-
А ещё неплохо бы приравнять задания к прочему автозапуску и чистить их сисклином.
-
Можно в 22 твик еще добавить очистку этого ключа реестра?
[QUOTE]7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "0http://ertaco.com/cols/accepted2.ruo"
[/QUOTE]
[QUOTE]Полное имя 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Имя файла 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Тек. статус ПОДОЗРИТЕЛЬНЫЙ
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\
0http://ertaco.com/cols/accepted2.ruo
[/QUOTE]
-
[b]mike 1[/b], так можно сказать из-за этого ключа эта таблетка и появилась :) [url]http://virusinfo.info/showthread.php?t=155719&p=1177844&viewfull=1#post1177844[/url]
Проблема в том, что вирус постоянно восстанавливает эту настройку.
-
[B]regist[/B] 22 таблетка не смогла сбросить эту надстройку, да и самого вируса уже не было, который добавляет эту надстройку.
-
1) [quote="mike 1;1196639"]не смогла сбросить эту надстройку[/quote]
не смогла и не проверяет этот ключ это немного разные вещи.
2) [quote="mike 1;1196639"]да и самого вируса уже не было[/quote]
этот настройка сама по себе вирус по класификации ЛК [COLOR="#FF0000"]Trojan.Multy.Proxy.Changer[/COLOR], по этому адресу находится JS скрипт который меняет настройки прокси.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Сейчас проверил работу таблетки на [URL="http://virusinfo.info/showthread.php?t=155719&p=1177917&viewfull=1#post1177917"]этом твике[/URL], значение параметра было обнулено. Так что этот ключ обрабатывает. А почему не смогло сбросить это уже другой вопрос.
-
[b]thyrex[/b], уже несколько раз замечал, что для того чтобы AVZ перескочил к нужной ветке реестра надо сделать несколько попыток. Для наглядности [URL="http://rghost.ru/59548926"]записал видео.[/URL]
-
Было бы удобней, если рядом с названием ОС [QUOTE]Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Home Premium" [/QUOTE] ещё выводилась разрядность системы.
-
Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.
-
1) [IMG]http://i66.fastpic.ru/big/2014/1216/f1/4ce885a9faed1a3acf11adb54b626bf1.png[/IMG]
[url]http://rghost.ru/59703688[/url]
Экспорта реестра к сожалению нет, но итак понятно, что там должен быть [B]xer[/B]ox почему AVZ решило его так обрезать, не понятно. Или у кибера появилось чувство юмора?
2) [url]http://rghost.ru/59703791[/url]
[URL="https://www.virustotal.com/ru/file/6e8bb755e04972dedd627c90ed29bf9e3af267838cac8862ee28974758c8f739/analysis/"]Мобоген[/URL] опять попал в белый (зелёный) список.
3) [url]http://rghost.ru/59703848[/url] - скорее всего AVZ неправильно распознал юникодное имя файла (предполагаю, что оно было иероглифами)
3.1)
По HTML логу вставляется в скрипт команды
[CODE]begin
QuarantineFile('C:\Documents and Settings\�4<8=8AB@0B>@\Local','');
DeleteFile('C:\Documents and Settings\�4<8=8AB@0B>@\Local','32');
end.[/CODE]
AVZ ругается на синтаксис.
3.2) В XML логе также ошибки
[IMG]http://i64.fastpic.ru/big/2014/1216/be/01b0f60317ef031423061730c02e8ebe.png[/IMG]
[IMG]http://i66.fastpic.ru/big/2014/1216/af/2880e78a56695d2257ca8e02fc75ddaf.png[/IMG]
-
[url]http://virusinfo.info/attachment.php?attachmentid=518718&d=1419241150[/url] опять косяк с экранированием кавычек.
Строка №5
[HTML] <ITEM PID="6864" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0" CmdLine=""C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="05.01.2012 13:21:44" ChangeDate="05.01.2012 13:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />[/HTML]
-
[QUOTE=antanta;1200403]Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.[/QUOTE]
Собственно, AVZ изначально и появился как сетевой :) А потом к нему был приделан GUI (изначально попросту секции лога в XML шли на сервер, оттуда в ответ - скрипты). Но это неудобно, так как нужно держать запущенного агента AVZ все время и иметь постоянную IP достижимость до сервера, на сервере нужна серьезная БД, некий GUI.... Сейчас в КВС все проще - скрытно запускается AVZ (rexec, доменная политика, агентом антивируса или через управляемое через домен задание планировщика), он собирает логи и карантины невидимо для пользователя и шлет по FTP на сервер админам. Там все это изучается (вручную, автоматом, полуавтоматом), и если нужно, идет формирование и запуск скрипта тем же образом. Но в КВС такие фокусы, как запуск толком не проверенных скриптов во время работы пользователя - весьма опасная затея, потому практикуется редко, например в случае лечения эпидемий.
