Олег, ну когда же avz будет проверять только ту папку, к-рую хочет юзер, а не все дерево папок "снизу вверх" вплоть до второго от корня уровня ?
Олег, ну когда же avz будет проверять только ту папку, к-рую хочет юзер, а не все дерево папок "снизу вверх" вплоть до второго от корня уровня ?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спс за ссылку. Кстати еще заметил, что при попытке обновления обычными способами AVZ даже и не пытается никуда соединятся, а сразу выдает ошибку.Сообщение от SuperBrat
Пожалуйста. Есть такое дело. Особенно не любит корпоративные каналы.
здравствуйте,
после проверки компьютера с помощью AVZ и последующей перезагрузки система обнаружила новое устройство. во вкладке "сведения" свойств устройства, под дропдауном "Код экземпляра устройства" написано:
ROOT\LEGACY_AVZ\0000
насколько я понимаю, это появилось как побочный результат действия программы.. как это устройство снести?
заранее спасибо,
михаил
Функция ZwClose (19) перехвачена (805B0714->F73CB02, перехватчик a347bus.sys
Функция ZwCreateFile (25) перехвачена (8056D14C->F793F130), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwCreateKey (29) перехвачена (80618BD2->F793F320), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwCreatePagingFile (2D) перехвачена (8059F8FA->F73BEB00), перехватчик a347bus.sys
Функция ZwCreateProcess (2F) перехвачена (805C5CE8->F793F3E0), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwCreateProcessEx (30) перехвачена (805C5C32->F793F410), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwDeleteValueKey (41) перехвачена (80619232->F793F360), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwEnumerateKey (47) перехвачена (80619412->F73BF5DC), перехватчик a347bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (8061967C->F73CB120), перехватчик a347bus.sys
Функция ZwOpenFile (74) перехвачена (8056E26A->F793F510), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwOpenKey (77) перехвачена (80619F68->F793F330), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwOpenProcess (7A) перехвачена (805BFB78->F793F380), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwOpenSection (7D) перехвачена (8059E274->F793F440), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwQueryKey (A0) перехвачена (8061A28C->F73BF5FC), перехватчик a347bus.sys
Функция ZwQueryValueKey (B1) перехвачена (80616C8C->F73CB076), перехватчик a347bus.sys
Функция ZwSetSystemPowerState (F1) перехвачена (80646DE8->F73CA550), перехватчик a347bus.sys
Функция ZwSetValueKey (F7) перехвачена (80617292->F793F340), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwTerminateJobObject (100) перехвачена (805CBFF8->F793F6B0), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwTerminateProcess (101) перехвачена (805C74C8->AAADC330), перехватчик D:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция ZwWriteVirtualMemory (115) перехвачена (805A82F6->F793F6A0), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Проверено функций: 284, перехвачено: 20, восстановлено: 0
________________________________
C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Шо за зверь?
по этому адресу такой не живёт
Это не связанно както с АВЗ?
Цитата:
Драйвера устанавливаются
в систему только по мере необходимости, причем имя драйвера уникально для каждого ПК. В момент закрытия AVZ драйвера автоматически удаляются.
*Cool cat ,Ошибаетесь , живёт
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Связано, связано......
C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Шо за зверь?
по этому адресу такой не живёт
Это не связанно както с АВЗ?
Цитата:
Драйвера устанавливаются
в систему только по мере необходимости, причем имя драйвера уникально для каждого ПК. В момент закрытия AVZ драйвера автоматически удаляются.
ujm5mtqw.sys в вашем случае - это драйвер самого AVZ (тот, что раньше назывался avzguard.sys) и, соответственно, его перехваты. Вы, очевидно, включили режим AVZGuard, а потом запустили проверку нажатием на кнопку "Пуск".
Теперь, начиная с версии 4.20, AVZ хранит свои драйверы вместе с базами, и при создании файлов драйверов их имена генерируются произвольным образом. При закрытии AVZ эти файлы удаляются, именно по этой причине вы этот файл не нашли.
Так что цитату вы выбрали совершенно верно!
Последний раз редактировалось aintrust; 24.09.2006 в 15:29.
Михаил, вы абсолютно правы насчет того, что это "побочный результат действия программы", или, точнее, ее небольшой глюк. Новое "квази-устройство" можно, в частности, снести, прямой правкой реестра (найдите там ветвь LEGACY_AVZ и полностью удалите ее).
Вопрос.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Определяется по %SystemRoot%\system32\drivers\etc (и ангалогичному для 9X) ... В очередной я прикручу проверку еще и по DataBasePath
TO ALL
Доброе время суток!
Вопрос:
Можно по-подробнее про данный вариант работы с AVZ:
"...Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п. не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его...."
AVZ, (C) Зайцев О.В.
Как правильно пошагово согласовать действия?
СПАСИБО!
все просто:
1. Закрыть все программы, кроме AVZ
2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать)
3. Активировать AVZ Guard
4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер или иная утилита.
ОГРОМНОЕ СПАСИБО, ВАМ, ОЛЕГ!!!
AVZ 4.20 базы обновлены. Создаю папку. В нее записываю файл .cmd с содержанием "ping 210.10.24.14" Создаю для этой папки базу ревизора. Параметры создания базы "все файлы" и "стандартный". Изменяю содержание файла .cmd на "ping 201.10.24.14" Размер файла остался прежним, а контрольная сумма должна была поменяться. Проверяю ревизором. Ревизор говорит что в папке ничего не поменялось. То есть получается что Ревизор проверяет только изменение размера файла. В связи с этим возникает вопрос а проверяется ли контрольная сумма при проверке файла по базе безопасных файлов? У меня теперь есть большие сомнения. Кроме файлов .cmd проверял работу Ревизора с файлами txt. То же самое.
Спасибо.Оказалось это из-за архива L2 на 2.3 гига
Уважаемый Олег! Спасибо за замечательную программу!
У меня такой вопрос, а немогли бы вы добавить в менеджер файла Host функцию внесения строк?
Олег, подскажи пожалуйста, что с запоминанием настроек параметров обновления. В v4.20 этого опять нет. Спасибо.
Уважаемый Олег, а нет ли в планах прикрутить к AVZ встроенный сниффер пакетов?
А чем www.sysinternals.com не устраивает ?
Неплохой набор и бесплатный к тому-же.
RIC, а не будете ли ВЫ так любезны что называется "тыкнуть пальцем" в необходимую утилиту? А то моих познаний инглиша и беглого взгляда на описания программулин вот здесь:
http://www.sysinternals.com/NetworkingUtilities.html
не хватило, чтобы таки найти там анализатор содержимого пакетов. Много чего есть, но не то, что хотелось бы...
*************************************
Да и я - сторонник решений all-in-one и думаю, что не один я такой
Ваши права в разделе
