А когда уже будет английская версия?
А когда уже будет английская версия?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Во время работы ''ест'' от 55 до 95% CPU (все время ''прыгает'').Сообщение от Зайцев Олег
Раньше вроде бы было поменьше?
Просканировал диск С:Мы уже как-то ''договорились'', что DragnDrop.dll и emule.exe - вносим в безопасные...3. Сканирование дисков
C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)
.............
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll--> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll> >> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 287 TCP портов и 19 UDP портов
>>> Обратите внимание: Порт 3024 TCP - Trojan.WinCrash (c:\program files\internet\emule\emule v0.45b morphxt 6.7\emule.exe)
>>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
Просканировано файлов: 91233, извлечено из архивов: 73957, найдено вредоносных программ 0
Сканирование длилось 00:45:03
а версия emule не менялась?
Сейчас больше информации анализаруется в ходе проверки файла, но такого по идее быть не должно.
Варианты - всключена проверка всех файлов и AVZ тормозит в ходе сканирования архивов. Или фрагментирован диск.
Выражаю огромную благодарность Олегу Зайцеву за его программу. Сам пользуюсь ею и рекомендую всем друзьям и знакомым.
Нет, включена проверка потенциально опасных файлов...
И диск, по идее, не фрагментирован: совсем недавно переустановил Win ХP.
MOCT, версия emule не менялась.
Тут был такой случай. Логинится чувак на WinXP, работает, гуляет по WWW, спокойно выходит и выключает машину. На следующий день тачка не грузится, вообще. Что есть, так это только что-то (на самых начальных подступах загрузки) вроде "радующего сердце" сообщение "System cannot find ntfldr file. Press Ctrl+Alt+Del to restart" на "милом" чёрном фоне. Интересуюсь у человека, что делал, вспоминай. Говорит, что запускал какой-то антишпионский софт вроде SpySweeper'а (точно не помнит), и тот нашёл какой-то, вроде бы, троян (судя по всему, внедрившегося, как раз, в системный файл ntfldr) под именем то ли "Bandita", то ли "Bandito". Как вы понимаете, этот файл был "успешно" удалён, надеюсь, вместе с трояном, засевшим прямо в нём, но в результате система ушла в даун. А AVZ знает что-нибудь об этом самом "Bandito"?
видимо речь идет о бакдоре Toquito Bandito (он же Tequila Bandita)
Последний раз редактировалось MOCT; 27.12.2005 в 13:36.
AVZ 4.12 на Windows 2003 EN вместо символов стоят ????? в основном окне и все меню из вопросов.
Попробуйте запустить этот файлик реестра
http://virusinfo.info/showthread.php?p=65407#post65407
Последний раз редактировалось anton_dr; 02.02.2006 в 08:16.
приколы с Windows server 2003
AVZ версия 4.12
Запущена на W2k3 на консоли. Терминал-сервер тоже есть.
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\user\WINDOWS\system32\smss.exeта же фигня в диспетчере процессов.1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WIN3KEE\system32\ntoskrnl.exe)
В диспетчере служб и драйверов в закладке API не опознаны драйверы вида \SystemRoot\System32\DRIVERS\pci.sys, по реестру всё нормально.
В протоколе исследования всё это видно.
avz_sysinfo.zip
Это можно исправить? Чем могу помочь?
Dime3us и Nikollay писали:
Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
В ходе проверки возникла ошибка. Проверка не производилась
А почему?
Тоже интиресно почему?
в версии 4.12 ошибка не появлялась
Странно, но и в этой версии (4.12) ошибку соответственную всё же выписывает.
Поставил бету SpiderGate, решил поиграться - посмотреть как-чего. Для интереса запустил AVZ посмотреть на его реакцию. Реакция удивилиа... только расширенный аналз показал некоторую активность (отсутсвие видимых окон, упаковщик, сетевая активность, порты и т.п), а вот антируткит промолчал... т.е. весь перехват трафика (системным хуком) для AVZ остался незамеченым. Отсюда вопрос, а что мешает какому-нибудь животному так же тихо мирно сидеть и анализировать трафик.... хранить журнал посищений, выдирать почтовые адреса, иногда пароли и т.п ?!
Сетевой хук в LSP - это не руткит. Все такие хуки AVZ в отдельный раздел исследования системы честно пишет.
Да, совершенно верно - для мониторинга сети перехват функций по руткит-технологии не обязателен. Обычно для этого или LSP ставится, или NDIS драйвер. Но это не руткит (драйвер засветится в анализаторе драйверов, LSP - в анализаторе LSP)
to Cool Cat
Ошибка при проверке портов вроде-бы задавлена в 4.12 ...
to UFANych
На W3K такое бывает. Сейчас тестируется новая технология определения пути к системной папке, т.к. известно два варианта некорректного поведения системы:
1. Выдача путей типа "\WIN3KEE ..."
2. Возврат вместо пути к системной папке пути в профиль пользователя
С этим понятно, но тогда может быть при расширенном анализе (или маск. уровне эвристики) выводить сообщение о том, что в LSP найдено что-то "левое" - неопознаное как безопасное?
Это похоже просто непотопляемый глюк...только что скачал,попробовал,всеравно вылетает.
Собсно описываю как я делал:инет подключен все нормально показывает,и при скане системы тоже,отключаем инет,перезагружаем систему,запускаем AVZ,пробуем глянуть порты/просканить комп и получаем ошибку.
Ваши права в разделе
