AVZ 4.30

[quote=avz;216548]Если б я не разбирался, то наверно не спрашивал бы как удалить службу.)[/quote]
Я на самом деле не вам лично - считаю просто, что надо предупреждать слишком смелых.
[quote=avz;216548]Имя службы я вводил правильно.. смотрел по тому же авз.. К примеру Themes. Из служб работают только:
Удаленный вызов процедур (RPC), Службы криптографии, Сетевые подключения, Инструментарий управления Windows, Запуск серверных процессов DCOM, Журнал событий, Диспетчер учетных записей безопасности, Windows Audio, Plug and Play и файервол.[/quote]
Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.
Можно, конечно, по другому - через командную строку, вот так:
[FONT=Tahoma][SIZE=2]sc delete <service name> и перезагрузить комп.
Как я уже сказал: сначала отключить её (Тип Запуска на 'Отключено') и перезагрузить комп.
Вот что у меня осталось из 64 служб, которые были (некоторые там не виндовские):

[IMG]http://i020.radikal.ru/0804/c3/37cbd09a2360.jpg[/IMG]

Paul


[/SIZE][/FONT]

[QUOTE=p2u;216554]Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.[/QUOTE]Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?

[quote=avz;216589]Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?[/quote]
Здесь ещё парочка:
[url]http://www.oszone.net/2357/Services[/url]
С теми, которые там НЕ называются, надо быть крайне осторожным - если они спрятаны от пользователей, то тогда на это, возможно, причина есть. При сомнении введите название в Гугл и там, скорее всего, можно ответ найти о том, что это такое и можно ли это отключить. Если можно отключить, значит можно удалить.
P.S.: В крайнем случае можно их создать заново:
cmd -> sc create <service name> (скорее всего потребуется установочный диск Windows)

Paul

[QUOTE=Mad Scientist]Помню, AVZ и не у не всех юзермод перехватчиков показывает имена файлов.
К примеру:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll: ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.PushAndRet, а кто перехватывает - это оставляется как дополнительное задание пользователю.
Конечно, мне легко говорить в той области, где я не разбираюсь[/QUOTE]

[QUOTE=Vorland]Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?[/QUOTE]

[QUOTE=Зайцев Олег;216228]2. Можно - в принципе можно вывести машинный код, можно дизассемблированный кусок из первых трех-четырех команд[/QUOTE]

Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе. Олег, можно ли выводить модули, где эти перехватчики расположены? Или есть условия, при которых либо выводятся модули, либо только адреса? Проясните Олег, ситуацию, если не затруднит...

[QUOTE=Vorland;216722]Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе.[/QUOTE]

Недавно боролся с user-mode руткитом HackDef. Вот как AVZ его определил - информация из лога AVZ:
[QUOTE]1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1312 msdvdr.pif[/QUOTE]

В разделе "Подозрительные объекты":
[QUOTE]C:\WINNT\system32\msdvdr.pif Подозрение на RootKit[/QUOTE]

Да, было бы неплохо, если бы отображался модуль юзермоде-перехватчика.

Реакция на перехват MessageBoxA и MessageBoxW:

1.1 Поиск перехватчиков API, работающих в UserMode
Функция user32.dll:MessageBoxA (477) перехвачена, метод APICodeHijack.JmpTo[00D42D4E]
Функция user32.dll:MessageBoxW (484) перехвачена, метод APICodeHijack.JmpTo[00D42EE6]

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Hook_MessageBox.dll --> Подозрение на Keylogger или троянскую DLL
Hook_MessageBox.dll>>> Поведенческий анализ
Hook_MessageBox.dll>>> Нейросеть: файл с вероятностью 98.07% похож на типовой перехватчик событий клавиатуры/мыши

В принципе, если в пункте 5 всегда будет орать на юзермод перехваты, то этого будет достаточно, правда если будет несколько библиотек, перехватывающих функции, то будет непонятно кто чего перехватил.

Как я понял, чтобы посмотреть ручником, нужно уметь пользоваться отладчиком (SoftIce) ? :)

Что за прикол такой, всегда отлично обновлялось, а сегодня пишет:

[IMG]http://i002.radikal.ru/0804/34/3e565dc327aa.jpg[/IMG]

-------------------------------------------------------

Добавлено позже:
Оказывается и сайт тоже не доступен.

[quote=sergey888;217337]Что за прикол такой, всегда отлично обновлялось, а сегодня пишет:

[IMG]http://i002.radikal.ru/0804/34/3e565dc327aa.jpg[/IMG][/quote]
А что дает повтор через некоторое время или указание альтернативного зеркала ?

Спасибо !!!
Альтернативное зеркало помогло.
5 повторов в течении 20 минут не помогали.

А я и не обращал внимания, что там есть альтернативное зеркало.

Ошибку подтверждаю,при указании зеркала все нормально

[quote=Гриша;217347]Ошибку подтверждаю,при указании зеркала все нормально[/quote]
Я провел внеочередное обновление - апдейт с z-oleg.com должен заработать

А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен

[quote=username1;218559]А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен[/quote]


Это драйвер файловой системы FAT32. Т.е она защищает свои данные о названиях файлов, атрибутов вообщем.

[QUOTE=username1;218559]А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен[/QUOTE]

Либо алкоголь либо буткит.

[quote=Alex_Goodwin;218619]Либо алкоголь либо буткит.[/quote]

А буткит это опасно??
Вообще почему AVZ не определил модуль, это баг или фича?

[quote=username1;218981]А буткит это опасно??
Вообще почему AVZ не определил модуль, это баг или фича?[/quote]
буткит- да, опасно :diablo:
Довольно прикалываться, как научиться avz определять не заваливая систему 100 процентов, тогда вы и увидите. А пока это не безопасно для системы, поэтому пока так.:P

AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:
[QUOTE]Компьютер был перезагружен после критической ошибки: 0x100000ce (0xbac59338, 0x00000008, 0xbac59338, 0x00000000).[/QUOTE]
файл мини-дампа, прилагается.

[QUOTE=Rampant;220663]AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:

файл мини-дампа, прилагается.[/QUOTE]


[CODE]Windows XP Kernel Version 2600 (Service Pack 3)[/CODE]

У вас SP3 стоит ?

ujexmtm2.sys вероятнее всего вызвал сбой.

Попробуйте выполнить:
[CODE]begin
ExecuteStdScr(6);
end.[/CODE]
И перезагрузится... проблема пропала?

Спасибо за совет, но прежде чем применить этот скрипт, хотелось бы узнать, что это за драйвер, и что исправляет этот скрипт.

Скрипт удаляет драйвера AVZ.