Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

[QUOTE=NickGolovko;91180]Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D[/QUOTE]
Так если бы только на форуме... Впрочем, это уже не моя "юрисдикция"... =)

Олег глянь лог
[url]http://virusinfo.info/showthread.php?t=7515[/url]
Там похоже кекой-то руткит. И потом, удалённая адварь в папке Нортона... Странно.

[QUOTE=Geser;91189]Олег глянь лог
[url]http://virusinfo.info/showthread.php?t=7515[/url]
Там похоже кекой-то руткит. И потом, удалённая адварь в папке Нортона... Странно.[/QUOTE]
Перехваты не очень похожи на руткит - скорее это защита процесса от манипуляций с ним, судя по функциям. C:\WINDOWS\system32\drivers\Haspnt.sys - это драйвер HASP ключей. Тут другое дело - нужно нужно по имени файла поискать, есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.

[QUOTE=Зайцев Олег;91192]Перехваты не очень похожи на руткит - скорее это защита процесса от манипуляций с ним, судя по функциям. C:\WINDOWS\system32\drivers\Haspnt.sys - это драйвер HASP ключей. Тут другое дело - нужно нужно по имени файла поискать, есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.[/QUOTE]
А открытое соединение на 110 порт без имени процесса?

[QUOTE=NickGolovko;91180]Ну, а насчет форума - что поделаешь, Касперский тоже не всесилен :) Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D[/QUOTE]
:) Или воткнуть в AVZ "Авторизованный партнер ЛК" :) Последнее кстати в теории возможно, правда при условии, что для изучения ПК пострадавших в их конференции они положат архив у себя на сервере. У меня кстати с начала месяца намоталось 205 ГБ трафика ...

[QUOTE=Geser;91193]А открытое соединение на 110 порт без имени процесса?[/QUOTE]
Соединение по 110 порту - это же POP3 - забор почты, а не ее рассылка. Поэтому спам-бот вроде отпадает, значит это либо висячее соединение, либо некий зловред открыл порт 110 для своиз нужд. Этому человеку видимо стоит активировать AVZPM, перезагрузиться и повторить логи с ним. Сейчас я отпишу в той теме

[QUOTE]Соединение по 110 порту - это же POP3 [/QUOTE]
Угу, перепутал

[quote=Зайцев Олег;91192]есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.[/quote]
Да, это приблуда от Live Update & Live Registration

Олег, есть два пожелания по доработке логов syscure и syscheck.
1. В списке модулей, как и в списке процессов, добавить столбец "Информация".
2. В списке открытых портов показывать не только имя, но и ID процесса.

Олег!
В теме [url]http://virusinfo.info/showthread.php?t=7533[/url] в логах куча всего известного, но на немецком языке. См. апплеты панели управления.
Нельзя ли их как-нибудь в базе отметить? Наверняка, русские у тебя уже в базе есть.

Нужно их все прислать ,а иначе вряд ли ;)
одно имя - маловато будет . имя при желании можно заменить , копирайты подделать :)

У меня была небольшая проблема с удалением одного html файла,
сохраненного в катал. "Мои документы". - 2 дня система ругалась, что
файл используется(!)..(хотя он вообще ничем не был открыт), минуту
назад он удалился без проблем..(в смысле - в корзину).
ie вообще не открывался. AVZ говорит файл чист.Cист. win me
Могу прислать его содержимое.
2. avz в последнее время очень сильно подозревает некоторые
стандартные системные библиотечки:

C:\WINDOWS\SYSTEM\NVIEW.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\SYSTEM\NVIEW.DLL>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Как настроить утилиту, чтобы она не обращала на них внимания?
лог прилагаю.

Bариант один, прислать Олегу этот файл, он попадёт после проверки в базу безопасных , если он таковой ;) Также выполните правила в разделе "помогите", в том формате который приложили ,разобраться довольно проблематично .

Извините, если написал не в тот раздел (тогда подскажите куда написать)...
Отловил седня у клиентов с помощью AVZ. Что-то, из этого списка, он продетектил и обезвредил, а что-то нет, или только выказал подозрения (может я и что-то лишнее в карантин сунул... :) ). Пришлось бить руками :) .
А они ухитрились вырубить NOD32, правда у него базы были недельной давности...
Кстати, неплохо бы, занести новый релиз НОДа в безопасные, да и еще некоторый софт, типа Kerio Winrout и Acronis-овский планировщик...
Как это сделать?

Лучше всего выполнить [url=http://virusinfo.info/showthread.php?t=1235]правила[/url]. В крайнем случае можно залить со ссылкой на эту тему: [url]http://virusinfo.info/showthread.php?t=7320[/url].

[QUOTE=pig;91487]Лучше всего выполнить [url=http://virusinfo.info/showthread.php?t=1235]правила[/url]. В крайнем случае можно залить со ссылкой на эту тему: [url]http://virusinfo.info/showthread.php?t=7320[/url].[/QUOTE]

Ну выполнить правила уже не получиться, я уже дома, просто притащил с собой файл карантина.
У меня размер карантина в RAR-е ~1 Мб, а ограничение на вложение 488 Кб... Бить на куски?

Нет. лить [URL="http://virusinfo.info/upload_virus.php"]сюда[/URL] со ссылкой на эту тему - [url]http://virusinfo.info/showthread.php?t=7320[/url]

[QUOTE=anton_dr;91491]Нет. лить [URL="http://virusinfo.info/upload_virus.php"]сюда[/URL] со ссылкой на эту тему - [url]http://virusinfo.info/showthread.php?t=7320[/url][/QUOTE]

Спасибо за подсказку :)
Залил: 070117_125654_virus_45ae717613004.rar
А как быть с пожеланием о внесении в список безопасных?

[quote=Arhimed;91498]
А как быть с пожеланием о внесении в список безопасных?[/quote]
Очень просто - [url]http://virusinfo.info/index.php?page=upload_clean[/url]

[QUOTE=anton_dr;91502]Очень просто - [url]http://virusinfo.info/index.php?page=upload_clean[/url][/QUOTE]

Спасибо, все сделал по инструкции.
Только я пользуюсь Оперой и у меня в настройках стоит "Блокировать всплывающие окна", видимо поэтому я не получил отчета о загрузке файла. Может надо в инструкцию добавить, что отчет выводится всплывающим окном, чтобы знать что надо отключить опцию для получения отчета... (если, конечно, он выводится именно таким способом)