AVZ 4.25

**Зайцев Олег** · 06.05.2007, 17:58

Сообщение от Geser

На самом деле у меня более интересное предложение. Предлогаю те самые национальные символы выделять цветом. Иначе сложно будет что-то сказать о файлах путь к которым типа C:\Винда\system32\... АВЗ будет ругаться на все, в таком случае.

такая идея рассматривалась - но я забыл ее реализовать. Сейчас внесу в склерозную книжку, чтобы не забыть в версии 4.26

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Xen** · 06.05.2007, 23:40

Есть конкретное предложение блокировать работу подпрограммы исправления списка LSP при запуске в терминальной сессии =) А то вот недавно товарищу все настройки испоганило, и подозреваю, не ему одному...

**Ego1st** · 07.05.2007, 02:03

я тут тоже мучался в LSP. пока ветку реестра с другого компа не перенёс ничего неработало..
AVZ не помогал..

**АлександрУ** · 07.05.2007, 04:51

LSP при запуске в терминальной сессии

Один раз уже так сделал на сервере W2003.....В конце концов полностью переустанавливал, 20 пользователей отдыхали....

**Mad Scientist** · 07.05.2007, 05:44

Как я понял, AVZ не создает папки Infected и "Карантин", если работает с носителя ReadOnly. Может сделать в настройках возможность выбора месторасполажения этих папок (по-моему этот вопрос уже поднимался).

**Зайцев Олег** · 07.05.2007, 08:42

Сообщение от Xen

Есть конкретное предложение блокировать работу подпрограммы исправления списка LSP при запуске в терминальной сессии =) А то вот недавно товарищу все настройки испоганило, и подозреваю, не ему одному...

Да, видимо придется ... никто доку не читает и не задумывается, к чему такие фокусы приведут на серваке. Я воткну жесткую блокировку, но это не спасет от запуска скриптво 14 и 15 из восстановления (15-й вызывает штатную виндовую восстанавливалку, и в терминальной сесии она судя по всему тоже не совсем корректно работает)

**Зайцев Олег** · 07.05.2007, 08:43

Сообщение от Mad Scientist

Как я понял, AVZ не создает папки Infected и "Карантин", если работает с носителя ReadOnly. Может сделать в настройках возможность выбора месторасполажения этих папок (по-моему этот вопрос уже поднимался).

Такая фича уже есть - см. ключи командной строки, там есть ключи для переноса этих папок.

**Xen** · 07.05.2007, 08:44

в терминальной сесии она судя по всему тоже не совсем корректно работает

вот почему-то о том же самом подумал...

**drongo** · 07.05.2007, 11:08

Также, можно сделать дополнительный скрипт специально для серверов

**Зайцев Олег** · 07.05.2007, 11:57

Сообщение от drongo

Также, можно сделать дополнительный скрипт специально для серверов

Можно ... и его запустят на обычном XP

Я вот уже думаю в скрипты ставить блокировку по версиям - например волобще блокировать скрипты 14/15 на сервере

**drongo** · 07.05.2007, 17:03

Сообщение от Зайцев Олег

Можно ... и его запустят на обычном XP

Я вот уже думаю в скрипты ставить блокировку по версиям - например волобще блокировать скрипты 14/15 на сервере

"Правильной дорогой идёте , товарищь

"
А также блокировать будущий скрипт для серверов всем, кроме серверов

ну и сообщение типа :" Скрипт для вашей версии виндоус не подлежит исполнению, выберите другой !"

**drongo** · 07.05.2007, 17:25

У меня тут ещё наверное совсем бредовая идея возникла при " правилотворении "
(Просто пока по правилам у нас надо оставлять инет подключённым с выключенными средствами защиты .Без защиты оставлять пользователей на время производства логов считаю не гуманным

)
Что-то типа эмулятора активности сети, при отключённой сети .
с логами

Всё что будет лезть в инет, можно будет легко увидеть по какому порту, куда , зачем и почему с приятной и понятной расцветкой.

