AVZ 4.25

Geser · 05.06.2007, 14:57

Насколько я помню команда обычного карантина, если не указан полный путь, ищет файл используя пути прописанные в переменных окружения. Команда карантина через бут драйвер требует полного пути, потому что переменные окружения для неё не доступны. Следовательно, если полный путь неизвестен попытка карантина через драйвер бессмысленна. А уж сделать что бы команда карантина проверяла на наличие файла в карантине, и не карантинила его повторно должно быть для Олега проже простого.

На самом деле, я думаю команда карантина должна быть всего одна. АВЗ должен автоматически проверять успешность карантина, и если в обычном режиме керантин не удался, автоматически создавать задание карантина для бут драйвера, учитывая все возможные пути, если полный путь не задан. Это было бы идеальным решением. Похожим образом должно работать удаление. Конечно, с той разницей, что при удалении всегда должен задаваться полный путь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 05.06.2007, 15:01

Сообщение от Bratez

@aintrust:
Т.е., Вы предлагаете не использовать Quarantinefile, а карантинить исключительно через BC? Обычно для надежности все применяют схему, показаную MaXim'ом, в итоге часто получая аж три файла - один от первой функции и аж два от BC. Два вопроса:
2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?

Офф: Если между Quarantinefile и BC стоит Deletefile

Меньше надо карантинить то, что уже сделал(а) AVZ при исполнении проверок. Если не чистим карантин, то при написании скрипта часто повторяем посылку в карантин тех же файлов.

**aintrust** · 05.06.2007, 15:25

Сообщение от Geser

На самом деле, я думаю команда карантина должна быть всего одна.
...
Похожим образом должно работать удаление. Конечно, с той разницей, что при удалении всегда должен задаваться полный путь.

+1

**Muffler** · 05.06.2007, 18:18

from Зайцев Олег <[email protected]> hide details Mar 6
reply-to Зайцев Олег <[email protected]>
to [email protected]
date Mar 6, 2007 4:32 PM
subject AVZ: [Ошибка] [Другое] [Низкая]

Здравствуйте, .

>
> Здравствуйте.
> У меня вот после такого скрипта:
>
> ====================================
> begin
> SearchRootkit(true, true);
> SetAVZGuardStatus(True);
> QuarantineFile('C:\WINDOWS\Drivers\Parport.SYS','' );
> BC_ImportQuarantineList;
> BC_LogFile(GetAVZDirectory + 'boot_driver_qr.log');
> BC_Activate;
> RebootWindows(true);
> end.
> ====================================
>
> Файл C:\WINDOWS\Drivers\Parport.SYS скарантинился два раза.
>

Добрый день !
Все правильно - это фича карантина. Карантин BC из KernelMode и карантин AVZ
ведутся в одной папке, но не пересекаются. Сделано это специально - на
случай, если к примеру руткит выдет выдавать AVZ некорректное содержимое
файла. В такой ситуации его можно поместить в карантин дважды - из
UserMode через QuarantineFile и через BC из ядра в ходе перезагрузки.

-----
С уважением,

Зайцев Олег,
mailto:[email protected]
http://z-oleg.com/secur/avz.htm

----

Geser · 05.06.2007, 18:46

В любом случае бут драйвер может сравнить имеющийся в карантине файл с тем который он хочет скопировать, и если файлы индентичные не копировать повторно.

И уж если бояться что руткит может подменить содержимое файла, то копирование в карантин не из бут драйвера вообще вредная опция которую нужно убрать.

Geser · 05.06.2007, 18:57

Обнаружил глюки работы англоязычной версии.
1. Не понятно почему не копируются файлы.
2. Не понятно почему такое странное сообщение об ошибке

**aintrust** · 05.06.2007, 20:08

Сообщение от Geser

В любом случае бут драйвер может сравнить имеющийся в карантине файл с тем который он хочет скопировать, и если файлы индентичные не копировать повторно.

И уж если бояться что руткит может подменить содержимое файла, то копирование в карантин не из бут драйвера вообще вредная опция которую нужно убрать.

И еще раз +1. Похоже, Олегу будет чем заняться в ближайшее время с точки зрения придания скриптам "интеллекта"...

**Макcим** · 05.06.2007, 20:23

Будем ждать AVZ 4.26

**Straga** · 06.06.2007, 22:22

Приношу извинения за оффтоп.

У меня проблема с компом и, судя по инфе, которую повылавливал в нете, АВЗ может помочь (слетает EXPLORER.EXE, "гасит" рабочий стол, но при включении AVZGuard работает). Но прежде, чем задавать глупые вопросы, я хотел прочесть всю ветку, включая линки на другие. К сожалению вижу такое сообщение:

Straga, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?

Например, при переходе по линку hххp://virusinfo.info/showthread.php?p=111743
Подскажите новичку, как и что нужно, чтобы прочесть такие ветки и не отвлекать по мелочам.
Спс.

**Muffler** · 06.06.2007, 22:55

Например, при переходе по линку hххp://virusinfo.info/showthread.php?p=111743
Подскажите новичку, как и что нужно, чтобы прочесть такие ветки и не отвлекать по мелочам.
Спс.

Ту тему вам не увидеть... Да и к AVZ это относится очень мало.

**Straga** · 07.06.2007, 01:03

Сообщение от Muffler

Ту тему вам не увидеть... Да и к AVZ это относится очень мало.

Спасибо за исчерпывающий ответ.

И, всё-таки, жду направляющих объяснений.

**Bratez** · 07.06.2007, 07:02

И, всё-таки, жду направляющих объяснений.

С вашего позволения, направляю вас в раздел "Помогите".
Перед созданием темы просьба внимательно прочитать
и выполнить Правила.

