А на VI выливать не сложно? Да и можно придумать механизм поочередного обхода серверов, 1. ЛК 2. VI 3. z-oleg
А на VI выливать не сложно? Да и можно придумать механизм поочередного обхода серверов, 1. ЛК 2. VI 3. z-oleg
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На мой сайт и на VI обновления попадают автоматичсеки, это делает робот, собирающий апдейт и размещающий его по FTP. У ЛК масса заркал, и там все несколько сложнее. Да и проблема не стоит того - актуальные базы конечно хороши, но для исследования ПК радикальной роли не играют ... а в полиморфоной сборке базы всегда актуальныеСообщение от Биомеханик
можно привязать download.z-oleg.com к айфолдеру - оттуда и пусть закачивают саму новую версию и с рапиды. а обновы только на ВИ выкладывать или на ЛК-ашные сервера - так вообще на z-oleg траффа не будет)))
// ...
Ну не так уж и много. На AVZ базы выходят раз в день. За час можно их раскидать. Ладно понял, но как тогда быть с трафиком от обновлений? Может на бесплатном хостинге их выкладывать?
Олег!
вот эта строчка неправильно отображается в логе AVZ:
Код:O20 - AppInit_DLLs: c:\progra~1\agnitum\outpost firewall pro\wl_hook.dllНельзя ли это поправить?c:\progra~1\agnitum\outpost
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
firewall.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
pro\wl_hook.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
firewall.exe - вот этого вообще нигде нет на машине.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пожелание для новой версии AVZ:
добавить в категорию Автозапуска плагины FireFox.
Похоже, появились такие зловреды, что выгружаются, внедрив свой код.
http://virusinfo.info/showpost.php?p...5&postcount=13
Да, расплодилось браузеров ... займусь на досуге, посмотрю, что и где он там хранит
Да, поправьте. В логах очень часто такое вижу.
И заодно, если возможно, для браузера Opera - Сtrl+F12 - Содержимое - Настроить Javascript - Папка пользовательских файлов JavaScript - она бывает изменена, встречал случай с порноплагином, основной зловред был удален, но оставался feeder.js
Ещё вопрос, проверяются ли ветки реестра
И если нет, может стоит внести проверку на предмет подозрительных записей? И ещё, м.б. на уровне эвристики в логах выдавать уведомления по несоответствиях, в папке windows и подпапках, таких как например %systemroot%\svchost.exe (это уже я где-то в логах видел), %systemroot%\drivers, во временных папках, во всех профилях пользователей, например %userprofile%\Application Data, т.е. отображать не только то, что загружено в момент работы AVZ, но и организовать поиск по именам файлов (или по отпечаткам), заодно можно выводить отдельно список недавно созданных файлов (напр. за 30 дней), не прошедших по базе безопасных и файлов без цифровых подписей (такой вопрос уже когда-то поднимался).Код:HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\
встречал также случаи, когда некорректно отображались файлы из секции службы и автозапуска, цельные строчки (судя по HJT) в логах AVZ делились на несколько строчек, иногда встречалось в драйверах, например .sys, или msiexec без расширения, но это имхо мелкие баги )вот эта строчка неправильно отображается в логе AVZ:
Последний раз редактировалось Pili; 26.12.2008 в 10:50.
to Pili
1. Ключи:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\network\
не проверяются на предмет содержимого в явном виде, но они могут быть восстановлены по эталогу исходя из версии операционной системы одним из скриптво восстановления.
2. Контроль доверенных приложений из SharedAccess будет в новой версии
3. mountpoints2 сейчас не мониторится, но предполагается его чистка и анализ
4. Подозрительные файлы ищутся - есть набор характерных имен + поиск файлов в папках типа Fonts и т.п., где им не место. Это пока сделано как этам эвристической проверки системы
По восстановлению это понятно, просто в ветках реестра
SafeBoot, иногда видны зловреды, которые не отображаются например в секции драйверов, то же самое с mountpoints2 и sharedaccess
примеры
Код:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmctl.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VIDEO] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mmctl.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\VIDEO] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Program Files\Windows Messenger\svchost.exe"="C:\Program Files\Windows Messenger\svchost.exe:*:Disabled:svchost" "C:\Documents and Settings\user\Local Settings\Temp\4\svchost.exe"="C:\Documents and Settings\user\Local Settings\Temp\4\svchost.exe:*:Disabled:svchost" "G:\\activexdebugger32.exe"="G:\\activexdebugger32.exe:*:Enabled:ipsec" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f0eb4a2-e20c-11db-b391-0016d4a3a091}] shell\Auto\command - G:\activexdebugger32.exe f [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8712f221-d7b4-11db-b234-a125bca4d59a}] shell\AutoRun\command - G:\autorun.exe
Последний раз редактировалось Pili; 26.12.2008 в 12:49.
Ребят, думайте и о нас, кто сидит за "серыми" ip-адрессами, в локальных сетях, скачать с рапиды практически невозможно, а таких очень много.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
Мониторит ли AVZ эту ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\SubSystems, ключ Windows ? Старая версия (4.24), вроде бы туда не заглядывала. Спрашиваю потому, что встречал злодея, который прописывал вместо basesrv свою dll. Это был очередной псевдоантивирус, попил мне крови.
И еще, загрузочный сектор проверяется?
Последний раз редактировалось antanta; 27.12.2008 в 14:46.
Мониторит и автоматом восстанавливает после лечения
Установил вот эту программу. Запустил АВЗ. Она ругается на килоггер и на какой-то порт. До установки Макафи Сайтадвайзера такого не было.
http://soft.softodrom.ru/ap/p3472.shtml
Вопрос по этому логу из "Помогите".
1.4 Поиск маскировки процессов и драйверов
Почему этот файл не за карантинился автоматически, и даже не попал в список подозрительных объектов.>> Маскировка драйвера: Base=BAE49000, размер=102400, имя = "\systemroot\system32\drivers\senekahxji.sys"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
Логи в студию - будет конкретный ответ. Иначе - "либо встретите динозавра, либо нет".
Анинстолировал Макафи Сайтадвайзер - и АВЗ перестал ругаться :-)
Здравствуйте!С Новым годом!Утилита подозревает один системный файл в том,что он Trojan-GameThief.Win32.OnLineGames.tear.Касперский,Dr.Web и антивирусы на Virustotal ничего плохого в этом файле не видят.
Есть пожелания к новой версии
Можно строчки вида
в случаи опознания как безопасный не выделять красным цветом.Функция NtDeleteKey (3F) перехвачена (80593334->AA420EC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Ваши права в разделе
