ВирЛаб извещен...
ВирЛаб извещен...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В результате неумелого составления скрипта, были неверно удалены ключи реестра, как можно их восстановить, почему небыл создан бэкап?
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
Бекап создается только в случае, если AVZ что-то делает сам, по собственному разумению. А если в скрипте предписано "прибить файл и почистить реестр", то бекапа нетСообщение от Rampant
Лог как раз остался - в конце там написано что удалилось
с характерным "[микропрограмма лечения]> Удален элемент автозапуска"
Если система не загружается нормально - то исправлять придется с Live-CD или через удаленный реестр (что может и не получиться)
The worst foe lies within the self...
Это что за издевательство над системой? Просто взяли и весь автозапуск грохнули.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Просто есть пользователи, а есть ламеры, верхушек нахватались, и пытаются казаться профи. Юзер сделал иследование системы, увидел в автозапуске такой параметр - .exe, решил что надо удалить, результат вы видите в логе.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
Просматривая лог от АВЗ вдруг подумал о том, что лог собирается из информации в системе, поэтому вполне можно в него подсунуть что-либо вредоносное. Пошел самым простым способом - мудрить с хостс. Но при записе лога стоит фильтр, заменяющий знаки < так, что бы они отображались в логе, а не были частью кода html. Тогда я решил попробовать сделать тоже самое с описаниями файлов (с авторским правом - отображается в списке процессов, например). К сожалению, можно в эту графу записать все что угодно - одновременно и название фирмы и html код - естественно, фирма будет видна, а то, что есть еще и вредоносный код хелпер и не узнает, если не будет смотреть исходный код лога.
Предлагаю сделать такую же фильтрацию по всему логу - просто это потенциальная уязвимость, которой подвержены скорее хелперы, чем кто-то другой - ведь наверняка они смотрят лог с включенными скриптами и все скрипты (а ифрейм тем более) будут действенны...
Что бы было лучше понятно о чем я говорю, приведу пример:
http://slil.ru/27368975
Сам файл ничего не делает - висит в процессах и в цикле спит 10 секунд, а потом складывает цифры. Завершить его нужно потом через диспетчер задач. В авторском праве у него следующая запись сделана:
Поэтому после запуска этого приложения нужно сделать стандартный лог 2 (это быстрее чем 3 и не снимает хуки) и посмотреть на описание в списке процессов в логе - глянуть и исходный код - будет видно, что ифрейм успешно работает.Код:© Компания Х <iframe src="http://ya.ru" frameBorder="no" height="0" width="0"></iframe>
Возможно, это и не сильно опасно, но такое имеет место.
// ...
Это что-то новое появилось и совсем недавно?9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>>> Нарушение ассоциации REG файлов - исправлено
>> Обнаружен отладчик системного процесса
>>> Обнаружен отладчик системного процесса - исправлено
>> Таймаут завершения служб находится за пределами допустимых значений
>>> Таймаут завершения служб находится за пределами допустимых значений - исправлено
Сердце решает кого любить... Судьба решает с кем быть...
Нет, оно там уже давно - только оно же интеллектуальное, пока нет проблем, нет и записей в логе, и нет действий над ними соответственно. Причем я не помню точно, AVZ кажется просто ищет проблемы, AVPTool еще и фиксит на автомате наиболее критические.
На Win 2003 Server x64 пытался поставить AVZPM. Естественно, не работает.
Но в систему он прописался и в логах Системы теперь появляется ошибка от Application Popup с описанием:
Как грамотно удалить?Загрузка драйвера \??\C:\WINDOWS\SysWow64\Drivers\uzixntg0.sys заблокирована из-за несовместимости с системой. Обратитесь к разработчику этого программного обеспечения для получения совместимой версии этого драйвера.
Надеюсь - это учебный сервер ?
Удалить просто - AVZ, файл\стандартные сркипты - скрипт номер 6
СпасибоНеа, сервер не учебный, а самый настоящий, рабочий
Добавлено через 7 минут
Скрипт отработал. Сервер благополучно перезагружен. Логи чисты. Еще раз спасибо
Последний раз редактировалось MrSine; 05.04.2009 в 20:18. Причина: Добавлено
Олег!
Вопросик есть: DeleteService('aaa',true) удаляет службу и файл. А в задание для ExecuteSysClean эта И-ция попадает?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уже попадает
Добрый день, Олег!
Прошу помощи.
Не могу удалить драйвер расширенного мониторинга процессов (AVZPM) пишет удалено, перегрузитесь, после перезагрузке он на месте.
Версия 4.30 от 6.04.2008
Файл/Стандартые скрипты, скрипт номер 6 - должно помочь.
Не помогло, пишет, что удалил, но после перезагрузки все на местах, по крайней мере в меню AVZPMНадеюсь - это учебный сервер ?
Удалить просто - AVZ, файл\стандартные сркипты - скрипт номер 6
дд.мм.гггг (к примеру, 10.04.2009 или 10.4.2009)
Господа! Так и не понял, в какую ветку с этим обращаться. Поэтому прошёл сюда со страницы Download/Скачать:
- по ссылке со страницы "Download / Скачать" качается
Bepcия фaйлa: 4.28.0.66
Beрcия прoдуктa: 4.28, хотя вверху страницы указано: Антивирусная утилита AVZ - 4.30. Или 4.30 и есть 4.28.0.66??? Тоже самое качается и по ссылке с первого поста этой ветки.
- всполошился я от того, что при сегодняшнем обновлении баз для имеющейся 4.28.0.66 в самом конце процесса выдаётся: Oшибкa в xoдe aвтoмaтичecкoгo oбнoвлeния - Зaгpужeнный фaйл пoвpeждeн - main065.avz
Несколько раз пытался. Вот и решил проверить версию.... А тут непонятки с номерами... А теперь ещё и с базой...
Проясните ситуацию, плз...
Скачали вы версию 4.30, как и должно быть.
это и у меня было такое сегодня.Oшибкa в xoдe aвтoмaтичecкoгo oбнoвлeния - Зaгpужeнный фaйл пoвpeждeн - main065.avz
Скачайте базы с сайта http://www.z-oleg.com/secur/avz/download.php
Ваши права в разделе
