YouTubeUploader устаналвивается именно туда. Равно как и GoogleUpdater. Вот народу станет сразу весело...Сообщение от tar
YouTubeUploader устаналвивается именно туда. Равно как и GoogleUpdater. Вот народу станет сразу весело...
http://www.softsphere.com - DefenseWall, DefencePlus
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Jolly RojerПробовал уже так делать,но у меня нет родного установочного диска, вставлял другой диск, тоже Win.XP SP2 RUS, но пишет, что вставлен отличный от нужного диск.Что еще можете посоветовать?Читал, что проблемы с загрузкой системы могут возникнуть, если Windows завершала работу в ненормальном режиме,а так и было при работающем AVZ Guard.И думаю,что у многих могут возникнуть проблемы с загрузкой, после такого лечения,тут хоть читай доку хоть не читай.Pavel1 можно так же попробовать выполнить "win+r" (аналог- Пуск/выполнить) далее вставить диск с win и выполнить sfc /scannow . Или запустив avz, Сервис/системные утилиты/sfc
Последний раз редактировалось Pavel1; 09.06.2008 в 16:31.
Но тем не менее не возникают, так как:
1. AVZ Guard применяется по правилам тогда, когда закрыты все приложения
2. Он включается на момент начала лечения и система буквально через 1-2 секунды уходит на перезагрузку. Т.е. нет значимого интервала времени, в течении которого система работает на AVZGuard
3. Включается по необходимости, когда идет лечение трудноудаляемого зловреда
Ну а если включить просто так, та еще 10-15 минут с ним поработать, попробовать полазить по системным настройкам и т.п., то результат будет непредсказуемым. Нечего страшного в подавляющем количестве случаев конечно не произойдет - но какие-то глюки в теории могут возникнуть.
Они наверное ярлык добавляю, а вирус экзешник.
AVZ - внушает довериено, было совсем отлично если бы
он в списке подключенных устройств сразу "видел" (только что вставленную) флэшку . Просто сталкивался с вирусами которые автозапускаются с флэшек .
Сорри, весь раздел не читал, а поиском не нашёл, поэтому решил спросить.
Иногда, почитывая треды в разделе "Помогите", натыкаюсь на случаи, когда AVZ не определяет как безопасные буквально все до единого исследуемые им системные файлы. Причём из лога ясно, что версия Windows - немецкая, или французская, или на ещё каком-то экзотичном для автора AVZ языке.
Это наводит на мысль, что "подписи" безопасных файлов в базе - на самом деле хэши (md5 или ещё что-то в этом роде). Поддерживать базы хэшей для всех файлов всех патчлевелов всех версий Windows - занятие муторное.
В то же время известно, что Microsoft и некоторые другие крупные производители ПО подписывают файлы своих продуктов цифровой подписью.
Может быть, имеет смысл проверять ещё и эту цифровую подпись? Штатный SigVerif так делает, Process Explorer от Руссиновича тоже. Удобно, сразу уменьшится количество ложных положительных срабатываний; к тому же, если обнаружится подписанный файл, но подпись не совпадёт с его содержимым - это для эвристического анализатора хороший повод задуматься.
Список вендоров, подписям которых можно доверять, думаю, составить несложно - вряд ли их будет много. Актуальные и отозванные подписи можно распространять вместе с остальными обновлениями баз обычным способом или проверять в онлайне, как Process Explorer.
Естественно, нынешний механизм проверки хэшей тоже нужен. Подписи - это как бы в дополнение уже.
Не сильно глупая мысль?
AVZ проверяет подписи + хеши по своей базе (точнее наоборот - сначала ищет файл в базе чистых, а потом - проверяет ЭЦП). Но механизм проверки подписей может нарушиться - вот и получим то, что ничего не опознается ... и его можно отключить - есть ключик командной строки, отключающий проверку ЭЦП и переключающий AVZ только на его базу чистых.
