Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
Printable View
Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
@ [B]Jef239[/B]
Это что-то новенькое... =)
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это [I]System[/I], а не [I]System Idle Process[/I] (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса [I]System[/I] - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.
Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?
@ [b]zerocorporated[/b]
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...
PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?
[quote=aintrust;161997]@ [B]Jef239[/B]
Это что-то новенькое... =)
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это [I]System[/I], а не [I]System Idle Process[/I] (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса [I]System[/I] - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.
Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?
@ [B]zerocorporated[/B]
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...
PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?[/quote]
Я знаю про карантин System, это мелкий баг ... Там все просто, AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.
А мой вопрос на предыдущей странице? :)
[quote=NickGolovko;161847]Олег,
посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит
C:\WINDOWS\S
HJT показывает на ее месте
O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe
Из-за этого я забыл этот файл в скрипте пользователю. :) Подозреваю, что подобное бывало и ранее, но спрашиваю: фиксабельно? :)[/quote]
На месте знака ? стоит какой-то непечатный символ, который AVZ воспринял как разделитель. В теории это можно поймать, я думаю как
[QUOTE=Зайцев Олег;161999]AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.[/QUOTE]
Однако! =)
Олег, посмотрите пожалуйста логи в этом сообщении:
[url]http://virusinfo.info/showpost.php?p=162129&postcount=6[/url]
Чем объяснить, что в логе HJT видно:
[quote]O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll[/quote]
а в AVZ - нет?
А файл этот есть на диске?
Есть запись в реестре, которую нужно показать в любом случае.
[quote=Maxim;162184]Есть запись в реестре, которую нужно показать в любом случае.[/quote]
Возможна ситуация, что файл чистый - тогда запись подавится
Да не похоже ;( [url]http://virusinfo.info/showthread.php?t=12651[/url]
объясните пожалуйста обозначение результата сканирования
вот цитирую часть лога
[QUOTE]
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E711B9->77ED6D7B
Перехватчик kernel32.dll:CopyFileA (62) нейтрализован
Функция kernel32.dll:CopyFileExA (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->77EB1E41->77ED6D8A
Перехватчик kernel32.dll:CreateProcessW (100) нейтрализован
Функция kernel32.dll:DeleteFileA (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7177A->77ED6DB7
Перехватчик kernel32.dll:DeleteFileA (125) нейтрализован
Функция kernel32.dll:DeleteFileW (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E71660->77ED6F1F
Перехватчик kernel32.dll:MoveFileW (602) нейтрализован
Функция kernel32.dll:OpenFile (615) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E72B38->77ED6D4E
Перехватчик kernel32.dll:OpenFile (615) нейтрализован
>>> Внимание, таблица KiST перемещена ! (804FBCA0(284)->E18E3758(297))
Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80556B0E->F2A73302), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805809A6->F2A7102C), перехватчик
D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtQueryInformationFile (97) перехвачена (8055841A->F29A627A), перехватчик D:\WINDOWS\System32\Drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805AB91E->F2A70BB4), перехватчик
[/QUOTE]
я так и не понял, программа обнаружила Руткит или нет?
В ходе сканирования программа снимает хуки и следит за перехватами.
Тут у Вас перехват от cmdmon.sys, но читаем дальше:
[code]Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, [b]драйвер опознан как безопасный[/b][/code]
Т.е. это не руткит.
Конкретно тут - cmdmon.sys от Comodo Firewall, klif.sys - от Антивируса Касперского
[quote=aintrust;161997]@ [B]Jef239[/B]
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это [I]System[/I], а не [I]System Idle[/I][I] Process[/I] (этот псевдо-процесс всегда имеет PID 0).[/quote]
Угу, описался.
[quote=aintrust;161997]Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?[/quote]
О!!!!!!!!!! Полюбуйся!!!!!!!!!!!!!!!! ROTFL! Да, фактическая длина dta -8192 байта. А ты разве не тестер, что не заметил такое чудо?
[CODE]Ошибка карантина файла, попытка прямого чтения (F:\WINNT\System)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (F:\WINNT\System)
[/CODE]
[CODE][InfectedFile]
Src=F:\WINNT\System
Infected=avz00104.dta
Virus=Скопирован автоматически из диспетчера процессов
QDate=19.12.2007 0:11:38
Size=0
MD5=EF8BE0A44DDA0FBFEC365549DE09BA97
[/CODE]
[quote=aintrust;161997]@ [B]zerocorporated[/B]
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...[/quote]
Или у тебя в XP иначе, или ты не понял как смотреть. Передвигаешь сплитер вверх, за границу Constraints.MinHeight. Отпускаешь сплитер. Он уставливается по MinHeight. И видишь описанный эффект.
Кроме того, что описано, не виден сплитер.
[IMG]http://virusinfo.info/attachment.php?attachmentid=25646&stc=1&d=1198013816[/IMG]
Для визуального пропадания эффекта нужно сделать rearrange, например, путём максимизации или нормализации окна.
[b]Команда DeleteService не работает,[/b]
не только для активного, но и для отключенного сервиса/драйвера!
Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает :(.
[QUOTE=Зайцев Олег;161621]
Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.
[/QUOTE]
этот вариант, действительно можно реализовать, использую планировщик заданий, либо системный, либо встроенный в антивирусные программы... тем более, что через консоль управления (Enterprise Edition) можно любому компьютеру поставить задание удаленного запуска AVZ с получением лога исследования и с выполнением уже готового скрипта лечения.
[QUOTE=Зайцев Олег;161621]Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.[/QUOTE]
ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.
Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:
[code]O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/code]
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
Свежий пример тут:
[url]http://virusinfo.info/showthread.php?t=15469[/url]
[quote=Bratez;162579]Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:
[code]O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/code]
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
Свежий пример тут:
[URL]http://virusinfo.info/showthread.php?t=15469[/URL][/quote]
Если служба реально существует, и у нее задан реальный тип автозапуска, то AVZ ее покажет. И файл покажет ... в виде:
[SIZE=2][COLOR=#ff0000]с:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
[/COLOR][/SIZE]
А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[quote=santy;162500]ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.[/quote]
А все дело в том, что для анализатора нужна стационарная база + много чего еще, это очень громоздакая технология. Очень мощная, но очень громоздкая. Под нее мощный сервак нужен, база и прочее
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=Bratez;162427][B]Команда DeleteService не работает,[/B]
не только для активного, но и для отключенного сервиса/драйвера!
Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает :(.[/quote]
Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)
[QUOTE=Зайцев Олег;162599]Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)[/QUOTE]Добавьте кнопочку "Карантин через BC". Очень прошу...