Угу, в памяти он есть. Кстати, такая защита не очень хорошо. Лучше что бы в отчёте файл был с пометкой что он не найден на диске.Сообщение от Зайцев Олег
Угу, в памяти он есть. Кстати, такая защита не очень хорошо. Лучше что бы в отчёте файл был с пометкой что он не найден на диске.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Кстати, вот такой способ загрузки тоже не обнаруживается:
Код:REGEDIT4 [HKEY_CLASSES_ROOT\CLSID\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}\InprocServer32] @="D:\\WINDOWS\\Downloaded Program Files\\int_ver34.ocx" [HKEY_CLASSES_ROOT\CLSID\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}\ToolboxBitmap32] @="D:\\WINDOWS\\Downloaded Program Files\\int_ver34.ocx, 30000" [HKEY_CLASSES_ROOT\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\0\win32] @="D:\\WINDOWS\\Downloaded Program Files\\int_ver34.ocx" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}\InprocServer32] @="D:\\WINDOWS\\Downloaded Program Files\\int_ver34.ocx" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}\ToolboxBitmap32] @="D:\\WINDOWS\\Downloaded Program Files\\int_ver34.ocx, 30000" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\0\win32] @="D:\\WINDOWS\\Downloaded Program Files\\int_ver34.ocx" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}\Contains\Files] "D:\WINDOWS\Downloaded Program Files\int_ver34.ocx"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\D:/WINDOWS/Downloaded Program Files/int_ver34.ocx] @=""
Недавно AVZ хорошо сработала на вот это...
Анализатор - изучается файл C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
C:\PROGRA~1\TRIDEN~1\Pragma\P2003.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\TRIDEN~1\Pragma\P2003.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
Для информации о программе:
Pragma 4.x
Система машинного перевода Pragma 4.x позволяет выполнять перевод текстовых документов с одного языка на другой в различных приложениях Windows.
Pragma 4.x представляет собой модульную систему и состоит из базового программного модуля и языковых модулей для английского, русского, немецкого, латышского, украинского языков, а также включает расширенный словарь спецтерминов. Базовая функциональная часть системы содержит большое количество модулей расширения для офисных приложений и Интернет.
Языковые модули являются взаимозаменяемыми за исключением русского, который обязательно присутствует по умолчанию.
Имеются также вспомогательные модули корректировки словарей и обновления системы через Интернет или локальную сеть.
Pragma 4.x может переводить в следующем окружении:
MS Word 87/2000/XP/2003
Open Office 1.0/1.1,
Start Office 6/7
Internet Explorer 5/6,
Outlook 2000/XP/2003,
Outlook Express 5/6,
Netscape 6/7 и
Mozilla 1.0/1.5
а также в других приложениях.
Может и впрямь за чем-то следит???
пришлите C:\PROGRA~1\TRIDEN~1\Pragma\P2003.dll на [email protected] в архиве с паролем virus
C:\PROGRA~1\TRIDEN~1\Pragma\P2003.dll на [email protected] в архиве с паролем virus
вроде сейчяс отослал ... жду подтверждения получения
Файл пришел - он не опасен, это от переводчика Pragma. Но это действительно перехватчик - он устанавливает Hook на типа 03 (WH_GETMESSAGE - слежение за полученим всех сообщений для каждого из приложений) и 0A (WH_SHELL - операции с окнами верхнего уровня). В случае обнаружения ошибок эта DLL пишет их в c:\log.txtC:\PROGRA~1\TRIDEN~1\Pragma\P2003.dll на [email protected] в архиве с паролем virus
вроде сейчяс отослал ... жду подтверждения получения
Последний раз редактировалось Зайцев Олег; 25.01.2006 в 10:46.
Можно кинуть ссылочку на тестовую версию монитора...
(для себя)
очень надо.
Нет проблем - к выходным я наконец сделаю новую версию (MOCT заказал новые фичи для скриптового движка, поэтому переделок много. Скажу только в виде анонса - в новом движке я открыл доступ к сигнатурному анализатору AVZ - можно свои сигнатуры создавать, и из скрипта возможен поиск файлов/папок, обход дерева каталогов, карантин файлов по маске, проверка по базе безопасных из скрипта ....), и параллельно с новой версией скину монитор
RULEZ!
Зайцев Олег
Добавь еще плз или в скрипты или в качестве параметра ком.строки возможность запуска обновления.
