote]
вот ещё свежий лог [url]http://virusinfo.info/attachment.php?attachmentid=504698&d=1413977442[/url]
[IMG]http://i63.fastpic.ru/big/2014/1023/d7/2500b0b3f017b5c636b0f969d52ea1d7.png[/IMG]
Printable View
[quote="regist;1140363"]Непонятные символы в XML[/quote]
вот ещё свежий лог [url]http://virusinfo.info/attachment.php?attachmentid=504698&d=1413977442[/url]
[IMG]http://i63.fastpic.ru/big/2014/1023/d7/2500b0b3f017b5c636b0f969d52ea1d7.png[/IMG]
[QUOTE=regist;1132299][b]Зайцев Олег[/b],
1) AVZ проверяет настройки прокси и выводит в лог информацию об
Но AVZ не проверяет ключ
[CODE]HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\[/CODE]
например не видит такое
[CODE]Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
@="http=127.0.0.1:8080"[/CODE]
[/QUOTE]
Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies
[url]http://virusinfo.info/attachment.php?attachmentid=504954&d=1414069276[/url]
опять Winlogon, Shell неправильно распарсило.
[HTML]<ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"[/HTML]
[QUOTE=regist;1177917][url]http://virusinfo.info/attachment.php?attachmentid=504954&d=1414069276[/url]
опять Winlogon, Shell неправильно распарсило.
[HTML]<ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"[/HTML][/QUOTE]
Пофиксил. Но без обновления самого AVZ не исправится - там логика парсера была построена исходя из предположения, что в параметре shell может быть одно значение. Я посмотрел, как реализован код в системе (на примере Win7), и оказалось, что там допускается указание нескольких исполняемых файлов, разделитель - запятая или пробел.
[quote="Зайцев Олег;1177844"]Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies[/quote]
[b]Зайцев Олег[/b], похоже при этом что-то поломалось в диагностике сети. Подробней см. скрин. Оба лога сделаны на одной и той же системе. Один лог базы последний раз обновлялись до этой фичи, второй лог (где информации по ping нет) базы обновлены только что.
[IMG]http://i66.fastpic.ru/big/2014/1024/b7/30fbba7c874df910ba9a8e17f2a94db7.png[/IMG]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
форум урезает картинку, так что [url]http://i66.fastpic.ru/big/2014/1024/b7/30fbba7c874df910ba9a8e17f2a94db7.png[/url] так смотреть удобней.
[QUOTE=regist;1178284][b]Зайцев Олег[/b], похоже при этом что-то поломалось в диагностике сети. [/QUOTE]
В XML оно писалось как положено, но был отключен вывод данных в лог. Подправил, базы обновлены - теперь данные пишутся в лог как и ранее. Есть мысли, что еще и как следует проверять в разделе диагностики сети ?
[QUOTE=Зайцев Олег;1178317]Есть мысли, что еще и как следует проверять в разделе диагностики сети ?[/QUOTE]
Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".
[quote="Vvvyg;1178336"]Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".[/quote]
Поддерживаю, иногда только из-за этого приходится дополнительные логи просить.
[b]Зайцев Олег[/b],
1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для [URL="http://rghost.ru/58723517"]примера лог.[/URL] Это можно исправить с обновлением баз?
Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?
2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. [COLOR="#D3D3D3"](про этот баг кажется уже писали, но вроде он остался без внимания).[/COLOR].
3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.
[QUOTE=regist;1179209][b]Зайцев Олег[/b],
1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для [URL="http://rghost.ru/58723517"]примера лог.[/URL] Это можно исправить с обновлением баз?
Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?
2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. [COLOR="#D3D3D3"](про этот баг кажется уже писали, но вроде он остался без внимания).[/COLOR].
3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.[/QUOTE]
1. Это от режима поиска задания зависит (в новой версии будет выводиться в XML параметр TaskMode (1 -через API, 2б3 - напрямую разными методами) и параметр is64 - показывающий, в какой папке заданий найдено конкретное задание.
2. Добавил, теперь поддерживается.
3. Вывел в XML параметр AVZMD5 - он позволит контролировать изменения файла, и плюс позволит точно идентифицировать сборку AVZ
[quote="Зайцев Олег;1177594"]2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам нужен точный список,[/quote]
1) Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.
2) В список проверяемых блокировок думаю стоит добавить блокировку "Отключить контекстное меню." Настраивается также через gpedit.
3) По ключу winlogon попался ещё один интересный лог [url]http://rghost.ru/58818223[/url]
[IMG]http://i67.fastpic.ru/big/2014/1031/58/a2c2466dc3aab98733823d21a315d058.png[/IMG]
[HTML]<ITEM File=".exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Userinit" X4="""" Is64="0"/>[/HTML]
4) [quote="regist;1179209"]При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах.[/quote][quote="Зайцев Олег;1179501"]2. Добавил, теперь поддерживается.[/quote]
Как понимаю это будет уже в следующей версии AVZ ?
5) Полиморф последний раз обновлялся 2014-06-03 может пора его обновить? Заодно и новые фичи можно было бы уже пробовать.
