[QUOTE=nowhere]Раньше каспер стоял, а он котрольные суммы на ntfs хранит в отдельных потоках. На сайте каспера есть тулза, которая эти потоки удаляет.[/QUOTE]
Не стоял, а стоит.
А линка нету, а то чего то я не нашел?
Printable View
[QUOTE=nowhere]Раньше каспер стоял, а он котрольные суммы на ntfs хранит в отдельных потоках. На сайте каспера есть тулза, которая эти потоки удаляет.[/QUOTE]
Не стоял, а стоит.
А линка нету, а то чего то я не нашел?
А w97m.zero VBA не ловит? Или я в настройки не въехал :confused:
Проверьте файл тут: [url]http://virusscan.jotti.org/[/url] - узнаете
[QUOTE=Гость]Проверьте файл тут: [url]http://virusscan.jotti.org/[/url] - узнаете[/QUOTE]
Это мне? Спасибо, проверять не буду - знаю оно там. Но ВБА молчит как партизан...
[QUOTE=Танкист]Это мне? Спасибо, проверять не буду - знаю оно там. Но ВБА молчит как партизан...[/QUOTE]
Ну так отправьте его им.
[QUOTE=Танкист]Это мне? Спасибо, проверять не буду - знаю оно там. Но ВБА молчит как партизан...[/QUOTE]
Да, вам, вам :)
Это поможет убить сразу двух зайцев:
1. вы узнаете, действительно VBA не ловит ваш вирус или проблемы с настройками
2. аналитики VBA получат ваш экземпляр и он начнет ловиться :)
Честно говоря не совсем в тему, хотел спросить - на странице загрузки VBA можно скачать демонстрационные версии - а в чем заключается их демонстрационность? Триальность или ограниченная функциональность или еще в чем-то? На сайте не смог найти этой информации..
[QUOTE=HATTIFNATTOR]Честно говоря не совсем в тему, хотел спросить - на странице загрузки VBA можно скачать демонстрационные версии - а в чем заключается их демонстрационность? Триальность или ограниченная функциональность или еще в чем-то? На сайте не смог найти этой информации..[/QUOTE]
Это обычные версии без ключика, точнее с демо-ключом. Демо-ключ позволяет один раз обновить программу, но с ним не выполняются никакие действия над вирусами и нельзя изменять большинство настроек. При подкладывании валидного ключа получаем обычный полноценный комплекс.
[QUOTE=nowhere]Раньше каспер стоял, а он котрольные суммы на ntfs хранит в отдельных потоках. На сайте каспера есть тулза, которая эти потоки удаляет.[/QUOTE]
Задал я им вопрос
[QUOTE]Мне подсказали, что есть утилитка для следующих целей.
Хочу потестить другой АВ продукт, он при сканировании файлов выдает - G:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\H1BLMW6Y\top[1].js:KAVICHS : невозможно открыть для чтения.Так вот есть утилитка, что бы избавиться от этого?[/QUOTE]
И вот чего ответили
[QUOTE]
Здравствуйте,
Вам необходимо очистить папки временных фалов интернета.
Для этого необходимо открыть Internet Explorer
Сервисы->Свойства Обозревателя-> Удалить файлы\Удалить Cookies
С уважением,
Алексей Слущев
[/QUOTE]
[QUOTE=anton_dr]Задал я им вопрос
И вот чего ответили[/QUOTE]
Файлы которые в данный момент используются системой часто открыть нельзя, и такие ошибки будут практически всегда. И они не из за :KAVICHS :. Просто народ не любит потоки, вот и советовали их удалить.
ну вот сейчас просканировал не свой винт где не стоял каспер, таких проблем не было. На моем же винте он не может проверить ни один файл, который до этого проверил каспер.
[QUOTE=anton_dr]ну вот сейчас просканировал не свой винт где не стоял каспер, таких проблем не было. На моем же винте он не может проверить ни один файл, который до этого проверил каспер.[/QUOTE]
Если ни один, а не только во временных папках, тогда подождём что скажут разработчики.
[QUOTE=anton_dr]ну вот сейчас просканировал не свой винт где не стоял каспер, таких проблем не было. На моем же винте он не может проверить ни один файл, который до этого проверил каспер.[/QUOTE]
Сообщение
[i]...top[1].js:KAVICHS : невозможно открыть для чтения[/i]
говорит о том, что невозможно проверить именно поток KAVICHS, но основной поток данных файла при этом проверяется (естественно, если нет аналогичного сообщения о самом файле). Почему так происходит - отдельный вопрос. Единственное предположение - если Касперский установлен, то, возможно, перед тем, как файл достанется сканеру, его щупает монитор Касперского и при этом использует или обновляет информацию в потоке, в этот момент сканер начинает проверку потока и нарывается на нарушение совместного доступа
Поддержка каспера ответила.
