Прямое чтение - это чтение в обход файловой системы. Непосредственно с диска на физическом уровне. Применяется тогда, когда система не пускает читать файл обычным образом.
Прямое чтение - это чтение в обход файловой системы. Непосредственно с диска на физическом уровне. Применяется тогда, когда система не пускает читать файл обычным образом.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Прямое чтение означает, что обычным способом считать данные не удалось (использовались чем-то) и AVZ применяет "Прямое чтение".Сообщение от drol
Основано оно на том, что AVZ получает список кластеров где расположена информация и пытается считать информацию с этих кластеров.
Упс... ответечали уже.
Просто не работает. Применял в нескольких темах для зачистки мусора. Связка SysCleanAddFile + ExecuteSysClean справилась.
Еще раз посмотрел архив. Лежит там родненький, вместе с avz.cnt.
Выходит незаметно для себя avz.hlp затер.
Спасибо за помощь
Нельзя ли, чтобы AVZ как-то выводил следующие строки в логах?
http://virusinfo.info/showthread.php?t=16621
А то пользователь сразу сказал, что серверы не его... начали искать - Trojan.DNSChanger - как и ожидалосьКод:O17 - HKLM\System\CCS\Services\Tcpip\..\{150DB5AC-1F8A-4229-8630-0D0F9EB5F992}: NameServer = 85.255.115.101,85.255.112.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{2D640CCF-615A-4753-ADBB-634355DEEC8D}: NameServer = 85.255.115.101,85.255.112.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{5DE5C1B6-A6CC-49A7-83AE-CA0AB863D00E}: NameServer = 85.255.115.101,85.255.112.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD25A1B6-029A-4888-8BB7-686C2896D834}: NameServer = 85.255.115.101,85.255.112.68 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
Вызываю "Исследование системы". Запускаю. По окончании спрашивает "Показать протокол". Отвечаю YES и.... ничего не показывается. Сам протокол на диске есть, ассоциация на HTM живая и назначена на IE.
Баг?!
У меня так же
Угу. Если браузер по умолчанию - не IE, то не открывает. Приходися через контекстное меню, либо Файл-Открыть...
I am not young enough to know everything...
У меня вопрос возник, может подскажет кто.
Работают ли такие комбинации:
Т.е. все удаляемые файлы будут импортировать в BC? И удаляться при загрузке, если по хорошему не вышло?Код:DeleteFileMask('папка', 'файлмаска', false); BC_ImportDeletedList
И второй:
Будет ли проводиться чистка удаляемых файлов?Код:DeleteFileMask('папка', 'файлмаска', false); ExecuteSysClean
Да, в теории должно работать. DeleteFileMask по сути цикл поиска файлов по заданным условим + вызов DeleteFile для всех найденных
Добавлено через 2 минуты
Нельзя - многие пользователи считают такие настройки конфиденциальными (в корпоративной среде как может и быть), и "засветка" в логах адресов DNS, прокси, прочих настроек начиная с IP адреса и т.п. часто воспринимается весьма отрицательно.
Последний раз редактировалось Зайцев Олег; 21.01.2008 в 11:10. Причина: Добавлено
Ну так выводить хоть первые два числа адреса, а вместо остальных звездочки
Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?
Это Win2k? Там вроде есть особенность - запуск идёт и из подпапок ключа Run.
Добавлено через 6 минут
Тьфу, посмотрел. В тваоих данных не видно, откуда она запускается. То есть это OLE-сервер. А какая програма его запускает - непонятно. Поищи по рестру 5C68BFD9-83A2-4DB9-983E-A2BC5E876E56 и 76826D50-F6EB-43A0-BC6D-4F43479CA75B
Если найдёшь - повезло.
Но похоже, что это часть InstallShield и запускает его какой-то стартер от InstallShield. Гм, не проще ли в самом InstallShield в меню порыться и отключить автоматическое обновление?
Последний раз редактировалось Jef239; 23.01.2008 в 13:50. Причина: Добавлено
В некоторых случаях некорректно отображаются BHO.
Например тут: http://virusinfo.info/showpost.php?p=177332&postcount=8
В логе HijackThis:
а в логе AVZ - пустышка, т.е. выведен только CLSID, а файла и описания нет. Если файл в базе безопасных, то этой строки в логе совсем не должно быть.Код:O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
I am not young enough to know everything...
чем отличаются параметры командной строки NW и NQ?
В описаниях параметров есть только описание параметра NQ. А в примерах (например "Заготовка скрипта для сканирования сети") есть параметр NW:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\netscan.avz
и в описании примера дается описание параметра NW, идентичное параметру NQ.
Зачем тогда два этих параметрв в командой строке?
Сегодня делал автокарантин.
Получил следующие ошибки:
Код:Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}) Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
При выполнении такого скрипта:
Наблюдается наползания кнопки "Пуск" на кнопку "Прервать работу скрипта"Код:begin RunScan; ExecuteStdScr(3); end.
Последний раз редактировалось zerocorporated; 29.09.2008 в 11:33.
При карантине файлов, опознанных AVZ как безопасные, они естественно в карантин не попадают, но ini-файл так же создается. Нельзя в такой файлик вносить пометку - "safe" или нечто подобное? Чтобы не гадать, просто не закарантинилось или AVZ опознал...
Заранее извиняюсь, если пишу не туда, куда надо, если что - ткните носом, куда можно подобные вопросы задавать.
Вопрос первый. Имеется система (W2K Pro), в которой точно что-то сидит, потому как при выходе в интернет (dial-up'ном) процесс System открывает кучу соединений. Ни один из инструментов AVZ ничего подозрительного не показывает. Загрузка процессора скачет от 0 до 100 процентов и обратно, процессорное время занимает все тот же System. Можно ли как-то узнать, кто виноват? Что может дать в этом случае расчет MD5, проверяются ли эти контрольные суммы по базе безопасных файлов? Есть ли способ проверить цифровую подпись системного файла Windows? Или это не имеет смысла, за изменением системных файлов следит SFC?
Вопрос второй. Есть ли в AVZ возможность выполнить сканирование диска на предмет наличия файлов с альтернативными data streams?
Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?
Лог-файлы в данную минуту прицепить не могу, до интересующей меня системы не добраться. Но если без них никак - обязательно сделаю. Если где-то здесь есть раздел, где отвечают на вопросы по AVZ - отправьте туда (сходу не нашел).
Заранее спасибо.
Если Firewall отсутствует, то при соединении с Инет может происходить что угодно, например ПК может атаковываться из сети эксплоитами.
MD5 даются для справки, чтобы идентифицировать файл. AVZ плюс к этому проверяет файлы по базе ЭЦП MS и собственной базе чистых. Вручную эта проверка запускается из меню для указанного файла.
AVZ проверяет ADS, если включена максимальная эвристичка и расширенная проверка, то найдя ADS содержащий исполняемый файл он выдает сообщение в логе.
AVZPM может регистрировать драйвера от CD эмуляторов и тп, нужно разбираться конкретно
Ваши права в разделе