[url]http://virusinfo.info/attachment.php?attachmentid=507123&d=1414844377[/url]
Адварь попала в базу чистых
[CODE]c:\program files (x86)\suptab\loader32.exe[/CODE]
[url]https://www.virustotal.com/ru/file/210a2a43313f4f20a98b72eec887fbbccad0c3004e5b92a4d968d41ed457c222/analysis/[/url]
[URL="http://virusinfo.info/showthread.php?t=170029"]Помогите победить вирус который не видит Доктор Веб (заявка № 170029)[/URL] - из двух тушек зловреда в автозапуске AVZ увидел только одну.
[quote="regist;1181576"]Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.[/quote]
Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
[url]http://rghost.ru/58861838[/url]
PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.
[QUOTE=regist;1182629]Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
[url]http://rghost.ru/58861838[/url]
PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.[/QUOTE]
Да, там в "пилюле" 1 был более простой алгоритм проверки и чистки, чем в визарде (поэтому с скриптах лечения я советую включать визард в режиме автоисправления проблем вместо ExecuteRepair). Я поправил работу ExecuteRepair(1), базы обновлены.
С "пилюлей №7" аналогично, подправил ее работу, базы обновлены
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE=regist;1181765][url]http://virusinfo.info/attachment.php?attachmentid=507123&d=1414844377[/url]
Адварь попала в базу чистых
[CODE]c:\program files (x86)\suptab\loader32.exe[/CODE]
[url]https://www.virustotal.com/ru/file/210a2a43313f4f20a98b72eec887fbbccad0c3004e5b92a4d968d41ed457c222/analysis/[/url][/QUOTE]
А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Vvvyg;1182426][URL="http://virusinfo.info/showthread.php?t=170029"]Помогите победить вирус который не видит Доктор Веб (заявка № 170029)[/URL] - из двух тушек зловреда в автозапуске AVZ увидел только одну.[/QUOTE]
Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?
[QUOTE=Зайцев Олег;1183774]Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?[/QUOTE]
Вроде как обычный:
[CODE]HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run\Qinanq[/CODE]
Возможно, зловред как руткит работает, UVS выдал:[QUOTE](!) Обнаружен сплайсинг: NtQueryDirectoryFile
(!) Обнаружен сплайсинг: LdrLoadDll
(!) Обнаружен сплайсинг: NtEnumerateValueKey[/QUOTE]
После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.
[quote="Зайцев Олег;1183774"]А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)[/quote]
Это за доказательство, что программа нежелательная сойдёт? [url]https://www.google.com/search?ie=UTF-8&oe=UTF-8&q=SupTab&gws_rd=ssl[/url]
и речь ведь всего-лишь о том, чтобы убрать из базы чистых.
[QUOTE=regist;1183815]Это за доказательство, что программа нежелательная сойдёт? [url]https://www.google.com/search?ie=UTF-8&oe=UTF-8&q=SupTab&gws_rd=ssl[/url]
и речь ведь всего-лишь о том, чтобы убрать из базы чистых.[/QUOTE]
как доказательство - нет, так как такое к каждой второй (если не первой) тулбари годится (начиная с приблуд от mail.ru :) Но выкинуть из БД чистых не вопрос, нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
[QUOTE=Vvvyg;1183810]Вроде как обычный:
[CODE]HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run\Qinanq[/CODE]
Возможно, зловред как руткит работает, UVS выдал:
После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.[/QUOTE]
Юзер не все логи сделал. В его логе видно:
Функция ntdll.dll:NtEnumerateValueKey (298) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:NtQueryDirectoryFile (403) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Функция ntdll.dll:ZwEnumerateValueKey (1527) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:ZwQueryDirectoryFile (1631) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:ZwResumeThread (1712) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Но [U]нет отметок о снятия перехвата[/U], так как по умолчанию для минимизации глюков и конфликтов с антивирусами на Win7 антируткит AVZ работает без нейтрализации хуков.
[b]Зайцев Олег[/b], а что по поводу пунктов 4 и 5 тут [url]http://virusinfo.info/showthread.php?t=155719&p=1181576&viewfull=1#post1181576[/url]
Я правильно, понял, что правки относящие is64 появятся, только в новой версии?
-------------------
[quote="Зайцев Олег;1183827"]начиная с приблуд от mail.ru[/quote]
ну, по ним хоть ссылки для скачивания можно найти. А это в гугле искал, чтобы проверить есть ли детекты у каспера (по одной ссылке про это писали), а там везде только вопросы как удалить. И как доказательство вредности согласен не годится, а как доказательство "нежелательной программы", которую стоит видеть в логах и самому принимать решение ;).
На вопрос про детект вы уже сами ответили, а также как понимаю это уже доказательство
[quote="Зайцев Олег;1183827"]AdWare.Win32.Agent.aljt[/quote]
[quote="Зайцев Олег;1183827"]нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )[/quote]
[b]Зайцев Олег[/b], кибер ведь понимает, что эти файлы (библиотеки, драйвера и т.д.) от одной программы? При этом он также видит, что на некоторые из файлов этой программы есть детект. Почему же он тогда добавляет другие части этой программы в базу доверенных? Ещё один пример с такой адварой когда кибер занёс её в базу, но детект на некоторые из её файлов был это Ace Stream.