У них на сайте в факе есть статейка по этому поводу
"После удаления Антивируса Касперского выдается сообщение :KAVICHS на каждом файле NTFS раздела. Что это за информация?"
[url]http://www.kaspersky.ru/faq?qid=156614945[/url]
И утилитка помогла. Теперь при проверке сообщений нету.
Судя по всему ВБА становятся известными среди мировой антивирусной публики.Рад,что новый продукт внес ранобразие в установленную иерархию AV.Вот линк ,где матерые критики хвалят ВБА за быструю реакцию:
[url]http://www.wilderssecurity.com/showthread.php?t=81164[/url]
а также более подробное обсуждение программы
[url]http://www.wilderssecurity.com/showthread.php?t=73419&page=1&pp=25[/url]
Молодцы!
Кстати, ДрВеб пишут что умеют SVKP распаковыватыь :)
[url]http://info.drweb.com/show/2639/ru[/url]
Кстати, что там с ASProtect SKE v2.11?
[url]http://virusinfo.info/forum/showthread.php?p=48164[/url]
Будем распаковывать, или как? :)
Стоит ли ожидать в ближайших версиях отдельной настройки действий для вредоносного программного обеспечения (Adware/Spyware) и отдельно для RiskWare? А то в базы попадает достаточно много полезных утилит, которые применяются по обе стороны барикад сетевой войны, и как следствее приходится держать довольно длинный список исключений, как хакерам, так и админам.
Господа разработчики уже задумались, как решить данную проблему ? ;-)))) :
_http://www.wilderssecurity.com/showthread.php?t=82342
"When can Americans buy VBA32?
I've seen in some VBA32 related threads that an english "gold" (home, I presume?) version is to be out soon for the American market. Any more details on this?"
[QUOTE=Geser]Кстати, ДрВеб пишут что умеют SVKP распаковыватыь :)
[url]http://info.drweb.com/show/2639/ru[/url][/QUOTE]
Рады за них :)
[QUOTE]Кстати, что там с ASProtect SKE v2.11?
[url]http://virusinfo.info/forum/showthread.php?p=48164[/url] [/QUOTE]
404 :(
[QUOTE]Будем распаковывать, или как? [/QUOTE]
Или как :) В общем, ситуация такая. Фактически сам файл распаковывается, однако из-за того, что ASProtect особым образом обрабатывает таблицу импорта, наложить сигнатуру и определить трояна для части (довольно большой части) упакованных файлов не удается. С другой стороны, упаковка данной версией ASProtect'а совсем не мешает работе эвристика, поскольку там используются другие алгоритмы и нестандартная таблица импорта ему не помеха. Короче, есть над чем работать, полная поддержка ASProtect будет добавлена в одной из следующих версий :)
[QUOTE=serge (guest)]С другой стороны, упаковка данной версией ASProtect'а совсем не мешает работе эвристика[/QUOTE]
[url]http://virusinfo.info/showthread.php?p=48164[/url]
Тут ничего не нашлось.
[QUOTE=Geser][url]http://virusinfo.info/showthread.php?p=48164[/url]
Тут ничего не нашлось.[/QUOTE]
Спасибо за ссылку. Получается действительно, если дело не только в таблице импорта, такую гадость только эвристикой и можно поймать (поскольку она заточена именно на поиск модификаций), нужно только ее хорошо обучить :) Будем разбираться дальше.
Как то тихо вышла новая beta-версия 3.10.5. О том, какие в ней произведены изменения файл whatnew скромно умалчивает ;)
А можно как-нибудь восстановить потеряный ключ бета-тестера?
Будет ли поддержка нескольких пользователей на XP?
[QUOTE=sergey_gum]А можно как-нибудь восстановить потеряный ключ бета-тестера?[/QUOTE]
Можно скачать отсюда:
[url]http://www.anti-virus.by/beta/update/vba32.key[/url]
[QUOTE=Minos]Как то тихо вышла новая beta-версия 3.10.5. О том, какие в ней произведены изменения файл whatnew скромно умалчивает ;)[/QUOTE]
при выходе релиза (например, 3.10.4) версия беты наращивается автоматически (т.е. будет 3.10.5). первую неделю бета совпадала с релизом ;)
[b]Dr.Xmas[/b]
Немного про "эстетический" вид и работу инсталятора...
1)Немного раскидывает текст по всему визарду, не критично, но читать не удобно
2)Поставил вот Workstation 3.10.4, потом она мне стянула апдейт до 3.10.5. Запустил на свою голову инстал еще раз и подарочек, он мне удалил установленную VBA. Вот это уже критично. Думаю что в таком случае не лишним будет обратить внимание юзера на то что он собирается сделать.
