Добрый день. подскажите пож. где искать эти опасные файлы, которые на скрине и вообще что это значит? Спасибо.
Printable View
Добрый день. подскажите пож. где искать эти опасные файлы, которые на скрине и вообще что это значит? Спасибо.
[QUOTE=Vvvyg;695972]Все - это хелперы? Ни здесь, ни на [URL]http://z-oleg.com/[/URL] информации нет. А, вспомнил, нечётные версии - для внутреннего тестирования, правильно? Но я тоже потестирую немножко ;)[/QUOTE]
Это или для тестирования, или оперативный багфикс (в данном случае именно это). В данном случае был баг с датами в XML, полюс новые визарды и новая технология в них.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[QUOTE=LEON®;695986]Добрый день. подскажите пож. где искать эти опасные файлы, которые на скрине и вообще что это значит? Спасибо.[/QUOTE]
В системе есть список расширений файлов, на основании которых определяется их опасность при загрузке браузером (т.е. jpeg например не опасен и открывается сразу, EXE - с кучей запросов и алармов). Если внести скажем EXE в списко "безопасных расширений", то их загрузка будет идти без всяких запросов (это делают звери или браузер, если поставить в запросе птичку "больше не справивать"), что чревато. Исправление сводится к выкидыванию расширений типа EXE из списка безопасных.
Олег, а моя просьба [URL="http://virusinfo.info/showpost.php?p=667365&postcount=43"]http://virusinfo.info/showpost.php?p=667365&postcount=43[/URL] по поводу скрытой кнопки завершения работы так и не выполнена... И выдаёт эту проблему на серверах даже среди критических проблем.
Менеджеры в новой версии работают вроде бы нормально(имеется ввиду что уже видят "безопасные" и нет файлы), но нужно немного подправить HTML код, а то при парсиннге результатов список драйверов очень длинный и куча не доверенных, хотя по менеджеру они все OK). Для наглядности лог привожу.
на х64 такое вроде всегда было.
ну да, но если есть заявление полной поддержки менеджеров в х64 то я думаю что и форматирование лога нужно подправить ибо хелпер увидит именно лог, а не менеджера.
Тем более что данная технология(фактически здесь остался только вывод в лог) уже работает в продуктах ЛК, по крайней мере 2011 уже точно.
Второй день такое сообщение при попытке обновить базы AVZ 4.34
скачайте 4.35
подскажите пажалуста! где качать полиморф 4,35?
тут еще предыдущий [url]http://www.drpbk.dp.ua/cure[/url]
[QUOTE='QUARQ;698105']где качать полиморф 4,35?[/QUOTE]Нет такого в природе.
а новая версия AVZ уже не будет тут обсуждаться?
Вроде раньше с каждой новой версией создавалась новая тема
[B]tar[/B], наверное, [URL="http://virusinfo.info/showpost.php?p=696914&postcount=107"]нет[/URL].
[QUOTE=tar;698777]а новая версия AVZ уже не будет тут обсуждаться?
Вроде раньше с каждой новой версией создавалась новая тема[/QUOTE]
Это отладочная сборка, точнее багфикс. Она по функционалу ничем не отличается от 4.34.
[B]gjf[/B], [B]tar[/B] ничего там не увидит, раздел закрытый.
что-то новенькое? загрузка драйвера при обновлении
[URL=http://radikal.ru/F/s43.radikal.ru/i100/1009/a0/dd9d7011af73.jpg.html][IMG]http://s43.radikal.ru/i100/1009/a0/dd9d7011af73t.jpg[/IMG][/URL]
Новенькое для кого? Для Аутпоста проактивная защита - можно сказать, новенькое. А для AVZ загрузка своего драйвера уж n лет как нормальное поведение ;)
[B]gjf[/B], он не видит эту тему.
Нашла в логе 4.35
[QUOTE]Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - [url]http://virusinfo.info[/url]
Ошибка выполнения команды RUNSCAN, ошибка - Access violation at address 004D8ABE in module 'avz.exe'. Read of address 454D4156
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы[/QUOTE]
Подскажите, пожалуйста, что может значить эта фраза:
[QUOTE][B]Ошибка выполнения команды RUNSCAN, ошибка - Access violation at address 004D8ABE in module 'avz.exe'. Read of address 454D4156
[/B][/QUOTE]
После обновления баз?
Подскажите, почему AVZ при сканировании детектирует
[I]Прямое чтение C:\WINDOWS\system32\yftfglde.dll
C:\WINDOWS\system32\yftfglde.dll >>> подозрение на Net-Worm.Win32.Kido.ih ( 0AE95A53 0F3F1C24 0021E119 0025B4B9 167403)[/I]
но данная длл-ка не видна ни в одном процессе в диспетчере? В списке процессов и загружаемых ими библиотек все зеленое. На флэшку регулярно падает рециклер с автораном, а черных или красных процессов нет, значит это делает какой-то системный процесс, в память которого внедрилась зловредная длл. Как обнаружить, к какому процессу она прикрепилась?
[B]yur4egg[/B], цель всё-таки какая: кидо прибить, или исследовать его работу? Если первое - kidokiller от ЛК - и все дела. Если второе - прочтите для начала описание вируса где-нибудь на [URL="http://www.securelist.com/ru/"]http://www.securelist.com/ru/[/URL]. Да и здесь в разделе "помогите" есть темы, где можно скрипт для зачистки этой модификации kido найти. Но чтобы все хвосты от него вычистить, лучше kidokiller, он всё вавтомате сделает.
[QUOTE='yur4egg;706974']Как обнаружить, к какому процессу она прикрепилась?[/QUOTE] AVZ Сервис - Диспетчер процессов. В нижней части смотреть.
