-
По порядку:
1. В логе не хватает команды "Карантин через BC"
2. В логе команды располагаются не логично, т.е. пример служба iPod Service. При нажатии Стоп, Удалить, Отключить генерируется следущий скрипт
Код:
begin
DeleteService('iPod Service');
SetServiceStart('iPod Service', 4);
StopService('iPod Service');
end.
Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный.
3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Олег хотелось бы услышать ответ на вот этот вопрос..
http://virusinfo.info/showpost.php?p...&postcount=276
это у меня кривые руки или в базах непорядок был..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Maxim
По порядку:
1. В логе не хватает команды "Карантин через BC"
2. В логе команды располагаются не логично, т.е. пример служба iPod Service. При нажатии Стоп, Удалить, Отключить генерируется следущий скрипт
Код:
begin
DeleteService('iPod Service');
SetServiceStart('iPod Service', 4);
StopService('iPod Service');
end.
Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный.
3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.
Я думаю эти команды не должны использоваться вместе. Просто при команде удаления АВЗ должен останавливать сервис, а потом удалять.
-
-
Сообщение от
Geser
Я думаю эти команды не должны использоваться вместе. Просто при команде удаления АВЗ должен останавливать сервис, а потом удалять.
Практика показывает, что при использовании вначале остановки\выгрузки службы\драйвера лучше удаляется. Я не могу доказать свою правоту, но на практике я часто это наблюдаю. Тоже касается удаление через BC, Олег говорит, что нет разницы между скриптами, но последний работает эффективнее
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Код:
begin
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.
-
-
В логах добавить кнопочку удаления для DPF , аналогично той что добавили для BHO 
Код:
O16 - DPF: {11111111-1111-1111-1111-222222222222} -
Также добавить, если сам файл отсутствует в компьютере -> (file missing) Это организовано в hijack this, очень удобно.
Последний раз редактировалось drongo; 13.12.2007 в 16:28.
-
-
какая-то ерунда с ревизором.
Например:
$AVZ0288
$AVZ0072 13.12.2007 8:57:59
$AVZ0249
$AVZ0121
c:\windows\123.exe = $AVZ1124
$AVZ1046
-
Сообщение от
Maxim
...Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный...
Я бы сказал больше: вместо этих трех команд хотелось бы видеть две другие, а именно BC_QrSvc и BC_DeleteSvc, т.к. в основном именно они применяются хелперами.
I am not young enough to know everything...
-
-
Обновление - версия 4.29.0.9
Вышла обновленная версия 4.29.0.9, путь загрузки прежний. Изменения:
* Исправлен баг с выводом в лог сообщений ревизора
* Исправлена ошибка в работе визардов - исправление проблемы не отрабатывало как положено
* В HTML лог добавлен интерактив для генерации строк скрипта, удаляющих DPF
-
-
Последний раз редактировалось Geser; 13.12.2007 в 16:45.
-
-
Сообщение от
Bratez
Я бы сказал больше: вместо этих трех команд хотелось бы видеть две другие, а именно BC_QrSvc и BC_DeleteSvc, т.к. в основном именно они применяются хелперами.
Верно, очень не хватает.
-
-
Сообщение от
Geser
Я поместил линк на рапиду на странице загрузки, но приходится его постоянно обновлять - перезагрузки файла там не предумострено, а URL на каждую загрузку меняется
Добавлено через 2 минуты
Сообщение от
drongo
Верно, очень не хватает.
Не хватает - приделаю. Тем более что релиз однозначно обновится, когда NickGolovko выверит перевод.
Последний раз редактировалось Geser; 13.12.2007 в 16:47.
Причина: Добавлено
-
-
Сообщение от
Зайцев Олег
Я поместил линк на рапиду на странице загрузки, но приходится его постоянно обновлять - перезагрузки файла там не предумострено, а URL на каждую загрузку меняется
Так даже лучше. Нет проблем с кешированием. Кстати, у меня с .ру не всегда качается. Так что лучше делать две копии. Одну на ру вторую на ком
-
-
Говоря о переводе...До сих пор написано File-> "Cleat the log" - Что это за "Cleat" остаётся загадкой...Должно быть Clear
Страница с объяснениями на русском про скрипты- умерла смертью храбрых, нужно вернуть и также на английский перевести .
версия английского генератора скриптов была бы полезна
-
-
Сообщение от
Зайцев Олег
Вышла обновленная версия 4.29.0.9, путь загрузки прежний. Изменения:
Баг с Invalid Variant Type - в полный рост. Мне из-за этого для раздела "помогите" лог не собрать.
Потому как сам не понимаю, как вирус проникает. То есть картинка такая. CMD.EXE запускает FTP.EXE, тот хочет скачать зверя по иени NOTEPAD.EXE. FTP.EXE файрволл притормозил. Но кто запустил CMD.EXE - не понимаю.
Пока пара FTP.EXE болтается в приторможённом состоянии.
-
Так будет "Карантин через BC" и правильное расположение команд в поле для генерации скрипта?
-
-
Сообщение от
Jef239
Баг с Invalid Variant Type - в полный рост. Мне из-за этого для раздела "помогите" лог не собрать.
Потому как сам не понимаю, как вирус проникает. То есть картинка такая. CMD.EXE запускает FTP.EXE, тот хочет скачать зверя по иени NOTEPAD.EXE. FTP.EXE файрволл притормозил. Но кто запустил CMD.EXE - не понимаю.
Пока пара FTP.EXE болтается в приторможённом состоянии.
А кто Firewall в данном случае - не Outpost посленей версии грешным делом ?
Добавлено через 1 минуту
Сообщение от
Maxim
Так будет "Карантин через BC" и правильное расположение команд в поле для генерации скрипта?
Команды я переставлю, про карантин BC подумаю - вероятность его включения невелика. Дело в том, что обычный карантин не карантинит чистые файлы, BC карантинит все, что ему покажут.
Последний раз редактировалось Зайцев Олег; 13.12.2007 в 18:09.
Причина: Добавлено
-
-
Сообщение от
Зайцев Олег
Команды я переставлю, про карантин BC подумаю - вероятность его включения невелика. Дело в том, что обычный карантин не карантинит чистые файлы, BC карантинит все, что ему покажут.
Карантин чистых файлов - это не опасно, удаление куда страшнее.
-
-
Сообщение от
Зайцев Олег
А кто Firewall в данном случае - не Outpost посленей версии грешным делом ?
Outpost. Только не последней (шестой), а четвёртой. А что, есть трояны, которые именно через него работают?
-
Сообщение от
Jef239
Outpost. Только не последней (шестой), а четвёртой. А что, есть трояны, которые именно через него работают?
Ну, трояны и outpost я немментировать не буду (так как не этично), но дам подсказку - запуск TFT/TFTP скорее всего следствие эксплоита, следовательно или outpost по непонятной причине пропускает пакеты с эксплоитом на компьютер (нарушена его работа, правила корявые и т.п.), или он вообще толком не работает (правила, повреждение трояном).
-
-
теперь ревизор совсем накрылся - не проверяет файлы по таблицам