Просто EXE файлы имеют одну внутреннюю структуру и их можно запустить как программы без разницы какое расширение им присвоено. А вот например BAK файлы это просто копия чего то, файл не имеет какой либо структуры за которую можно зацепится(Расширения просто сменили), TMP так же...Слушай, Олег, раз ты уже зашёл, то что ты думаешь на счёт скрипта проверки на файлы с "фейкнутыми" расширениями,
типа как это сейчас делается с .EXE заделаными под .BAK, .TMP и т.д.?
Тоесть чтобы "содержимое" соответствовало записаному расширению.
Xотелось бы список пошире (как в APS) и возможностей поболе
В принципе вреда особого нет, но иногда может конкретно запутать, даже "уверенного" юзверя,
а это уже может быть похуже вируса (даже .BAT переименованый в .EXE часто бутяет машину)
BAT файл разве что сигнатурно по командам детектировать, смысле нет.
Последний раз редактировалось anton_dr; 19.10.2008 в 17:50.
C загрузкой сис-мы может не возникают(только у меня),но вот BSOD например,после пользования AVZ Guard:Зайцев Олег-"Но тем не менее не возникают, так как:"Может не будем спорить что или кто стали причиной проблемы, все равно каждый останется при своем мнении,а раз уж она возникла-попытаемся ее решить.Стандартный скрипт 6 не помог.Пожалуйста подскажите что нибудь исчо(кроме переустановки Виндовс)Сообщение от Rampant
AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:
файл мини-дампа, прилагается.
BSOD при включении AVZGuard крайне маловероятен, но возможен, и причиной как правило является:C загрузкой сис-мы может не возникают(только у меня),но вот BSOD например,после пользования AVZ Guard:Может не будем спорить что или кто стали причиной проблемы, все равно каждый останется при своем мнении,а раз уж она возникла-попытаемся ее решить.Стандартный скрипт 6 не помог.Пожалуйста подскажите что нибудь исчо(кроме переустановки Виндовс)
1. Его многократные включения/выключения
2. Наличие на ПК антивирусов, Firewall и т.п. программного обеспечения, которое перехватывает те-же функции, что и AVZGuard
Насчет проблемы с загрузкой - скорее всего это глюк системы, поэтому нужно искать его причину. Для этого:
1. Стоит сделать стандартное исследование системы AVZ по правилам раздела "помогите" - может быть, на ПК обнаружится живой/полу-убитый зловред, следы от него или что-то еще, что позволит понять причины проблемы
2. Мой компьютер -> Управление. Там "Просмотр событий", почистить все списки событий - правая кнопка над категорией событий в дереве слева, в меню "Стереть все события", от создания их копии отказаться, так повторить для всех категорий событий.
3. Мой компьютер -> Свойства, там закладка "Дополнительно", кнопка Параметры. Там снять птичку "Выполнить автоматическую перезагрузку", поставить птичку "Записать событие в системный журнал" и выбрать запись отладочной информации "Малый дамп памяти"
4. Пойти в каталог %SystemRoot%\Minidump и удалить оттуда все файлы минидампов, что найдутся
5. Пару раз попробовать загрузится, получить возникающие ошибки
Затем загрузиться, и посмотреть:
1. Что записалось в журналы (Мой компьютер -> Управление. Там "Просмотр событий"). В основном интересны группы "Приложение" и "Система", их можно экспортировать и прицепить сюда в архиве
2. Посмотреть, не появились ли минидампы в %SystemRoot%\Minidump. Если появились, то их в архив и аналогично, прицепить сюда
3. Посмотреть список оборудования (Мой компьютер -> Управление. Там "Диспетчер устройств") - посмотреть, нет ли устройств с крестами и восклицательными знаками. Если есть - список (или скриншот) сюда.
Вот основная процедура ...
Олег, мы как то (а именно, в 2005 году) обсуждали проверку составных контейнеров (CHM, CAB etc.) - сначала CRC/MD5 по базе безопасных, а потом уже, если он не нашёлся в известных, то делать разбор содержимого.