**reseacher** · 07.06.2007, 16:56

И все таки, почему не работает драйвер или Технология AVZGuard, включаю её, включаю AVZPM, перегружаю компьютер и получаю "не найдено устройство, при просмотре свойств можно увидеть "Root\LEGACY_AVZ".

Вот кусок лога из ProcessMonitor
"avz.exe","RegOpenKey","HKLM\SYSTEM\CurrentControl Set\Services\AVZRK","SUCCESS","Desired Access: All Access"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0 02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0 02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0 02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0 02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0 02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0 02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"

"avz.exe","RegCloseKey","HKLM\SOFTWARE\Microsoft\W indows\CurrentVersion","SUCCESS"
"avz.exe","3164","CreateFile","C:\XP\system32\driv ers","SUCCESS","Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Open For Backup, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a"
"avz.exe","QueryDirectory","C:\XP\system32\drivers \uzewmtgx.sys","SUCCESS","Filter: uzewmtgx.sys, 1: uzewmtgx.sys"
"avz.exe","CloseFile","C:\XP\system32\drivers","SU CCESS",""
"avz.exe","CreateFile","C:\XP\system32\drivers","S UCCESS","Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Open For Backup, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a"
"avz.exe","QueryDirectory","C:\XP\system32\drivers \uzewmtgx.sys","SUCCESS","Filter: uzewmtgx.sys, 1: uzewmtgx.sys"
"24060","12:52:31,0274622","avz.exe","3164","Close File","C:\XP\system32\drivers","SUCCESS",""

Могу вложить полные логи из ProcessMonitor для анализа, и скриншоты из менеджера драйвера, если надо (вот только нужно ли сюда?).

Или объясните отупевшому сисадмину ;-), что и как он не так делает?

**Зайцев Олег** · 08.06.2007, 08:49

Сообщение от reseacher

И все таки, почему не работает драйвер или Технология AVZGuard, включаю её, включаю AVZPM, перегружаю компьютер и получаю "не найдено устройство, при просмотре свойств можно увидеть
....
Или объясните отупевшому сисадмину ;-), что и как он не так делает?

А зачем включается AVZGuard, если не секрет ? Это средство для противодейтсвия зловредам на время из лечения/уничтожения, включается только на время лечения как крайняя мера. Подробности в хелпе ...

**reseacher** · 08.06.2007, 10:05

Сообщение от Зайцев Олег

А зачем включается AVZGuard, если не секрет ? Это средство для противодейтсвия зловредам на время из лечения/уничтожения, включается только на время лечения как крайняя мера. Подробности в хелпе ...

Вот и была как раз необходимость включить эту крайнюю меру для чистой загрузки, чтобы удалить трояна

(...\All Users\Documents\Settings\partnership.dll, ...\system32\rp64.dll) и проверить откуда они беруться. Выдавал ошибку svchoct, а при нажатии ОК или отмена - перезагрузка.

**aintrust** · 08.06.2007, 10:47

Сообщение от reseacher

Вот и была как раз необходимость включить эту крайнюю меру для чистой загрузки, чтобы удалить трояна

(...\All Users\Documents\Settings\partnership.dll, ...\system32\rp64.dll) и проверить откуда они беруться. Выдавал ошибку svchoct, а при нажатии ОК или отмена - перезагрузка.

Предлагаю для начала сделать следующее:
1) скачать с сайта http://z-oleg.com последнюю версию AVZ (4.25, кажется), после чего полностью развернуть ее в какой-нибудь каталог;
2) запустить regedit, зайти в раздел HKLM\SYSTEM\CurrentControlSet\Services и удалить там все ветки, имена которых начинаются на AVZ (их там будет от одной до трех, по числу драйверов) - таким спосбом вы избавитесь от cтарого "наследия" AVZ;
3) потом запустить AVZ (от лица администратора) и проверить его работу во всех режимах, при которых инсталлируются и запускаются драйверы.

**pig** · 08.06.2007, 11:30

Сообщение от reseacher

Вот и была как раз необходимость включить эту крайнюю меру для чистой загрузки, чтобы удалить трояна

AVZGuard работает только до перезагрузки. Это не есть постоянный резидентный монитор.

**Mad Scientist** · 09.06.2007, 03:13

>> Маскировка драйвера: Base=AADE8000, размер=118784, имя = "\SystemRoot\system32\DRIVERS\atinrvxx.sys"

это от атишной радеоновой 9600 видюхи
( ATI WDM Rage Theater MiniDriver RT2 v6.14.10.6238 )
каждый раз при сканировании,
RKUnhooker - ничего, virustotal - ничего

**aintrust** · 09.06.2007, 11:57

Сообщение от Mad Scientist

>> Маскировка драйвера: Base=AADE8000, размер=118784, имя = "\SystemRoot\system32\DRIVERS\atinrvxx.sys"

Вероятнее всего это ошибка (периодически проявляющаяся) AVZ. На всякий случай запостите полные логи в разделе "Помогите!".

**Muffler** · 15.06.2007, 08:40

Просьба пофиксить:

Quarantine file error (direct disk reading) "%S"
File "C:\Program Files\Yahoo!\Common\Ymmapi.dll" quarantined succesfully
Quarantine file error "System", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "System", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "System", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "System", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "System", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "mscoree.dll", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "mscoree.dll", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "mscoree.dll", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
File "C:\Program Files\Yahoo!\Common\Yinsthelper.dll" quarantined succesfully
File "C:\WINDOWS\system32\TPwrSave.cpl" quarantined succesfully

AVZ 4.25

Опции темы

Ваши права в разделе