15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".Сообщение от Зайцев Олег
15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Олег! В качестве обсуждения. Нельзя ли поменять местами протоколы исследования системы и часть сканирования и лечения от AVZ.
Чтобы не начинать читать протокол с конца и не пытаться удалять то, что уже вылечил AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Принято и сделано.
to PavelA
Если процесс, DLL или что-то подобное видны в исследовании AVZ, то оно однозначно не удалено (как максимум - файл заряжен на отложенное удаление).
1. Не плохо добавить в скрипты функцию которая убивает процесс по имени, с выводом в лог результата. Т.е. попытка убиения, пауза в секунду, проверка что процесс убит.
2. Нужна функция которая ищет в реестре файл по имени (именно по имени, без пути) и выводит все ключи где найдена встречается этот файл.
P.S. Кстати, исправлена ли бага из за которой в списке драйверов и модулей пространства ядра вместо реального пути к системной директории написано "systemroot"?
Последний раз редактировалось Geser; 20.02.2007 в 13:58.
1,2 - принимается. PS - это не баг, это фича - имена объектов отображаются так, как они значатся в реестре или возвращаются системой. Если не удобно, заменю на нормализованные полные имена.
Как минимум в скрипт должны уходить нормализованные имена.
Логично, так и сделаю.
Повторяется нерегулярно...18.02.2007, 19:31:12: FETCH - Получение новой почты
18.02.2007, 19:31:12: FETCH - Соединение с POP3 сервером прошло удачно
18.02.2007, 19:31:12: FETCH - Аутентификация прошла успешно (Обычный метод)
18.02.2007, 19:31:13: FETCH - На сервере писем: 2, из них новых: 2
18.02.2007, 19:31:16: FETCH - Получено письмо от (убрано), размер: 2547 байт, тема: (убрано)
18.02.2007, 19:31:16: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!18.02.2007, 19:31:16: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
18.02.2007, 19:31:17: FETCH - Получено письмо от (убрано), размер: 12176 байт, тема: (убрано)
18.02.2007, 19:31:21: FETCH - Получено письмо от (убрано) для (убрано), зашифрованное: Нет, размер: 2547, дата: 18 февраля 2007 г. 10:34:05, тема: (убрано)
18.02.2007, 19:31:21: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!18.02.2007, 19:31:21: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
18.02.2007, 19:31:22: FETCH - Получено письмо от (убрано) для (убрано), зашифрованное: Нет, размер: 12176, дата: 18 февраля 2007 г. 16:25:27, тема: (убрано)
18.02.2007, 19:31:22: FETCH - Удалено писем с сервера: 2
18.02.2007, 19:31:22: FETCH - Соединение завершено - получено писем: 2
3.95.06
Прилагается...
Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.
Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт)
Последний раз редактировалось Nick222; 21.02.2007 в 13:01.
Олег, в протоколе исследования системы есть проблема при добавлении команд в скрипт относительно файлов, запуск которых указан с параметрами. Приведу пример из протокола исследования системы из одной из тем в разделе Помогите.
Автозапуск
Графа "Имя файла"
C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
"J:\муж\DAEMON Tools\daemon.exe" -lang 1033
Теперь при нажатии на "Карантин" или "Удалить" в скрипт добавляются команды, содержащие ошибку.
Т.е. при нажатии на "Карантин" в этом случае добавляется :
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup','');
QuarantineFile('J:\муж\DAEMON Tools\daemon.exe -lang 1033','');
Я правильно понимаю, что в карантин они не попадут при выполнении скрипта ?
Видимо для исследования системы в графе "Имя файла" AVZ нужно заносить только путь к файлу, а параметры его запуска игнорировать.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Спасибо, картинка помогла ... я выставил все переключатели согласно картинке и получил это сообщение. Если в настройке TheBat выставить три "птички" внизу окна натройки - появляется этот глюк, если их снять - работает нормально. Мой совет - отключить три "птички" в настройке Bat (т.е. привести настройки к виду, как на картинке из хелпа) - тогда глюк пропадает. А я тем временем разберусь, в чем там дело.Повторяется нерегулярно...
3.95.06
Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.
Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт)
Вероятность попадания в карантин есть - функция карантина пытается отбросить все лишнее. Но тут есть тонкость - предполагается, что добавление команд в скрипт добавляет заготовку, т.е. ее стоит вручную поправить, оставив только имя файла. Это существенно упростит работу AVZ. Плюс в новой версии новый анализатор в карантине - у него намного выше шансы на поиск файла в сложном случае.
У меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
При повторной попытке обновиться, произошла такая ошибка:
Версия 4.23, обновлялся с z-oleg.com
P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось
Скорее всего я в этот момент обновлял базы на сервереУ меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
При повторной попытке обновиться, произошла такая ошибка:
Версия 4.23, обновлялся с z-oleg.com
P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось
Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected
А какая разница ? Ну, раз просят - поменяю, это тривиально
Пароль на какие файлы? Если на отсылаемые на проверку - то не стОит - у всех серверов требование ставить пароль "virus".
Если это другой пароль - прошу извинить
Олег! Что-то в Download на z-oleg.com AVZ лежит обрезанный без скриптовой директории и драйверов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все верно - драйвера давно в AV базе (о соответственно обновляются по мере надобности автоматом), все скрипты - аналогично.
А как же тогда с директорией Script? Она же не создается.
Может я что-то не понимаю. Пытался по-старому объяснить своему клиенту, а тут такой облом (:
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А собственно зачем директория Scripts ? Все скрипты из нее перекочевали в меню "Файл/Стандартные скрипты" AVZ.
Ваши права в разделе
