[QUOTE=tar;238121]предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.[/QUOTE]
YouTubeUploader устаналвивается именно туда. Равно как и GoogleUpdater. Вот народу станет сразу весело...
Printable View
[QUOTE=tar;238121]предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.[/QUOTE]
YouTubeUploader устаналвивается именно туда. Равно как и GoogleUpdater. Вот народу станет сразу весело...
Jolly Rojer[quote]Pavel1 можно так же попробовать выполнить "win+r" (аналог- Пуск/выполнить) далее вставить диск с win и выполнить sfc /scannow . Или запустив avz, Сервис/системные утилиты/sfc [/quote]Пробовал уже так делать,но у меня нет родного установочного диска, вставлял другой диск, тоже Win.XP SP2 RUS, но пишет, что вставлен отличный от нужного диск.Что еще можете посоветовать?Читал, что проблемы с загрузкой системы могут возникнуть, если Windows завершала работу в ненормальном режиме,а так и было при работающем AVZ Guard.И думаю,что у многих могут возникнуть проблемы с загрузкой, после такого лечения,тут хоть читай доку хоть не читай.
[quote=Pavel1;238626]И думаю,что у многих могут возникнуть проблемы с загрузкой, после такого лечения,тут хоть читай доку хоть не читай.[/quote]
Но тем не менее не возникают, так как:
1. AVZ Guard применяется по правилам тогда, когда закрыты все приложения
2. Он включается на момент начала лечения и система буквально через 1-2 секунды уходит на перезагрузку. Т.е. нет значимого интервала времени, в течении которого система работает на AVZGuard
3. Включается по необходимости, когда идет лечение трудноудаляемого зловреда
Ну а если включить просто так, та еще 10-15 минут с ним поработать, попробовать полазить по системным настройкам и т.п., то результат будет непредсказуемым. Нечего страшного в подавляющем количестве случаев конечно не произойдет - но какие-то глюки в теории могут возникнуть.
[quote=rav;238553]YouTubeUploader устаналвивается именно туда. Равно как и GoogleUpdater. Вот народу станет сразу весело...[/quote]
Они наверное ярлык добавляю, а вирус экзешник.
AVZ - внушает доверие :D но, было совсем отлично если бы
он в списке подключенных устройств сразу "видел" (только что вставленную) флэшку . Просто сталкивался с вирусами которые автозапускаются с флэшек .
Сорри, весь раздел не читал, а поиском не нашёл, поэтому решил спросить.
Иногда, почитывая треды в разделе "Помогите", натыкаюсь на случаи, когда AVZ не определяет как безопасные буквально все до единого исследуемые им системные файлы. Причём из лога ясно, что версия Windows - немецкая, или французская, или на ещё каком-то экзотичном для автора AVZ языке.
Это наводит на мысль, что "подписи" безопасных файлов в базе - на самом деле хэши (md5 или ещё что-то в этом роде). Поддерживать базы хэшей для всех файлов всех патчлевелов всех версий Windows - занятие муторное.
В то же время известно, что Microsoft и некоторые другие крупные производители ПО подписывают файлы своих продуктов цифровой подписью.
Может быть, имеет смысл проверять ещё и эту цифровую подпись? Штатный SigVerif так делает, Process Explorer от Руссиновича тоже. Удобно, сразу уменьшится количество ложных положительных срабатываний; к тому же, если обнаружится подписанный файл, но подпись [B]не совпадёт[/B] с его содержимым - это для эвристического анализатора хороший повод задуматься.
Список вендоров, подписям которых можно доверять, думаю, составить несложно - вряд ли их будет много. Актуальные и отозванные подписи можно распространять вместе с остальными обновлениями баз обычным способом или проверять в онлайне, как Process Explorer.
Естественно, нынешний механизм проверки хэшей тоже нужен. Подписи - это как бы в дополнение уже.
Не сильно глупая мысль?