[QUOTE=Grey]Немного про "эстетический" вид и работу инсталятора...
1)Немного раскидывает текст по всему визарду, не критично, но читать не удобно[/QUOTE]
Не могли бы вы разъяснить, что означает "раскидывает текст по всему визарду"?
[QUOTE=Grey]2)Поставил вот Workstation 3.10.4, потом она мне стянула апдейт до 3.10.5. Запустил на свою голову инстал еще раз и подарочек, он мне удалил установленную VBA. Вот это уже критично. Думаю что в таком случае не лишним будет обратить внимание юзера на то что он собирается сделать.[/QUOTE]
Инсталлятор как-раз и обращает на это внимание. При повторном запуске появляется окно "Удаление Vba32 Workstation" c запросом на продолжение.
[quote]Не могли бы вы разъяснить, что означает "раскидывает текст по всему визарду"[/quote]
Ну может не совсем так выразился, хотя в каком то диалоге именно такая формулировка больше всего подходит. Ну а что бы долго не объянять - см. аттач
[quote]
Инсталлятор как-раз и обращает на это внимание. При повторном запуске появляется окно "Удаление Vba32 Workstation" c запросом на продолжение.
[/quote]
Оно то конечно так, есть надпись [b]"Удаление Vba32 Workstation"[/b], просто когда первый раз запустил, не думал что при нажатии "Далее" оно меня больше ничего не спросит и сразу же все удалит. Запустил же я его по причине второй раз (т.е. когда уже VBA был установлен) потому что при обновлении очередной раз получил ошибку связи, после чего VBA отказался работать, вот я и подумал что таким образом смогу восстановить его работоспособность. Думаю что хотя бы диалог о подтверждении после нажатия кнопки "Далее" не помешает.
Да, насчет евристика, вот что он мне выдал на файлик hiew32.exe (думаю он многим знаком)
[code]
hiew32.exe.1 : is suspected of Backdoor.Win32.Rbot.on.1 (paranoid heuristics)
[/code]
[QUOTE=Grey]
Оно то конечно так, есть надпись [b]"Удаление Vba32 Workstation"[/b], просто когда первый раз запустил, не думал что при нажатии "Далее" оно меня больше ничего не спросит и сразу же все удалит.[/QUOTE]
Вспомнилось юмористическое описание работы в винде, найденное где-то в сети:
[i]Hа последующие вопросы системы "Вы действительно хотите удалить каталог WIN?", "Вы уверены?", "Вы точно уверены?", "А вы хорошо подумали?" отвечай соответственно: "да!", "ДА!", "ДАААА!", "#$%^&*@!!!". Hа самом деле, эта словесная перепалка не будет продолжаться бесконечно - Винды обладают мощными алгоритмами самосохранения, а потому после твоего двадцать пятого ответа "Сдохни, крыса!" они выдают запрос об удалении с вариантами ответа "[Hет] и [Hи за что!]".[/i] :)
Не знаю, вроде на отсутствие дополнительного подтверждения больше пока никто не жаловался.
За скриншот с невлезающими надписями спасибо, будем разбираться.
[quote]Запустил же я его по причине второй раз (т.е. когда уже VBA был установлен) потому что при обновлении очередной раз получил ошибку связи, после чего VBA отказался работать,[/quote]
Тут можно подробнее? Как именно отказался работать, какие сообщения выдал?
[quote]Да, насчет евристика, вот что он мне выдал на файлик hiew32.exe (думаю он многим знаком)
[code]
hiew32.exe.1 : is suspected of Backdoor.Win32.Rbot.on.1 (paranoid heuristics)
[/code][/QUOTE]
Сама программа hiew, конечно знакома. Другой вопрос, какая это версия hiew (судя по всему, именно такого файла у нас в коллекции нет). Ну и из более фантастических вариантов - это может быть вообще подарок 'друга' хакера :) В общем нужно посмотреть, присылайте файл на [email][email protected][/email]
[quote]
Вспомнилось юмористическое описание работы в винде, найденное где-то в сети:
Hа последующие вопросы системы "Вы действительно хотите удалить каталог WIN?", "Вы уверены?", "Вы точно уверены?", "А вы хорошо подумали?" отвечай соответственно: "да!", "ДА!", "ДАААА!", "#$%^&*@!!!". Hа самом деле, эта словесная перепалка не будет продолжаться бесконечно - Винды обладают мощными алгоритмами самосохранения, а потому после твоего двадцать пятого ответа "Сдохни, крыса!" они выдают запрос об удалении с вариантами ответа "[Hет] и [Hи за что!]".
