Ок, согласен, модификации в любом их проявлении, должны определяться. Тогда ещё один вопрос, когда АВЗ принимает решение на лечение заражённого файла, и чем отличается модификация от заражения?
Ок, согласен, модификации в любом их проявлении, должны определяться. Тогда ещё один вопрос, когда АВЗ принимает решение на лечение заражённого файла, и чем отличается модификация от заражения?
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А где в логе написано о том, что проводится какое-то лечения ? Это не более чем эвристика, контроль системных файлов, которые часто модифицируются или заражаются зловредамиСообщение от Rampant
Я не про данный случай, а вообще.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
А вообще лечение производится на основании чёткого детекта по базам.
Вопрос к Олегу: Как обстоят дела с добавлением "чистых" файлов в белый список, для х64 систем(Vista & 7). Стандартными скриптами они не карантиняться. А то получается немного печальная ситуация - из 250 присутсвующих в системе дарйверов опознаны как безопасный - 1(один) екзепляр и то наверное драйвер самого AVZ. Проблема не только с драйверами но и с системнымы процессами и службами.
Сорри, может ОффТоп, но у моего друга единственный в моей практике компьютер, на котором AVZ 4.30 и 4.32 работают только на английском языке! Может, ларчик и просто открывается, но как?
Региональные настройки. Если не русские, то АВЗ английская.
Left home for a few days and look what happens...
Добрый день!
Есть ли какая-либо причина, по которой AVZ при запуске на терминальном сервере не предлагает перевести его в режим инсталляции, и при положительном ответе не делает это своими силами?
ExecuteFile('change.exe', 'user /install', 2, 10000, true);
http://support.microsoft.com/kb/320185
По-моему, это избавило бы от многих недоразумений.
(Вначале я даже подумал, что это стóит делать безусловно...)
Заранее спасибо!
От недоразумений избавляет более простая вещь - прочтение документации по AVZ... дело в том, что если на терминальном сервере запускается AVZ, то одно из двух - или выполняющий данную операцию админ точно знает,что и как он делает (и делает это правильно), или компании срочно нужен новый админ
Извините, Олег!
1. К сожалению, в текущей документации такого совета нет.
2. AFAIK проблемы возникают не только в сессии, но и на консоли, если установлен терминальный сервер
3. К такому решению я пришел путем проб и ошибок, и только потом обнаружил этот совет на других сайтах.
4. Наличие в документации конкретной инструкции о запуске на теминальном сервере (скорее всего - change user /install , или указания запускать только из консоли, но, по-моему, запуск из консоли не помогает) также являлось бы чудесным решением.
По существу, есть ли у Вас возражения против change user /install ?
Если нету, предлагаю внести это в документацию
точно нет ? http://z-oleg.com/secur/avz_doc/t_install.htm , http://z-oleg.com/secur/avz_doc/sys_repair.htm - выделено красным. Предполагается, что админ или сам знает, что делать, или ему дадут точные инструкции. Запуск AVZ в разных хитрых режимах на сервере крайне нежелателен, так его задача - исследование, и малварь например на сервере в особом режиме не будет запускаться и ставиться... - потому никаких изменений документации нет и не будет. Но собственно вопрос в другом - если некий "админ" запустит на сервере AVZ и начнет бездумно жать там все кнопки - то он убъет систему и это нормально (и никакая документация не поможет, так как он ее просто читать не будет). Если же запустить AVZ в режиме исследования, то никакого вреда системе не будет, кроме лишних сообщений в логе и отметки о том, что запуск ведется из терминального сеанса. Плюс еще стоит подумать, как много терминальных серверов лечится AVZ и следует ли их вообще им лечить (а запуск любой лечащей утилиты на сервере - это немножко экстремальное занятие, например, к чему приведет включение AVZGuard при активных сеансах юзеров или как им понравится внезапная перезагрузка в результате работы скрипта лечения = загадка) ...Извините, Олег!
1. К сожалению, в текущей документации такого совета нет.
2. AFAIK проблемы возникают не только в сессии, но и на консоли, если установлен терминальный сервер
3. К такому решению я пришел путем проб и ошибок, и только потом обнаружил этот совет на других сайтах.
4. Наличие в документации конкретной инструкции о запуске на теминальном сервере (скорее всего - change user /install , или указания запускать только из консоли, но, по-моему, запуск из консоли не помогает) также являлось бы чудесным решением.
По существу, есть ли у Вас возражения против change user /install ?
Если нету, предлагаю внести это в документацию
Олег, большое спасибо за Ваше мнение!
В свое оправдание могу сказать:
- AVZ запускался после полного бэкапа;
- он так ничего и не разрушил.
IMHO, тут нужно брать тестера, брать всю имеющуюся малварь, и тратить около человеко-месяца ;(
(чтобы выяснить, есть ли такая малварь, которая в режиме инсталляции не видна, а в режиме выполнения видна, или наоборот)
В новой версии курьита (шестой) есть возможность запуска в защищённом режиме, после выбора которого, ни один процесс не сможет запуститься, есть ли ключи запуска АВЗ, для активации AVZGuard? Спасибо.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
Да, конечно есть - http://z-oleg.com/secur/avz_doc/t_commandlinespec.htm .
В общем случае запуск ведется так - avz.exe ag=y am=y
хорошие ключи, а нельзя их прикрутить к запуску из .exe? и решит ли это проблему блокировки АВЗ, многими зловредами, возможно не нужно будет переименовывать и менять расширение. Как вариант, написать кмдшку, с данными ключами, и всегда запускать например с корня системного диска.
Последний раз редактировалось Rampant; 28.03.2010 в 14:11.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
На Windows 7 после завершения сканирования или нажатии кнопки "stop" выскакивает ошибка. Помогите решить проблему, пожалуйста.
Вам бы следовало почитать 2 пред.страницы, http://virusinfo.info/showpost.php?p...&postcount=225
Спасибо за помощь. После перезапуска AVZ, галка "Поиск кейлогеров" на месте. Есть ли возможность отключить её?
Вышел апдейт баз с эвристикой, которая генерится машиной автоматически. После "первой порции" (которая вышла примерно месяц назад) был получен ряд карантинов, на основе их анализа собрана статистика - и вот реакция машины, что-то расширено, что-то урезано ...
Это уже не соответствует действительности.
Теперь ссылка выглядит так и дает нек-рые дополнительные плюсы))
The worst foe lies within the self...
Ваши права в разделе