[quote=a1822;239169]
Естественно, нынешний механизм проверки хэшей тоже нужен. Подписи - это как бы в дополнение уже.
Не сильно глупая мысль?[/quote]
AVZ проверяет подписи + хеши по своей базе (точнее наоборот - сначала ищет файл в базе чистых, а потом - проверяет ЭЦП). Но механизм проверки подписей может нарушиться - вот и получим то, что ничего не опознается ... и его можно отключить - есть ключик командной строки, отключающий проверку ЭЦП и переключающий AVZ только на его базу чистых.
[QUOTE=NRA;239236]Слушай, Олег, раз ты уже зашёл, то что ты думаешь на счёт скрипта проверки на файлы с "фейкнутыми" расширениями,
типа как это сейчас делается с .EXE заделаными под .BAK, .TMP и т.д.?
Тоесть чтобы "содержимое" соответствовало записаному расширению.
Xотелось бы список пошире (как в APS) и возможностей поболе ;)
В принципе вреда особого нет, но иногда может конкретно запутать, даже "уверенного" юзверя,
а это уже может быть похуже вируса (даже .BAT переименованый в .EXE часто бутяет машину)
[/QUOTE]
Просто EXE файлы имеют одну внутреннюю структуру и их можно запустить как программы без разницы какое расширение им присвоено. А вот например BAK файлы это просто копия чего то, файл не имеет какой либо структуры за которую можно зацепится(Расширения просто сменили), TMP так же...
BAT файл разве что сигнатурно по командам детектировать, смысле нет.
[quote]Зайцев Олег-"Но тем не менее не возникают, так как:"
[/quote] C загрузкой сис-мы может не возникают(только у меня),но вот BSOD например,после пользования AVZ Guard:[quote]
Сообщение от [B]Rampant[/B] [URL="http://virusinfo.info/showthread.php?p=220663#post220663"][IMG]http://virusinfo.info/images/buttonsru/viewpost.gif[/IMG][/URL]
[I]AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:[/I]
[I]файл мини-дампа, прилагается.[/I]
[/quote]Может не будем спорить что или кто стали причиной проблемы, все равно каждый останется при своем мнении,а раз уж она возникла-попытаемся ее решить.Стандартный скрипт 6 не помог.Пожалуйста подскажите что нибудь исчо(кроме переустановки Виндовс):>
[quote=Pavel1;240126]C загрузкой сис-мы может не возникают(только у меня),но вот BSOD например,после пользования AVZ Guard:Может не будем спорить что или кто стали причиной проблемы, все равно каждый останется при своем мнении,а раз уж она возникла-попытаемся ее решить.Стандартный скрипт 6 не помог.Пожалуйста подскажите что нибудь исчо(кроме переустановки Виндовс):>[/quote]
BSOD при включении AVZGuard крайне маловероятен, но возможен, и причиной как правило является:
1. Его многократные включения/выключения
2. Наличие на ПК антивирусов, Firewall и т.п. программного обеспечения, которое перехватывает те-же функции, что и AVZGuard
Насчет проблемы с загрузкой - скорее всего это глюк системы, поэтому нужно искать его причину. Для этого:
1. Стоит сделать стандартное исследование системы AVZ по правилам раздела "помогите" - может быть, на ПК обнаружится живой/полу-убитый зловред, следы от него или что-то еще, что позволит понять причины проблемы
2. Мой компьютер -> Управление. Там "Просмотр событий", почистить все списки событий - правая кнопка над категорией событий в дереве слева, в меню "Стереть все события", от создания их копии отказаться, так повторить для всех категорий событий.