[QUOTE=Vvvyg;707007][B]yur4egg[/B], цель всё-таки какая: кидо прибить, или исследовать его работу? Если первое - kidokiller от ЛК - и все дела. Если второе - прочтите для начала описание вируса где-нибудь на [URL="http://www.securelist.com/ru/"]http://www.securelist.com/ru/[/URL]. Да и здесь в разделе "помогите" есть темы, где можно скрипт для зачистки этой модификации kido найти. Но чтобы все хвосты от него вычистить, лучше kidokiller, он всё вавтомате сделает.[/QUOTE]
осмелюсь добавить.
в [QUOTE]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[B]kido_service_name[/B]\Parameters[/QUOTE] должен быть параметр ServiceDll, со значением, указывающим на злодейскую DLL. Сам сервис давно определяется AVZ по нестандартным правам доступа. Искать нужно, как правильно сказал PavelA, среди DLL, приаттаченых к процессам. Для пущей быстрости исследуйте экземпляры svchost, это немного ускорит поиск.
Хотя, баян это все. Где это все берется?
[QUOTE=PavelA;707020]AVZ Сервис - Диспетчер процессов. В нижней части смотреть.[/QUOTE]
Я так и смотрю. В описании прочитал, что кидо цепляет свою длл к процессу svchost.exe. Все экземпляры в диспетчере прощелкал, ни в одном зловредная длл не видна. Собственно в том и состоял вопрос, почему не видна? Раньше таким способом определялись пораженные системные процессы, а в этом случае - нет. А червя я вычистил, спасибо за советы)
Если в AVZ не видно можно попробовать через утилиты от Русиновича, там не цепляется база "доверенных" и информации отображается больше.
Второе и основное: червь может защищать свою компоненту. Из-за этого она виндна как "прямое чтение".
Вопрос автору AVZ
В последней версии AVZ при использовании в скрипте команды SetupAVZ('MiniLog=Y') не подавляется вывод некоторой некритической информации при работе скриптовой команды SaveLog('avz.log'), например, в протокол сохраняются следующие строки:
1.5 Проверка обработчиков IRP
Проверка завершена
Анализатор - изучается процесс 388 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
Можно это пофиксить?
Команда скрипта SaveCSVLog('avz.csv') при использовании команды SetupAVZ('MiniLog=Y') не работает полноценно (т.е. сохраняются какие-то несколько строк, а не весь протокол критической информации).
Команда SaveCSVLog больше не поддерживается?
[QUOTE='Vorland;713252']Вопрос автору AVZ[/QUOTE] К сожалению, автор покинул форум. Задавайте вопросы на его сайте.
Там есть форум? Если нет, то где задавать вопросы?
[url]http://forum.kaspersky.com/index.php?showforum=150[/url] наверное здесь
Подскажите пожалуйста, можно ли через скрипты AVZ отключить ненужные мне сервисы Windows XP? Точнее так - как можно создать скрипт для отключения ненужных сервисов Windows XP?
[B]dm2003[/B], [code]SetServiceStart('Service_Name', 4) [/code] подойдет?
А что дальше? Мне к примеру нужно отключить обновление, брэндмауэр, удаленный реестр и еще немного. Если можно поподробнее пожалуйста.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Разобрался, спасибо. Да это именно то. спасибо вам за помощь. Удачи.
Нашёл ключ реестра, через который вирусы могут перенаправлять пользователя со страниц about:* (в том числе и с about:blank) на любой сайт:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
Не мешало бы в следующей версии AVZ сделать проверку этого ключа.
[QUOTE=PavelA]К сожалению, автор покинул форум. Задавайте вопросы на его сайте. [/QUOTE]
Да что же на напасть такая((((
Не удается "установить драйвер расширенного мониторинга процессов".
Ошибки не выдает, просто не устанавливается
Запуск от имени администратора.
AVZ версия 4.35 от 25.08.2010
Windows 7 Ult rus x64
Kaspersky AVWorkst v. 6.0.4.1424a
[QUOTE='AlexSidore;732125']Ошибки не выдает, просто не устанавливается
Запуск от имени администратора.
AVZ версия 4.35 от 25.08.2010
Windows 7 Ult rus x64
Kaspersky AVWorkst v. 6.0.4.1424a [/QUOTE]А кто вам сказал что в АВЗ есть поддержка 64-х битных ОС?
Вот из справки АВЗ
[QUOTE]Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7. [/QUOTE]
Не могу сделать ни один лог AVZ стандартными скриптами в Windows 7 x64.
AVZ практически сразу падает, KIS2011 выгружен.
Какую информацию нужно предоставить, чтобы разобраться с проблемой?
Пробовал полиморфный AVZ по ссылке [url]http://www.z-oleg.com/avz.exe[/url] аналогично падает. См. скриншот.
Выполняются только стандартные скрипты 4,5. Иногда
при запуске стандартного скрипта наблюдаются пикающие звуковые эффекты из колонок, avz падает.
Может проблема уже известна? Win7 x64 не поддерживается?
AVZ падает из-за того, что Технологии AVZPM, AVZGuard, BootCleaner
не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7?
Мастер поиска и устранения проблем отрабатывает нормально.
Вот ещё на всякий случай
[QUOTE='fidget;735060']Может проблема уже известна? Win7 x64 не поддерживается?[/QUOTE]
Читаем сообщение выше:
Вот из справки АВЗ
Цитата:Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7.
Разработчику. Проверьте восстановление проводника. В частности восстановление ключа реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]. Значение "Userinit"="C:\\Windows\\system32\\userinit.exe,". Не на всех системах срабатывают значения с %systemdir% вместо указания полного пути.