**anton_dr** · 07.05.2007, 18:06

Через пару лет, таки темпами, в итоге, весь интерфейс АВЗ будет состоять из одной кнопчки, типа гугловской "мне повезет" - "Чтоб все было зашибись"

Nord_cat · 07.05.2007, 20:45

После возникновения проблем с LSP на сервере погуглил и мне помогло:
кроме netsh int ip reset выполнить
netsh winsock reset catalog, а также программка LSP-fix

**NickGolovko** · 08.05.2007, 06:14

Небольшой фичреквест: можно в лог вставить строку "Восстановление системы отключено / включено"?

**Edgor** · 08.05.2007, 09:38

Можно ли в новой версии добавить возможность обновления из локальной/сетевой папки?!

**Kuzz** · 08.05.2007, 09:58

Сообщение от drongo

А также блокировать будущий скрипт для серверов всем, кроме серверов

А еще лучше, эти скрипты переписать в виде:
case WinVer of
XP: ...
Server: ...
чтобы в зависимости от версии виндовса исполнялась нужная ветка скрипта.

**kozakoff** · 13.05.2007, 11:35

Объясните этот метод перехвата антивируса?

Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
1. Searching for rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section: .text
Function kernel32.dll

oadLibraryA (57

intercepted, method APICodeHijack.JmpTo[10003086]
Analysis: ntdll.dll, export table found in section: .text
Analysis: user32.dll, export table found in section: .text
Analysis: advapi32.dll, export table found in section: .text
Analysis: ws2_32.dll, export table found in section: .text
Function ws2_32.dll:accept (1) intercepted, method APICodeHijack.JmpTo[10002F26]
Function ws2_32.dll:bind (2) intercepted, method APICodeHijack.JmpTo[10003016]
Function ws2_32.dll:closesocket (3) intercepted, method APICodeHijack.JmpTo[10003056]
Function ws2_32.dll:connect (4) intercepted, method APICodeHijack.JmpTo[10002D96]
Function ws2_32.dll:gethostbyname (52) intercepted, method APICodeHijack.JmpTo[10002D66]
Function ws2_32.dll:listen (13) intercepted, method APICodeHijack.JmpTo[10002A56]
Function ws2_32.dll:recvfrom (17) intercepted, method APICodeHijack.JmpTo[10002C96]
Function ws2_32.dll:send (19) intercepted, method APICodeHijack.JmpTo[10002A96]
Function ws2_32.dll:sendto (20) intercepted, method APICodeHijack.JmpTo[10002D06]
Analysis: wininet.dll, export table found in section: .text
Analysis: rasapi32.dll, export table found in section: .text
Function rasapi32.dll:RasDialA (21) intercepted, method APICodeHijack.JmpTo[10003B26]
Function rasapi32.dll:RasDialW (22) intercepted, method APICodeHijack.JmpTo[10003CB6]
Analysis: urlmon.dll, export table found in section: .text
Analysis: netapi32.dll, export table found in section: .text

в логе программы (intercepted, method APICodeHijack.JmpTo) отмечен красным.

p.s. в теле сообшения появились смайлы. это что зараза?

**drongo** · 13.05.2007, 11:54

@ kozakoff,
Поставьте расширенный мониторинг в авз и сделайте логи по правилам в разделе помогите . Тогда можно точнее сказать.

**Rene-gad** · 13.05.2007, 18:04

Сообщение от kozakoff

p.s. в теле сообшения появились смайлы. это что зараза?

Нэту больше

Код:

Function kernel32.dll :LoadLibraryA (578 ) intercepted, method

. Комбинации

Код:

:+L

и

Код:

8+)

совпадают со смайликами. Пользуйтесь вылючателем Отключить смайлы в тексте

AVZ 4.25

Опции темы

перехват

Ваши права в разделе