@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.
Это может пригодиться для варианта, когда система не грузиться с жесткого диска.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я продумываю такой вариант. Удаленный реестр можно в принципе сканировать, но я продумываю вариант AVZ под Linux - в таком варианте бут-образ получается небольшой, но с реестром проблемы ... - в такой ситуации можно только найти файлы реестра и парсить их.Сообщение от PavelA
Олег здраствуйте у меня AVZ видет процессы без имени
AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
Helper по этому поводу попросил братиться к вам даю ссылку на топик http://virusinfo.info/showthread.php...d=1#post201293
Добавлено через 2 минуты
Процессов более ста
Последний раз редактировалось DemON.!.; 13.03.2008 в 12:20. Причина: Добавлено
Да, на Windows 2003 Server такой эффект иногда проявляется. Замечено, что нередко он возникает, если установлено ПО от HP. Видимое проявление - плодятся процессы без имени ... причина в том, что в таблицах хендлов остаются "висячие" дескрипторы, не принадлежащие ни к одному из запущенных процессов, и один из алгоритмов поиск считает, что это может быть хендл реального маскирующегося процесса
Большое спасибо за чёткий и грамотный ответ
Сканирование ресстра присоединенного диска с больной системой ОЧЕНЬ и ОЧЕНЬ нужно!!! Иначе приходиться иногда Regedit'om с LiveCD руками править то, что AVZ делает не напрягаясь.
Подскажите пожалуйста.
в папке Application Data пользователя с правами юзера живет ntos.exe
под пользователем с правами админа выполнил 3-й скрипт - промолчал. это нормально?
базы от 11.03.
принтскрин прикрепил, логи могу послать, но там о нем ни слова..
Последний раз редактировалось Karlson; 21.01.2009 в 16:46.
Dis is one half.
Press any key to continue...
Там в системе в других местах нет ничего типа catchme.sys или что-нибудь подобнее?
Paul
не-а..
upd: только что еще раз посмотрел логи - нету вообще ничего, что вызвало бы подозрения...
Последний раз редактировалось Karlson; 16.03.2008 в 13:00.
Dis is one half.
Press any key to continue...
вот скрины. на первом syscheck из-под юзера, на втором syscure из-под админа. syscure делался перед syscheck-ом.
Последний раз редактировалось Karlson; 21.01.2009 в 16:46.
Dis is one half.
Press any key to continue...
Похоже, что из под юзера ntos.exe и winlogon.exe (который в Temp-e) не могут запустить свой драйвер и не могут прописаться в глобальную автозагрузку.
А под админом они не активны, т.к. их никто (и ничто) не запускает.
По видимому, AVZ проверяет только глобальную автозагрузку и автозапуск у текущего пользователя.
The worst foe lies within the self...
Можно прокоментировать вот это
1. svchost.exe помощен в карантин?2. Проверка памяти
Количество найденных процессов: 12
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Файл успешно помещен в карантин (c:\windows\shell.exe)
c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes успешно удален
Количество загруженных модулей: 159
2. c:\windows\shell.exe и есть svchost.exe? Похоже что нет, тогда см 1.
3. Если c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes зачем его в карантин, или см 2?
1. Нет. Это эвристика самого первого порядка - по именам файлов. Я не видел, чтобы такие объекты карантинились. Хотя надо бы.
2. Нет, речь именно о shell.exe
3. Видимо, заказано карантинить удаляемые.
Добавлено через 2 минуты
Именно. Для обследования других пользователей надо подгружать их NTUSER.DAT.
Последний раз редактировалось pig; 18.03.2008 в 01:38. Причина: Добавлено
1. Надобы карантинить.
3. Значит заказано в стандартном скрипте сбора/лечения. Баг?
а можно про вот это поподробнее?
а то все цепляют гадость под юзерами, а лечить приходится под админом..
Dis is one half.
Press any key to continue...
Подключать NTUSER.DAT нужно будет если вы лечите из под liveCD, а если из под администратора, то нужно смотреть вручную всех пользователей в HKEY_USERS.
Последний раз редактировалось zerocorporated; 19.03.2008 в 13:12.
Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ
Думаю, что такой функционал не помешал бы (для удобства просто)...
Paul
Если пользователь не в системе, его личный куст не загружен.
я думаю будет полезно.
Dis is one half.
Press any key to continue...
Ваши права в разделе
