И заодно - грамматическую ошибку (succesfully -> successfully).Сообщение от Muffler
И заодно - грамматическую ошибку (succesfully -> successfully).
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксим.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Я погонял Процесс Хантер, и среди юзермодных методов обнаружения скрытых процессов нашлось 2, выдающих те-же "скрытые процессы".
Это "Search threads handles" и "Search processes handles".
Они (методы) базируются на переборе всех хендлов?
А вообще ситуация напоминает http://virusinfo.info/showthread.php?t=10364
The worst foe lies within the self...
Они базируются на методиках, описанных в статье Обнаружение скрытых процессов.
Да, это именно она...
Скажите, плз, как читать данную тему через RSS - у меня постоянно слетает подписка?
Прочитал вот это http://virusinfo.info/faq.php?s=&do=...l&titlesonly=0 , но то, что там описано, у меня не работает...
Здравствуйте Олег, AVZ до сих пор не умеет лечить Win32.neshta.a
Сегодня попробую прислать его Вам на соответствующий раздел сайта.
Иногда получаю такое сообщение:
Такое бывает, если ранее велась интенсивная работа с приводом DVD (писал, читал диски, открывал с диска документы, архивы). Это нормально?
Опыт — это слово, которым люди называют свои ошибки.
Это глюк. Причина - поиск файла Autorun.Inf на дисках. В 4.26 есть фича, позволяющая отличать HDD от CD/DVD, в 4.25 ее нет.Иногда получаю такое сообщение:
Такое бывает, если ранее велась интенсивная работа с приводом DVD (писал, читал диски, открывал с диска документы, архивы). Это нормально?
Олег, версия 4.26 уже выпущена?
Опыт — это слово, которым люди называют свои ошибки.
Еще нет - в стадии пререлиза, скоро выйдет.
Олег, глюки с переводом на английский будут пофикшены ? Может какой-нибудь пререлиз английский всё-таки на тему корректности перевода есть смысл потестить ?
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
2. Передает данные процессу: 848 C:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
3. Выясняет, какое окно находится в фокусе ввода
4. Опрашивает состояние клавиш
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.67% похож на типовой перехватчик событий клавиатуры/мыши
Постараюсь в пятницу такой пре-релиз сделать
Типовой эвристический анализ поведения DLL-кейлоггера - а что собственно не так ?
PS: Кстати, PuntoSwitcher я хотел убрать из базы безопасных из-за того, что в нем есть отключаемая фича кейлоггера.
AVZ отличная программа. От все других подобных!
Но думаю в логе выделять _красным_ такое не стоит:
--------------------------------
Функция NtCreateFile (25) перехвачена (80557C20->F4E54460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateKey (29) перехвачена (8055E60F->F4E5CBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcess (2F) перехвачена (805A7DCD->F4D94A20), перехватчик D:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (80574107->F4D94B90), перехватчик D:\WINDOWS\System32\drivers\klif.sys
----------------------------------
И кстати, если во время работы AVZ переключится в текстовый редактор, то в нём появляется "...testtest........" или что-то подобное.
А Punto 2.9 после работы AVZ 4.25 у меня перестает переключать расскладку автоматически в WinXP
Перехваты выделены и подсвечены правильно ... это же перехват, AVZ его и констатирует (но не делает выводов о вредоносности или полезности - это должен делать человек). По поводу появления слова "test" см. в FAQ (http://www.z-oleg.com/secur/avz_doc/faq_12.htm), проблемы в работе Punto 2.9 для меня малообъяснимы, видимо какой-то глюк в этой программе ...AVZ отличная программа. От все других подобных!
Но думаю в логе выделять _красным_ такое не стоит:
--------------------------------
Функция NtCreateFile (25) перехвачена (80557C20->F4E54460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateKey (29) перехвачена (8055E60F->F4E5CBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcess (2F) перехвачена (805A7DCD->F4D94A20), перехватчик D:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (80574107->F4D94B90), перехватчик D:\WINDOWS\System32\drivers\klif.sys
----------------------------------
И кстати, если во время работы AVZ переключится в текстовый редактор, то в нём появляется "...testtest........" или что-то подобное.
А Punto 2.9 после работы AVZ 4.25 у меня перестает переключать расскладку автоматически в WinXP
Punto и без AVZ время от времени подглюкивает. Как любой сторонний клавиатурный перехавтчик-обработчик.
В качестве предложения: мне кажется, что во время обсуждения всей этой цветовой раскраски мы говорили о том, что перехваты, сделанные "безопасными" объектами, не стоит выделять красным в финальном логе. Как и в случае с процессами/модулями, есть смысл выделять их в соответствии с их принадлежностью к классу "безопасности" (в данном случае - видимо черным и/или зеленым).
А откуда ты знаешь, что под этим перехватом нет вредоносного? Там же всё цепочкой идёт...
http://www.softsphere.com - DefenseWall, DefencePlus
В "стандартные скрипты", если ничего не отмечать и нажать "выполнить отмеченные скрипты", вылезает ошибка - "Не отмечено ни одной операции восстановления"
Ваши права в разделе
