Printable View
[quote=AndreyKa;132745]По теме: [URL]http://virusinfo.info/showthread.php?t=12281[/URL]
Странно в логе HijackThis троянская служба есть:
А в логах AVZ нет. Это потому что поток у файла, занесенного в базу безопасных?[/quote]
Почему AVZ его не видит ? См. в логе с лечением:
c:\windows\system32\svchost.exe:exe.exe:$DATA >>>>> Trojan.Win32.Agent.bfd успешно удален
Т.е. AVZ в данном случае нашел зловреда в потоке и прибил его ... прибиение известных зловредов идет до исследования системы
Олег, а насколько трудно добавить в AVZ менеджер типов фалйов? Периодически бывают проблемы, когда по раширению HTM запускается что-то дургое,например медиаплейер.... Я н прошу проверять (хотя можно и првоерить). Но вот показать... Или сделайть скрипт, чтобы на стандатные исправлять....
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Просто часа два возьни с AVZ не дали ничего. Потом нашли вручную в свойствах папки. Правда в итоге оказалось, что это прокладка (между экраном и клавиатурой) постаралсь. :)
Если не трудно, то запиши в список пожеланий? Я такие проблемы примерно раз в неделю вижу....
[QUOTE='Зайцев Олег;132755']Почему AVZ его не видит ? См. в логе с лечением:
c:\windows\system32\svchost.exe:exe.exe:$DATA >>>>> Trojan.Win32.Agent.bfd успешно удален[/QUOTE]
Файл на диске увидел, а службу - нет. Лог HijackThis создается по Правилам [B]после [/B]логов AVZ.
Хочу проверить - это только у меня так, или у всех:
1. Английская АВЗ+обновление баз вручную. Информация в логе:
[QUOTE]...The database was last updated [B]11.08.2007[/B] - it is necessary to update ....Database loaded: 134762 signatures, 2 NN profile(s), 55 microprograms of healing, signature database released [B]08.09.2007 17:07[/B][/QUOTE]
2. В списке HOSTS FILE записаны все хосты, которые заблокированы Spybot S&D V. 1.5.
Лог в аттаче.
[B]Rene-gad[/B], По пункту 2 так у всех.
[QUOTE='Rene-gad;132803']1. Английская АВЗ+обновление баз вручную.[/QUOTE]
У меня тоже самое. Уже писал об этом. AVZ 4.27 русская
[quote=Jef239;132848]У меня тоже самое. Уже писал об этом. AVZ 4.27 русская[/quote]
К концу следующей недели 4.27 может прекратить свое существование по причине готовности v4.28. Версия 4.28 мультиязычная, с ее выходом англоязычная версия прекратит существование как класс.
[QUOTE=Зайцев Олег;132860]К концу следующей недели 4.27 может прекратить свое существование...[/QUOTE]
Ну, если Олег говорит "к концу следующей недели", то, как показывает практика за последний год, недели через 2-3 мы это можеть быть увидим! =)
А если серьезно, то может стоит такое событие "отметить" повышением номера версии, т.е. 5.0 (ну, или хотя бы 4.50), чтобы нам всем потом не путаться ни с версиями, ни с базами?
[QUOTE='Зайцев Олег;132860']К концу следующей недели 4.27 может прекратить свое существование по причине готовности v4.28. Версия 4.28 мультиязычная, с ее выходом англоязычная версия прекратит существование как класс.[/QUOTE]
[B]Олег[/B], может сначало в закрытый раздел для тестов?
[quote=Muffler;132878][B]Олег[/B], может сначало в закрытый раздел для тестов?[/quote]
Это непременно будет - в понедельник.
Олег, по отключению службы терминалов. Она может использоваться и на домашних компах - служба "Монитор инфракрасной связи" зависима от службы терминалов.
Дополню Антона:
1. От Терминалов зависит еще Fast User Switching, некоторые юзают.
2. От SSDP Discovery зависит UPnP Host, их надо вместе отключать.