-
[url]http://virusinfo.info/showthread.php?t=176254[/url]
Adware попало в базу чистых файлов. :(
[QUOTE]
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
[/QUOTE]
[IMG]http://i.imgur.com/aUEV4ZF.png[/IMG]
[url]https://www.virustotal.com/ru/file/dd1517b569a8403848a3122ad05ab5c308c7c4f139af23a6894adefaa61f2d85/analysis/[/url] (правда в моем случае хэш md5 может быть другим)
-
Навеяно [B]в очередной раз[/B] темой [url]http://virusinfo.info/showthread.php?t=177699[/url], где пришлось собирать скрипт несколько раз
[B]Олег[/B], Вас уже просили, чтобы в логах файлы в секциях
[QUOTE]Модули пространства ядра
Автозапуск
Модули расширения Internet Explorer (BHO, панели ...)
Подозрительные объекты[/QUOTE]
+ загруженные dll под списком процессов шли без подчеркивания и не срабатывали как ссылки, которые обнуляют скрипт и приходится все повторять заново
-
[b]Зайцев Олег[/b],
1) [url]http://rghost.ru/7zw4SFHHV[/url]
Опять косяк с экранирование кавычек. Строка: 30, Символ: 334
[HTML] <ITEM PID="5768" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" /n "C:\Users\kapustin.es\AppData\Local\Temp\Rar$DI67.288\Отчет за сентябрь 2014.docx /o """ Size="1922712" Attr="rsAh" CreateDate="21.01.2015 14:59:54" ChangeDate="21.01.2015 14:59:54" MD5="1E8A06F4AB44FAA82935D22C93BD9EAB" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4693.1000" IsPE="1" />[/HTML]
2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)
К примеру в логе FRST это выглядит так
[CODE]Task: {4A2EEFCC-1E14-49F5-8E9C-4E4111DDB3BD} - \chrome5_logon No Task File <==== ATTENTION
Task: {91E48151-635F-4E70-8053-3FBBC357C6AF} - \chrome5 No Task File <==== ATTENTION
Task: {B56BE3D5-B911-47D1-A4E8-D4789C7F749D} - \SystemScript No Task File <==== ATTENTION[/CODE]
После удаления этих ошмётков часто и проблема юзера уходит.
Возможно эта бага связана как раз с тем, что составление скрипта AVZ по логу AVZ не учитывается разрядность (на x64 ситемах всегда вставляется этот параметр независимо от того нужно отключать редирект или не нужно).
PS. и полиморф не помешало бы обновить. С начала Июня там базы не обновлялись ;). А раньше как минимум раз в месяц пересобирался.
-
[quote="regist;1232669"]2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)[/quote]
Свежий случай на другом форуме [b]thyrex[/b], по логу AVZ написал команды для удаления
[CODE]DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');[/CODE]
[SPOILER=скрипт thyrex целиком][CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('WindowsMangerProtect', 4);
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteService('WindowsMangerProtect');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/CODE][/SPOILER]
В свежих логах AVZ в планироващике задания этого задания нет, а в позже запрошенных логах AdwCleaner (by Xplode) оно видно ;)
[QUOTE]***** [ Scheduled tasks ] *****
Task Found : chrome5
Task Found : chrome5_logon
[/QUOTE]
В карантинах кибера эта малварь (InstallAddons.exe запускающийся через такие задания) вроде должна быть.