3. Мой компьютер -> Свойства, там закладка "Дополнительно", кнопка Параметры. Там снять птичку "Выполнить автоматическую перезагрузку", поставить птичку "Записать событие в системный журнал" и выбрать запись отладочной информации "Малый дамп памяти"
4. Пойти в каталог %SystemRoot%\Minidump и удалить оттуда все файлы минидампов, что найдутся
5. Пару раз попробовать загрузится, получить возникающие ошибки
Затем загрузиться, и посмотреть:
1. Что записалось в журналы (Мой компьютер -> Управление. Там "Просмотр событий"). В основном интересны группы "Приложение" и "Система", их можно экспортировать и прицепить сюда в архиве
2. Посмотреть, не появились ли минидампы в %SystemRoot%\Minidump. Если появились, то их в архив и аналогично, прицепить сюда
3. Посмотреть список оборудования (Мой компьютер -> Управление. Там "Диспетчер устройств") - посмотреть, нет ли устройств с крестами и восклицательными знаками. Если есть - список (или скриншот) сюда.
Вот основная процедура ...
Олег, мы как то (а именно, в 2005 году) обсуждали проверку составных контейнеров (CHM, CAB etc.) - сначала CRC/MD5 по базе безопасных, а потом уже, если он не нашёлся в известных, то делать разбор содержимого.
Удивительно, но всё таки хочется сподвигнуть Вас на то, чтобы это было в AVZ. А то очень как то неинтересно смотреть, как в очередной раз проверяется какой нибудь VBAXL10.CHM из состава офиса или driver.cab из системы.
То же самое относится и к AVP tool - там же внутри уже есть AVZ, isn't it?
Олег, а вас интересуют описания мелких ошибок в AVZ? У меня их много....
1) Если основной бразуер FireFox, то не показываются протколы после ответа Yes на "протокол сохранён, вы хотите его просмотреть?"
2) В менеджере расширений проводника не удаляются расширения, если файл не найден.
3) В хинте для чекбокса "Отчёт о чистых объектах" имеет слово "привдит" вместо "привОдит"
ну и так далее.....
Интересно такое буквоедство?
Разумеется, интересно.
Мне кажется, проверка замены букв (svshost.exe) не нужна. Можно проверять буквы русского и англ. алфавита (svchost.exe и svсhost.exe). А оптимальный вариант таков: создать базу системных файлов и при неправильном расположении бить тревогу (давать предупреждение). Например, explorer.exe должен лежать в папке WINDOWS, в system32 он - вирус, популярный вирус создает файл %AppData%\csrss.exe, %AppData%\smss.exe и т.д., есть вирус %temp%\winlogon.exe.
[QUOTE=bolshoy kot;241184]А оптимальный вариант таков: создать базу системных файлов и при неправильном расположении бить тревогу. Например, explorer.exe должен лежать в папке WINDOWS, в system32 он - вирус, популярный вирус создает файл %AppData%\csrss.exe, %AppData%\smss.exe и т.д., есть вирус %temp%\winlogon.exe.[/QUOTE]
При Неправильном местоположении сейчас уже есть предупреждение, но не Тревога. Пользователь сам может скопировать любой файл по своему желанию.
В списке "Подозрительные файлы"? И какая причина подозрения там написана?
[QUOTE=Биомеханик;241505]В списке "Подозрительные файлы"? И какая причина подозрения там написана?[/QUOTE]
В разделе "Подозрительные объекты"
Причина: файл с подозрительным именем (и указывается степень опасности).
[quote=PavelA;241357]При Неправильном местоположении сейчас уже есть предупреждение, но не Тревога. Пользователь сам может скопировать любой файл по своему желанию.[/quote]
Понятно! Ну еще нужно обнаружение "подозрительных" имен по списку:
csrsc.exe
svshost.exe
svch0st.exe
winlog0n.exe
Vinlogon.exe
winlogin.exe
[b]i[/b]sass.exe
В чистом Windows нет ни одного такого файла.
А ешё замена английских букв на русские, в списке контролируемых файлов.
о, с, у, е, т, м, р, в, н, а, х.