[QUOTE=Bratez;133115]2. От SSDP Discovery зависит UPnP Host, их надо вместе отключать.[/QUOTE]
Насчет последнего нужно быть довольно осторожным: некоторые сетевые устройства взаимодействуют с клиентами-компьютерами через службу UPnP, и отключение последней может привести к отсутствию возможности использования сетевых сервисов (локальная сеть, выход в Интернет и т.д.). Такие случаи уже были и даже обсуждались тут...
[QUOTE]>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
Так маленькая поправочка -грамматическая ошибка в слове помоШник, правильно помощнику.
Олег, я как-то поднимал тему автоматической очистки папки временных файлов IE средствами AVZ из-за очень большого времени сканирования. С этим есть подвижки?
Насколько помню, были пожелания:
1. Команда скрипта, которая очищает временную папку.
2. Очистка не только стандартным механизмом (как через GUI), но и принудительным удалением всех лишних файлов.
3. Очистка папок всех пользователей, а не только активного.
4. Автоматическая очистка временной папки IE при выполнении стандартного скрипта лечения.
[QUOTE='AndreyKa;133296']Олег, я как-то поднимал тему автоматической очистки папки временных файлов IE [/QUOTE]
Подвижки таковы - будет отдельная подсистема AVZ - "очистка системы", которая будет чистить кукизы, темп папки, разные истории и т.п.
Когда будет? :)
[quote=Maxim;133300]Когда будет? :)[/quote]
Когда нибудь - когда до этого руки дойдут ...
[QUOTE=AndreyKa;133296]Олег, я как-то поднимал тему автоматической очистки папки временных файлов IE средствами AVZ[/QUOTE]
ребята, давайте не будем давить на Олега с созданием eierlegende Wollmilchsau (см. картинку, не требующую перевода ;) )
[IMG]http://www.emw.de/images/wsau_2.gif[/IMG]
Для очистки этих папок имеются
а) встроенные средства Виндоуз
б) куча freeware -программ
описание первого и одной из вторых см. тут: [url]http://virusinfo.info/showthread.php?t=10025[/url]
ИМО можно/нужно дополнить Правила пунктом, рекомендующим очистку ПК от временных файлов.
В этом плане CCleaner лучше всех :)
[QUOTE='Surfer;133447']В этом плане CCleaner лучше всех[/QUOTE]+1
После проверки AVZ выдала следуюущее :
Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 2 TCP портов и 5 UDP портов
(файрвол - MCAfee)
Проверка завершена, подозрительные порты не обнаружены
насколко опасно?и как блокировать?(стоит ли блоктровать?)
А что блокировать, если опасности не видно?
Приветствую всех.
Тут у меня проблемка случилась. Завелся "зверек" на компе. Обнаружился при помощи утилиты AVZ, выличить систему не удалось, пришлось переставить.
Так вот какой факт обнаружился.
После установки системы проверяю её AVZ все чисто, никаких перехватов ни в user mode ни в kernеl mode.
Устанавливаю OutPost.
Он просит перезагрузить комп. Ок. Комп перезагружается и ...
система не стартует. После заставки Windows получаем просто черный экран вместо синего экрана приветствия и возможности залогиниться.
А лампочка активности харда мигает, то очень активно, то переодически.
Ждал, ждал ... довольно долго. Потом резет.
Со второго раза система запустилась.
Закончилась донастройка Outposta. Обновились, проверились.
И тут самое интересное.
Ожидаю после проверки AVZ увидеть что, Outpost перехватил некоторые функции в кернел моде, а вижу совсем другое.
Перехват непонятно кем более 30-ти функций в user mode!
Что бы это значило?
[QUOTE=Thomas]Что бы это значило?[/QUOTE]
Полный лог проверки можно увидеть?
В KernelMode перехватов что ли нет?