Такая функция уже есть в скриптах - см. функции ExecuteAVUpdate и ExecuteAVUpdateEx (они идентичны, но ExecuteAVUpdateEx позволяет настроить все параметры апдейта, а ExecuteAVUpdate работает по дефолту). Обе функции возвращают TRUE, если апдейт прошел успешно.
Привет всем,
вот послушал вас тут и тоже попи... поделиться мыслёй решил:
1) соскучился за АдИнФом - жуть! может есть смысл заделать винлогон экстеншн как фичу для АВЗ? (с асинхронной загрузкой- просто класс)
2) почему бы не разрешить Админу добавлять 99.(99)% чистые файлы в белый список?
3) почему только версия для малчЫка Билла? А Линхи? МакОс Хи
(а'ля ФриБсд)?
4) ну, тогда хоть "Динамический приоритет" для ХРю ?
(а то ПроцессЛассо приходится использовать для неугомонных)
5) и контрольный файл-"медок" тоже не используется?
(по аналогии с АПС)
Ну как, не сильно понапрягались?Тогда по 100 гр для антирутктинга!
Пока что пока.
И дополнительный (английский) интерфейс?
а монитор только избранным сбросят или как плагин к The Bat! ?(можно самому скачать)
Сообщение от Зайцев Олег
Файл пришел - он не опасен, это от переводчика Pragma.
Okey
Вот ещё казус
D:\Program Files\TrashRag\TrashReg.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
Программа Registry Trash Keys Finder (версия 3.7.0 SR1)
От разработчика в кратце о ней - Программа удаляет ключи реестра, которые остовляют после себя...триальные версии различных программ.
Либо кто-то поиздевался над данной версией, либо разработчик что-то намудрил...
Но факт есть факт, более ранняя версия этого продукта в AVZ не проявлялась.
По данной проблеме наткнулся на пост стороннего форума:
ЦИТАТА
Интересное наблюдение.
Программа AVZ ( http://forum.ru-board.com/topic.cgi?...90&start=60#lt ) ругается на Mark.exe следующим образом:
Цитата:Mark.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
От автора AVZ по этому поводу был получен такой ответ:
Цитата:Mark.exe - этот файл сжат парой упаковщиков (один поверх другого), причем внешний создает довольно экзотический файл, с данными и кодом в том месте, где у нормального EXE файла должен быть DOS заголовок. Отсюда и подозрение ...
КОНЕЦ
Может здесь подобная ситуация, я думаю нужно вам залить для оценки.
Файл конечно можно залить - этот файл или вирусом опасным заражен (типа чернобыля), или сжат чем-то экзотическим. Почти наверняк второе ... сообщение "Virus.Win32.PE_Type1" можено перевести на человеческий язык как "тяжкая аномалия в PE файле". Фокус в том, что у нормального EXE структура условно имеет вид
[DOS Stub заголовок]
[PE заголовок]
[Секция кода]
[Секция данных]
[Прочие секции]
Секция кода отличается тем, что у нее в атрибутах прописан флаг EXECUTE, что делает законным выполнение размещенном в ней кода. Ясное дело, что это чистая условность, поэтому секций кода и данных может быть несколько. Следовательно, точка входа в файл должна указывать на секцию кода, а таблицы импорта/экспорта должны лежать в одной из секций. Однако возможно, что:
1. Точка входа не попадает ни в одну из секций, указывая на зону между секциями или в зону заголовка (например, в DOS Stub).
2. Таблица импорта отсутствует или размещена вне существующих секций файла
Вот в подобных случаях AVZ в режиме расширенного анализа ругается на подобные файлы (но именно при включении расширенного анализа - в обычном режиме про такие файлы ничего не говорится).
я думаю диагноз будет таким - использование MEW, NSpack или Upack
p.s. где же долгожданный релиз?
Олег, необходим метод копирования залоченных файлов, может через тот драйвер который для прямого чтения с диска, или еще как, но без такой возможности очень сложно.
Вот сегодня к вечеру (или завтра утру) выпущу релиз, дальнейший список доработок на февраль: запланирован доступ к залоченным файлам (они и меня уже порядком достали) несколькими методами, альтернативное отложенное удаление и отложенный карантин из режима ядра + прямой доступ к диску ...
Ваши права в разделе