[/quote]
Где то такого ответа я и ждал :) И все же думаюч то 1 запрос наподтверждение будет не лишним
[quote]Тут можно подробнее? Как именно отказался работать, какие сообщения выдал?
[/quote]
Получил месагу что мол файл Vba32w.dll поврежден, в другой раз получил такую же месагу но про daily.udb. Когда же поставил заново VBA, то взялся обновлять до конца, т.е. при обрывах жал снова "Обновить". За что Вам отдельное спасибо, так это за то что сделали докачку при обновлениях. Это дейсвительно очень порадовало :)
Насчет hiew.exe, выяснил в чем дело, ругалось на ту версию, которая была отвязана от регистрации и лежала у меня в архиве. Проверил ее на всякий случай другими антивирями (Каспер 5, ДрВеб 4.32, McAfee 4537, базы у всех последние никто больше ничего не сказал) Так что думаю на него то как раз не стоит обращать внимание, ну а ежели он Вам все же интересен - могу выслать.
А вот насчет парочки других прог, на которые эвристик также ругнулся, было бы интересно выяснить, их то я Вам и выслал.
[QUOTE=Grey]
Получил месагу что мол файл Vba32w.dll поврежден, в другой раз получил такую же месагу но про daily.udb. Когда же поставил заново VBA, то взялся обновлять до конца, т.е. при обрывах жал снова "Обновить". За что Вам отдельное спасибо, так это за то что сделали докачку при обновлениях. Это дейсвительно очень порадовало :)[/quote]
Процесс обновление состоит из двух частей. Сначала скачиваются все необходимые файлы во временный каталог и проверяется их корректность с использованием цифровой подписи. Только после этого исполняемые файлы и другие компоненты комплекса заменяются новыми. Таким образом ошибки связи, обрывы, невозможность соединения и некорректно скачанные файлы не должны приводить к неработоспособности комплекса. Поэтому сложно сказать, что случилось в данном случае.
Вы точно не предпринимали попыток "помочь" программе обновиться и не пытались заменять какие-либо из файлов вручную?
[quote]
Насчет hiew.exe, выяснил в чем дело, ругалось на ту версию, которая была отвязана от регистрации и лежала у меня в архиве. Проверил ее на всякий случай другими антивирями (Каспер 5, ДрВеб 4.32, McAfee 4537, базы у всех последние никто больше ничего не сказал) Так что думаю на него то как раз не стоит обращать внимание, ну а ежели он Вам все же интересен - могу выслать.[/QUOTE]
Такие файлы нам в любом случае интересны. Сейчас данный файл сейчас находится в "подвешенном" состоянии с точки зрения нашего антивируса :) Программа не может разобраться, хороший он или плохой. Если Вы пришлете этот файл нам, после выхода следующего обновления вирусных баз, эвристик либо перестанет на него ругаться, либо антивирус начнет определять его как вредоносную программму (если она действительно таковой является).
Стоит заметить, что суфикс '(paranoid heuristics)' означает, что программа ругается на него 'благодаря' установке 'избыточного' уровня эвристики. Снижение чувствительности эвристического анализатора до 'максимального' уровня должно решить эту проблему. Кстати, при попытке установить избыточный уровень эвристики, выдается предупреждение о возможности ложных срабатываний.
Цитата из файла справки (VBALRDU.chm):
[i]
Избыточен - обнаруживает максимальное количество неизвестных вредоносных программ при большей вероятности ложных срабатываний. Рекомендуется только для опытных пользователей.
Внимание: Подозрительные файлы отправляйте на [email][email protected][/email] для детального анализа. Все ложные срабатывания будут устранены при очередном обновлении антивирусных баз.
[/i]
Если на компьютере имеются еще и другие подозрительные файлы, лучше их тоже прислать нам на анализ. Для сбора подозрительных файлов удобно использовать бета-версию консольного сканера, скачать которую можно отсюда: [url]http://www.anti-virus.by/en/beta.html[/url]
Там есть русский readme-файл, который описывает, что нужно сделать:
[i]
Для облегчения сбора подозрительных файлов в архив добавлен бат-файл: heuristics-test.bat
Он запускает консольный сканер на все локальные диски с проверкой всех файлов, архивов и почтовых баз. Все найденные подозрительные файлы сохраняются в zip-архиве 'susp.zip' с паролем 'virus'. Далее с этим архивом уже можно разбираться, что есть настоящий троян, а что - ложное срабатывание эвристики. В любом случае, нам бы хотелось посмотреть на эти собранные файлы. Если батник не утащил в архив ничего секретного и размер архива не очень большой, пожалуйста пришлите его нам на [email][email protected][/email]
[/i]
Перед этим, естественно, стоит обновить вирусные базы до последней версии с помощью 'update.bat'