[B]Thomas [/B], [url]http://helpme.virusinfo.info[/url]
Аутпост их и перехватывает
[code][size=1]
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004D806]
Функция kernel32.dll:WinExec (897) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
[/size][/code]
[QUOTE=';134976']Ожидаю после проверки AVZ увидеть что, Outpost перехватил некоторые функции в кернел моде, а вижу совсем другое.[/QUOTE]
А при отрытии окна Аутопост слов Service mode нет. Так? Это означает, что у тебя не запустился сервис аутпост, а только оболочка. Поэтому оболочка взяла на себя функции сервиса. Такой режим менее надёжен. И не работает, когда ты вышел из логина или ещё не зашёл под логин. Перестаустанови атупост или попробуй пересутановить службу руками.
[QUOTE=AndreyKa;134980]Полный лог проверки можно увидеть?
В KernelMode перехватов что ли нет?[/QUOTE]
AndreyKa
Приветствую.
Сейчас перехваты и в кернел моде.
Тут четко видно что, перехватчик Outpost.
[QUOTE='Rene-gad;133310']ребята, давайте не будем давить на Олега с созданием eierlegende Wollmilchsau [/QUOTE]
А я и не давлю, просто напомнил. Олег сам решает какие предложения реализавывать. А моё вполне актуально:
[url]http://virusinfo.info/showpost.php?p=134988&postcount=6[/url]
В генерации текста ответа пользователю надо исправить ошибку в слове.
[CODE]1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- [B][COLOR="Red"]Надать[/COLOR][/B] кнопку "Запустить".[/url]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[/CODE]
Я уже писал об этом в закрытом разделе
[QUOTE=SuperBrat;135148]В генерации текста ответа пользователю надо исправить ошибку в слове.
[CODE]1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- [B][COLOR="Red"]Надать[/COLOR][/B] кнопку "Запустить".[/url]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[/CODE][/QUOTE]
Хотя это оффтопик, но в приведенном отрывке я вижу одну описку (упомянутую выше) и две ошибки... =)
Олег, опять какая то неразбериха со службами. [url]http://virusinfo.info/showthread.php?t=12493[/url]
В логах AVZ все службы опознаны как безопасные, а логе HijackThis:
[quote]
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\vfujclog.exe (file missing)
[/quote]
Вроде в логе отображаются только активные службы.
[quote=NickGolovko;135324]Вроде в логе отображаются только активные службы.[/quote]
Да, именно так ... если служба полуубитая (т.е. у нее к примеру прибит тип запуска, или отна отключена), то она в логе не отобразится
Сабж. Выскажусь с позиций юзера.
Сидишь себе, работешь. Год за годом. Вирус или троян появляется раз в год-два. В результате внимания проверкам невольно уделяется всё меньше и меньше. И совсем не сложно пропустить новую строчку в куче предупреждений о перехватах функций симантековским корпоративным антивирусом, "подозрительных" утилитах видеокарты висящих в трее, "подозрительном" фаерволе, Лингве, и т.д. и т.п.
Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения. Ну и конечно параметр в настройках позволяющий отключать использование этой базы. Чтоб админ при желании мог целиком видеть всё, без учета мнения юзера.
ЗЫ: Вопрос по портам. AVZ ругается на 135-139 порты. Создал в фаерволе правело запрещающая принимать на них TCP и UDP. AVZ по-прежнему ругается. Так и должно быть, или я что-то не так сделал. Фаервол COMODO. Последний.
[QUOTE='толстопуз;135656']Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения.[/QUOTE]
Олег, это вот как раз в духе того, что я просил. То есть меня такая локальная база устроит.
И ещё по поводу локальной базы чистых.
ИМХО она должна защищать файлы от выдачи предупреждений о подозрениях, но не как не от проверок на известные вирусы и прочую адварь.
[QUOTE='толстопуз;135656']Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения. Ну и конечно параметр в настройках позволяющий отключать использование этой базы. Чтоб админ при желании мог целиком видеть всё, без учета мнения юзера.[/QUOTE]
Ага, именно это я и имел в виду, собственно.
[B]Rene-gad[/B], это пишется Vollmilchsau. ;)