Олег пишет:[QUOTE]BSOD при включении AVZGuard крайне маловероятен, но возможен, и причиной как правило является:
Наличие на ПК антивирусов, Firewall и т.п. программного обеспечения, которое перехватывает те-же функции, что и AVZGuard
[/QUOTE]Олег,на момент включения AVZ Guard работал Антивирус Касперского 6.0,если это поможет.[QUOTE] Стоит сделать стандартное исследование системы AVZ по правилам раздела "помогите"[/QUOTE]Выполнил Ваши рекомендации.Полная проверка сис-мы KIS 7.0(базы обновил)-вирусов не найдено,AVZ 4.30(базы обновил)-ничего не найдено,а вот DrWeb(CureIt) кой чего нарыл:RegUBP2b-1.reg C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2 статус: Trojan.StartPage.1505.Этот файл реестра выглядит так:[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.is74.ru/"-это сайт моего интернет-провайдера,который у Дохтора почемуто стал стартовой страницейтрояна.И еще нашел:_desktop.ini C:\WINDOWS\OPTIONS\CABS статус: Win32.HLLW.Gavir.ini.Вот все что в этом ini-файле:2007/3/27.[QUOTE]Посмотреть, не появились ли минидампы в %SystemRoot%\Minidump[/QUOTE]Снята птичка "Выполнить автоматическую перезагрузку", поставлена птичка "Записать событие в системный журнал" и выбрать запись отладочной информации "Малый дамп памяти" и путь:
%SystemRoot%\Minidump ,но такой папки у меня нет.[QUOTE]Пару раз попробовать загрузится, получить возникающие ошибки[/QUOTE]Ошибки прилагаю.[QUOTE]Посмотреть список оборудования (Мой компьютер -> Управление. Там "Диспетчер устройств") - посмотреть, нет ли устройств с крестами и восклицательными знаками.
[/QUOTE]Таких устройств нет. Не могу прикрепить логи[QUOTE]Pavel1, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
[/QUOTE]
[quote=Pavel1;243050]Олег пишет:Олег,на момент включения AVZ Guard работал Антивирус Касперского 6.0,если это поможет.Выполнил Ваши рекомендации.... Не могу прикрепить логи[/quote]
Не совсем - мои рекомендации сводились к исследованию по правилам разделе "Помогите" - для изучения логов.
Любые протоколы можно положить в архив и разместить на rapidshare или ifolder, и поместить сдесь ссылку на них.
логи
AVZ при проверке написал следующее:
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
Проверка завершена
Просканировано файлов: 685, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.06.2008 21:57:31
Сканирование длилось 00:00:23
Как и где можно посмотреть, что именно поломалось в REG файлах?
Насколько это опасно?
Как починить?
[QUOTE=VBHJY;244580]AVZ при проверке написал следующее:
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
Проверка завершена
Просканировано файлов: 685, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.06.2008 21:57:31
Сканирование длилось 00:00:23
Как и где можно посмотреть, что именно поломалось в REG файлах?
Насколько это опасно?
Как починить?[/QUOTE]
Мочить можно так:
файл > мастер поиска и устранения проблем > системные > исправить
>> Нарушение ассоциации REG файлов
нет, не опасно, но замочить нужно, так сказать для чистой совести :)
Олег, взгляни в [url]http://virusinfo.info/showthread.php?p=244675[/url]
Не проходит третий стандартный скрипт. На этапе исследования системы он вылетает без всяких сообщений и без создания даже частичного HTM (не говоря уж о ZIP).
Если есть идеи, что проверять - можем проверить. Только у меня с этим комом связь через аську.
Я вам могу сказать как сделать так,чтобы получился стандартный скрипт №3:)
удалите на время лечения Outpost,это он давит антируткит AVZ...
Вчера впервые попробовал AVZ, на компе стоят два жестких диска, после "устранения проблем" пропал динамический диск, обычное восстановление системы не помогает, не знаю, что делать, причем AVZ находился на исчезнувшем диске.
