Всем спасибо за ответ.
После выполнения пункта # 8 раздела помогите, у меня в папке директории AVZ не появляеться папка LOG и не копируеться протокол скрипта. Пробовал четыре раза.Запоминаеться только текстовой файл исследования системы.
Поэтому сделаю скрипт в виде файла avz_sysinfo и представлю на осмотр.
Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
4.25 все время ругается:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=AADE8000, размер=118784, имя = "\SystemRoot\system32\DRIVERS\atinrvxx.sys"
Что за драйвер:
версия: 6.14.10.6238
Описание: ATI WDM Rage Theater MiniDriver RT2
Авт права: Copyright (C) 2004 ATI Technologies Inc.
Также (было и в преждних версиях) - замечает про Аутпост:
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll"
([1056]winlogon.exe-->kernel32.dll-->GetProcAddress, Тип: IAT modification по адресу 0x01001234 обработчик перехватчика расположен в [wl_hook.dll(dll Оутпоста)], также wanarp.sys-->ndis.sys путем FILTNT.SYS(драйвер Оутпоста) - by RKU - а это не опасно?)
P.S. Я добавил в имя chm файла справки символ #(до расширения) и при открытии справка перестает нормально отображаться (XP SP2) - эт такой глюк тоьлько у меня?
(Изфините за оффтоп)
Последний раз редактировалось Mad Scientist; 14.05.2007 в 00:34.
Непонятки с Hide Folders XP, version 2.8.5
что-то не понимаю, как он прячет каталоги, вроде ничего не перехватыват...
AVZ фиксирует только
"C:\Program Files\Hide Folders XP 2\hdr.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Hide Folders XP 2\hdr.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано"
Кроме того, он может прятать себя из диспетчера задач (hfxpcp.exe, code hook), AVZ его видит, но сообщает, что нет маскировки.
AVZ считает маскирующимся процесс, который маскируется от него. А многие маскируются только от TaskManager - для этого есть примитивная DLL, прехватывающая функцию только в TaskManagerСообщение от Mad Scientist
По поводу маскировки каталогов - папку можно замаскировать драйвером-фильтром, и быстро найти такую маскировку нельзя, так как по идее нужно просканировать диск через API и напрямую, допустим разбором файловой системы напрямую.
Здравствуйте Олег .После того как скачал версию 4.25 заметил ,что перестали сохраняться обновления ,т.е. при запуске сканирования в окне проверки обновления датируются 17.04 (с момента выхода этой версии )Хотя если сразу после загрузки не закрывая программу произвести проверку чего либо в окне проверки будет время и дата выпуска последних обновлении .Но стоит закрыть программу и войти вновь сигнатуры будут датированы как я писал выше 17.04(проверял 10 минут назад )Пользуюсь AVZ с версии 4.23 ,обновлял регулярно и все сохранялось .Подскажите в чем может быть причина ?Спасибо
1serg, а зачем AVZ из zip-архива запускать?
Опыт — это слово, которым люди называют свои ошибки.
Хотелось бы в Gui иметь возможность назначить путь к сохранению (временных файлов работы , карантина итд... )
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Вот эта заметка навела меня на мысль, что не хватает в AVZ ещё скрипта разблокиратора пункта меню «Выполнить».
Ждём
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Олег столкнулся с такой ерундой (2 раза уже), после лечения AVZ Winsock провайдера проблема с днсками возникает, вообщем непашет.. winsocks fix тоже не помогает, даже со здоровой машины пытался перенести ветки реестра winsocks фиг вам как говориться, может вкурсе что такое.. колекцию из тех malware которые лечил могу скинуть если надо, там большой зоопарк был..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
вспомнил ещё кое что, C:\WINDOWS\System32\poof - Trojan-Proxy.Win32.Wopla.ag почему-то без avzpm невиделся, хотя тут ( http://virusinfo.info/showthread.php?t=8765 ) он его сразу нашел..
и проблема была с Trojan-Spy.Win32.Banker.cmb файл C:\WINDOWS\system32\ntos.exe в активных процессах не отображался, только в конце лога написано про прямое чтения его, и не под каким предлогом нехотел удаляться, только отложеным удалением получилось.. короче как-то странно было все это..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Я воткнул в скрипты эвристики поиск bitdefender.exe в системной папке, плюс сейчас попробую сделать разблокировку меню "Выполнить" (я не помню, как этот пункт блокируется в реестре).Вот эта заметка навела меня на мысль, что не хватает в AVZ ещё скрипта разблокиратора пункта меню «Выполнить».
Ждём
C:\WINDOWS\system32\ntos.exe я гонял третьего дня - он не висит в процессах, видимо просто инжектит поток куда-то в момент старта. Свой файл он блокирует ... я внес в эвристику его диагностику.
Спасибо , Олег. A об этом : http://virusinfo.info/showpost.php?p...&postcount=247
Я ещё подумал и ещё если можно, то все базы тоже отдельно хранить.Например вот такой вариант запуска :AVZ.exe и все постоянные файлы не нуждающийся в обновлении записывается на диск/ флешку с тумблером только для чтения . А базы закачиваються в указанное место(через интерфейс AVZ) на диске .Запускается авз с механически защищённого носителя - тем самым достигается 100 защита от заражения самого исполняемого файла.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Олег, а что про днски невкурсе как лечиться, не сталкивался?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Небольшое предложение
Для того чтобы увидеть то, что попало в карантин,сделать функцию получения списка файлов из карантина.
avz00001.dta - c:\windows\cssrs.exe и тому подобное.
Тогда будет проще анализировать ответ ЛК.
Если есть другой вариант, то подскажите, плс.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот решение - http://virusinfo.info/showthread.php?p=111743
Это хорошо, но пользователя надо просить скачивать эту утилиту дополнительно. А в "Правилах" этого нет (:
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А пользователю то она и не нужна. AVZ в логе пишет, успешен карантин или нет ... а уже получив карантин халпер уже при помощи утилиты оперативно работает с карантином.Это хорошо
Я , как здешний хелпер, карантин не получаю. Вижу только протокол по выполнению первоначальных скриптов. В нем соответствия файлов нет.
Твой вариант работает только в том случае, если карантин лежит у меня на РС, а он на серваке в Инете. Выкачивать его оттуда не всегда возможно, а результаты исследования карантинов приходят на почту из ЛК. В ответах иногда имена реальных файлов, а иногда переименнованые.
После запроса по собственноручно написанному скрипту не вижу протокола и соответствия. Стало доходить, что придется усложнять скрипт. Добавлять AddtoLog & SaveLog.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После обновления AVZ с 2.24R до 2.25 в AVZ "модули пространства ядра" показывает 2 драйвера AVZPM.
Скриншот "модули пространства ядра":
http://img408.imageshack.us/img408/4...titled1mm6.gif
Обновление делалось так:
Обновление баз из 2.24 (тут видимо обновился и драйвер)
Распаковка 2.25 с заменой существующих файлов
Обновление баз из 2.25 (а на этом этапе наверное появился еще один драйвер)
Теперь похоже у меня два драйвера AVZPM сидят в памяти - от 2.24 и от 2.25.
Как убрать лишний?
Ваши права в разделе