-
Провел эксперимент в теме [url]http://virusinfo.info/showthread.php?t=177840[/url]
При составлении скрипта параметр при удалении заданий вручную сменил на [B]32[/B] вместо предлагаемого [B]64[/B]. Случайно пропустил для одного задания, и в итоге запись от него все равно осталась в логе Addition.txt :O
-
Вот такую подмену ярлыков
[QUOTE]>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (2).lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\mozilla firefox\firefox.bat"] -> start "" /I /B /D "c:\PROGRA~2\MOZILL~1\" "c:\PROGRA~2\MOZILL~1\firefox.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\users\user\appdata\local\yandex\yandexbrowser\application\browser.bat"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" -- hxxp://search-poysk.ru
>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вконтакте.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\opera\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\opera\" "c:\PROGRA~2\opera\launcher.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru
>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk" -> ["C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.bat" => --load-and-launch-app="C:\Program Files (x86)\Common Files\{37B535B0-B061-4F4E-AD6E-6D8458269203}\0.8"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" -- hxxp://search-poysk.ru[/QUOTE]утилита не видит
-
2015-03-01 12:25 был обновлён полиморфный AVZ
[QUOTE]1. В описании процессов и DLL ссылки удалены, сведения по файлу вынесены в столбец с описанием файла (для DLL это ранее был столбец с MD5)
2. В всех остальных секциях ссылки удалены, а то, что выводилось в них, выводится более мелким шрифтом под именем файла
3. Важные моменты в данных по файлу (создан с пределах последних 2 недель, атрибуты "скрытый" и "системный") выделяются цветом и жирностью, чтобы сразу бросалось в глаза
4. Добавлены сведения по файлам в планировщике заданий (ранее их не было)
5. Добавлен нормальный парсинг имен файлов и фильтрация по базе чистых в менеджере протоколов (ранее почему-то он там не был подключен)[/QUOTE]
в обычной версии [QUOTE]Добавил пилюлю №23. Она делает резервную копию политик Google, после чего уничтожает их из реестра в HKLM и HKCU (базы уже вышли, после обновления данная пилюля появится в списке доступных)[/QUOTE]
-
Здравствуйте, Олег !
[quote]
Версия Windows: 6.2.9200, "Windows 10 Pro Technical Preview" ; AVZ работает с правами администратора
[/quote] [url]http://forum.oszone.net/post-2478143.html#post2478143[/url]
Здесь неверно определило название ОС.
Можно ли сделать что-то наподобие этого:
[spoiler]
[code]
Select Case MajorMinor_
Case 10
OSName_ = "Windows 10" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
Case 6.4
OSName_ = "Windows 10 Technical Preview" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
Case 6.3
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 8.1"
Else
OSName_ = "Windows Server 2012 R2"
End If
Case 6.2
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 8"
Else
OSName_ = "Windows Server 2012"
End If
Case 6.1
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 7"
Else
OSName_ = "Windows Server 2008 R2"
End If
Case 6
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows Vista"
Else
OSName_ = "Windows Server 2008"
End If
Case 5.2
If GetSystemMetrics(SM_SERVERR2) Then
OSName_ = "Windows Server 2003 R2"
ElseIf osi.wSuiteMask And VER_SUITE_STORAGE_SERVER Then
OSName_ = "Windows Storage Server 2003"
ElseIf osi.wProductType = VER_NT_WORKSTATION And Bitness_ = "x64" Then
OSName_ = "Windows XP"
Edition_ = "Professional"
Else
OSName_ = "Windows Server 2003"
End If
Case 5.1
OSName_ = "Windows XP"
If osi.wSuiteMask = VER_SUITE_PERSONAL Then
Edition_ = "Home Edition"
Else
Edition_ = "Professional"
End If
Case 5
OSName_ = "Windows 2000"
If osi.wProductType = VER_NT_WORKSTATION Then
Edition_ = "Professional"
Else
If osi.wSuiteMask And VER_SUITE_DATACENTER Then
Edition_ = "Datacenter Server"
ElseIf osi.wSuiteMask And VER_SUITE_ENTERPRISE Then
Edition_ = "Advanced Server"
Else
Edition_ = "Server"
End If
End If
Case Else
OSName_ = "Windows Unknown" & "(ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
End Select
[/code]
[/spoiler]
-
[quote="Dragokas;1239249"]Можно ли сделать что-то наподобие этого:[/quote]
[b]Dragokas[/b], как раз из-за этого и просили добавить в лог название ОС, что по билдам вечно была путаница. Так что пользы будет меньше чем сейчас. Если менять, то чтение ключа реестра на определение через WinAPI.
Page generated in 0.00538 seconds with 10 queries