[quote=Гриша;244893]Я вам могу сказать как сделать так,чтобы получился стандартный скрипт №3:)
удалите на время лечения Outpost,это он давит антируткит AVZ...[/quote]
Так закрывали же его, насколько я знаю! Но - перепроверю. Интересно, что валится не на снятии рукткитов, а на исследовании системы.
А если руткиты не снимать - исследование проходит.
В любом случае, тихое снятие без сообщений в логе - это не хорошо.
Try-Except ещё никто не отменял! :)
[QUOTE=Комильфо;244976]Вчера впервые попробовал AVZ, на компе стоят два жестких диска, после "устранения проблем" пропал динамический диск, обычное восстановление системы не помогает, не знаю, что делать, причем AVZ находился на исчезнувшем диске.[/QUOTE]
Что есть "динамический диск"? Если он сотворён чисто средствами Windows, то посмотрите в Управление компьютером - Запоминающие устройства - что там с разбиением диска?
[quote=Гриша;244893]Я вам могу сказать как сделать так,чтобы получился стандартный скрипт №3:)
удалите на время лечения Outpost,это он давит антируткит AVZ...[/quote]
На время №3 скрипта..Outpost был выключен...Это не из-за него
[quote=Комильфо;244976]Вчера впервые попробовал AVZ, на компе стоят два жестких диска, после "устранения проблем" пропал динамический диск, обычное восстановление системы не помогает, не знаю, что делать, причем AVZ находился на исчезнувшем диске.[/quote]
Посмотри, что в файле C:\Autorun.inf
Было два жестких, на одном установлена система, он не разбит на разделы, с ним все в порядке, а вот второй жесткий диск пропал, он был разбит на два раздела, хотя служба диспетчера логических дисков запущена в режиме авто.
[QUOTE=Knopf;245000]На время №3 скрипта..Outpost был выключен...Это не из-за него[/QUOTE]
Отключение не помогает, надо сносить.
[QUOTE=Jef239;245001]Посмотри, что в файле C:\Autorun.inf[/QUOTE]
Что-то я не могу его найти
[quote=Комильфо;245015]Что-то я не могу его найти[/quote]
А на других дисках нет Autorun?
У тебя вообще динамические диски как делались? Моя идея в том, что они делались какой-то левой программой, которую ты отключил. Если они делались штатным путём, то autorun искать не надо - это мимо кассы.
[QUOTE=Jef239;245031] Они делались штатным путём.[/QUOTE]
Уже все перепробовал, ничего не помогает!
[quote=Knopf;245000]На время №3 скрипта..Outpost был выключен...Это не из-за него[/quote]
Выключен != деинсталлирован. Перехваты выключенного Outpost остаются...
Олег, окно "Обнаружен вредоносный объект" при больших шрифтах не растягивается полностью. Похоже там Constrain.MaxSize стоит.
[quote=Зайцев Олег;245143]Выключен != деинсталлирован. Перехваты выключенного Outpost остаются...[/quote]
Сделал сейчас третий скрипт на своей системе, вообще не выключая OutPost. Все логи создались НОРМАЛЬНО.
Win2K SP4
Agnirum Outpost 4.0.1025.7828 (700)
ИДЕИ:
1) У меня отключена внутренняя защита
2) У меня отключен контроль Anti-leak.
Завтра попробуем отключить то же самое у Кати. Если пройдёт нормально - будет что написать в FAQ.
Рассказываю об итогах большого секса.
В результате переноса системы с диска на диск перестали запускаться IE и explorer. В результате длительного секса выяснилось, что дело в том, что в реестре для Google Desktop Search указан КОРОТКИЙ путь. А при переезде на другой диск он сменился (при сохранении полного пути) из-за того, что изменился порядок создания подкаталогов.
Может быть это коу-то поможет как хинт. Ну и хорошо было бы проверять наличие файлов, необходимых для запуска explorerа. В в виде стандартного скрипта, конечно. Хотя это наперное функция докторов реестра?