Удивительно, но всё таки хочется сподвигнуть Вас на то, чтобы это было в AVZ. А то очень как то неинтересно смотреть, как в очередной раз проверяется какой нибудь VBAXL10.CHM из состава офиса или driver.cab из системы.
То же самое относится и к AVP tool - там же внутри уже есть AVZ, isn't it?
Олег, а вас интересуют описания мелких ошибок в AVZ? У меня их много....
1) Если основной бразуер FireFox, то не показываются протколы после ответа Yes на "протокол сохранён, вы хотите его просмотреть?"
2) В менеджере расширений проводника не удаляются расширения, если файл не найден.
3) В хинте для чекбокса "Отчёт о чистых объектах" имеет слово "привдит" вместо "привОдит"
ну и так далее.....
Интересно такое буквоедство?
Разумеется, интересно.
Мне кажется, проверка замены букв (svshost.exe) не нужна. Можно проверять буквы русского и англ. алфавита (svchost.exe и svсhost.exe). А оптимальный вариант таков: создать базу системных файлов и при неправильном расположении бить тревогу (давать предупреждение). Например, explorer.exe должен лежать в папке WINDOWS, в system32 он - вирус, популярный вирус создает файл %AppData%\csrss.exe, %AppData%\smss.exe и т.д., есть вирус %temp%\winlogon.exe.
Последний раз редактировалось bolshoy kot; 17.06.2008 в 02:23.
При Неправильном местоположении сейчас уже есть предупреждение, но не Тревога. Пользователь сам может скопировать любой файл по своему желанию.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В списке "Подозрительные файлы"? И какая причина подозрения там написана?
В разделе "Подозрительные объекты"
Причина: файл с подозрительным именем (и указывается степень опасности).
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Понятно! Ну еще нужно обнаружение "подозрительных" имен по списку:
csrsc.exe
svshost.exe
svch0st.exe
winlog0n.exe
Vinlogon.exe
winlogin.exe
isass.exe
В чистом Windows нет ни одного такого файла.
А ешё замена английских букв на русские, в списке контролируемых файлов.
о, с, у, е, т, м, р, в, н, а, х.
Олег пишет:Олег,на момент включения AVZ Guard работал Антивирус Касперского 6.0,если это поможет.BSOD при включении AVZGuard крайне маловероятен, но возможен, и причиной как правило является:
Наличие на ПК антивирусов, Firewall и т.п. программного обеспечения, которое перехватывает те-же функции, что и AVZGuardВыполнил Ваши рекомендации.Полная проверка сис-мы KIS 7.0(базы обновил)-вирусов не найдено,AVZ 4.30(базы обновил)-ничего не найдено,а вот DrWeb(CureIt) кой чего нарыл:RegUBP2b-1.reg C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2 статус: Trojan.StartPage.1505.Этот файл реестра выглядит так:[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]Стоит сделать стандартное исследование системы AVZ по правилам раздела "помогите"
"Start Page"="http://www.is74.ru/"-это сайт моего интернет-провайдера,который у Дохтора почемуто стал стартовой страницейтрояна.И еще нашел:_desktop.ini C:\WINDOWS\OPTIONS\CABS статус: Win32.HLLW.Gavir.ini.Вот все что в этом ini-файле:2007/3/27.Снята птичка "Выполнить автоматическую перезагрузку", поставлена птичка "Записать событие в системный журнал" и выбрать запись отладочной информации "Малый дамп памяти" и путь:Посмотреть, не появились ли минидампы в %SystemRoot%\Minidump
%SystemRoot%\Minidump ,но такой папки у меня нет.Ошибки прилагаю.Пару раз попробовать загрузится, получить возникающие ошибкиТаких устройств нет. Не могу прикрепить логиПосмотреть список оборудования (Мой компьютер -> Управление. Там "Диспетчер устройств") - посмотреть, нет ли устройств с крестами и восклицательными знаками.Pavel1, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
Последний раз редактировалось Pavel1; 19.06.2008 в 08:25. Причина: Добавлено
Ваши права в разделе
