Страница 17 из 33 Первая ... 713141516171819202127 ... Последняя
Показано с 321 по 340 из 650.

AVZ 4.32

  1. #321
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3418
    Цитата Сообщение от Юльча Посмотреть сообщение
    я знаю )
    хотя по идее IPы вообще не нужны, достаточно hosts и nslookup.. но мало ли )
    вобщем, прикрепила на всякий случай
    ~180 записей в роутах и ~800 в hosts
    И как это связано с удалением посторонних маршрутов ?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #322
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    389
    вложение было продолжением этого сообщения

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    В базе пока только то, что однозначно удалось идентифицировать (сайты ЛК, DrWEB, Bitdefender, Symantec, NOD32, virusinfo, avira, virustotal и т.п.)
    могу дать hosts после вируса "с роутами", там сайты расписаны + роуты с IP этих же сайтов
    может найдете, что можно еще добавить )
    мне показалось как-то связано. если не связано и не нужен...

  4. #323
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3418
    Цитата Сообщение от Юльча Посмотреть сообщение
    вложение было продолжением этого сообщения
    мне показалось как-то связано. если не связано и не нужен...
    Оно не связано никак Маршруты зверя являются левыми маршрутами на сети класса "C" - а там 253 адреса. В этот маршрут может попадать всего 1-2 IP серверов антивирусов, а может и вообще ни одного - так как IP у серверов меняются ... а остальные 200 с копейками блокируются "за компанию", или не блокируются - может, у пользователя такой маршрут специально задан и без него ничего работать не будет (пример - маршруты на сервера провайдеров). И возникает задача - точно понять, какие маршруты однозначно левые и их можно прибить (или поднять аларм), а какие могут быть и полезными ... - задача неоднозначная. Блокируемых имен из Hosts у меня немного больше, чем в архиве - всего 1.86 миллиона штук Да вот только толку то от них ...

  5. #324
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.06.2006
    Сообщений
    103
    Вес репутации
    75
    Я точно помню, что это обсуждалось, но не могу найти где...
    В общем, после работы с AVZ по удалению зловреда, появилось какое-то неизвестное оборудование, которое теперь висит в Диспетчере устройств. Как на это реагировать?
    Еще. Одна флэшка теперь не хочет определяться на излеченном комп-е, хотя на других определяется...

  6. #325
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1321
    Цитата Сообщение от tar Посмотреть сообщение
    после работы с AVZ по удалению зловреда, появилось какое-то неизвестное оборудование, которое теперь висит в Диспетчере устройств.
    И не удаляется?

  7. #326
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    815
    Ну "устройство" - это скорее всего нотификатор. Выполните скрипт:
    Код:
    begin
     ExecuteStdScr(6);
    RebootWindows(false);
    end.
    После перезагрузки должно исчезнуть.

    А флешка - попробуйте отформатировать. Если не поможет, значит ой...

  8. #327
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1321
    Не ой:
    Цитата Сообщение от tar Посмотреть сообщение
    хотя на других определяется

  9. #328
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    526
    Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves

  10. #329
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.06.2006
    Сообщений
    103
    Вес репутации
    75
    > И не удаляется?
    не пробовал

    gjf, спасибо, попробую!

  11. #330
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1321
    Олег, существует ли в скриптовом языке команда очистки протокола AVZ?

  12. #331
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3418
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Олег, существует ли в скриптовом языке команда очистки протокола AVZ?
    Такой команды не существует, я ее добавил в 4.34

  13. #332
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.10.2008
    Сообщений
    79
    Вес репутации
    105
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Такой команды не существует, я ее добавил в 4.34
    скорый выход 4.34 детектед ?

  14. #333
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2009
    Сообщений
    16
    Вес репутации
    72
    Зайцев Олег,
    Ожидаемый AVZ будет полиморфным?

  15. #334
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3418
    Цитата Сообщение от Arakcheev Посмотреть сообщение
    Зайцев Олег,
    Ожидаемый AVZ будет полиморфным?
    Нет. Какой толк от полиморфной версии, статически лежащей на сайте ? Как и сейчас, полиморфная сборка будет генерироваться отдельно (в нее интегрируюся базы и т.п.)

  16. #335
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    536
    Иногда не удается запустить AVZ и другие утилитки. Особенно обидно, когда зверек внедряется примитивно, через AppInit_DLLs . Приходится грузиться с PE.
    Или задействовать драйвер BC от AVZ, не используя сам AVZ.
    Утилитка, которая устанавливает и настраивает драйвер, не импортирует функции из user32.dll. По этой причине AppInit_DLLs ей по барабану. Конфигурируется через ini-файл (должен лежать в той же папке, название менять нельзя). Саму утилиту можно переименовывать, не меняя длины имени.
    http://slil.ru/28543818
    Сам файл драйвера не выкладываю из легальных соображений. Пример конфига в комплекте. Реализованы копирование, удаление фала, удаление и отключение сервиса. Если параметр StartNow установить в YES, драйвер запустится, попытается выполнить задания и удалится. Не факт, что сразу удалится из базы. Поэтому, при повторном запуске лучше назначить другое имя (секция [OPTIONS], параметр ServiceName).

  17. #336
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    815
    Цитата Сообщение от antanta Посмотреть сообщение
    Сам файл драйвера не выкладываю из легальных соображений.
    Драйвер чего? BC от AVZ? Дык а какие на него "легальные соображения"?

  18. #337
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    536
    Цитата Сообщение от gjf Посмотреть сообщение
    Драйвер чего? BC от AVZ? Дык а какие на него "легальные соображения"?
    Мало ли
    Без разрешения неудобно. К тому же, раздобыть его не сложно. Если кто не умеет, то ему оно и не надо

  19. #338
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    815
    Ну да, тоже верно

    Добавлено через 8 часов 28 минут

    antanta, немного в офф, но в принципе о сабжевом дрове речь...
    Касательно Вашей утилиты. Непонятно - регистрирует ли она драйвер в системе, или он уже должен быть зарегистрирован? Имхо польза была бы в следующем случае.
    1. При запуске утилита проверяет, зарегистрирован ли ВС в системе. Если да - то п.3, если нет - идём дальше.
    2. Копируем файл drv.sys из папки, откуда запущена утилита, под рэндомным именем в %System32%\drivers\ и регистрируем его.
    3. Запускаем основной функционал.

    Исходя из
    DrvFileName=D:\Common\ANTSOFT\AsmSnatcher\xyz.sys
    DrvCopyTo=C:\windows\system32\drivers\vdm3mtq3.sys
    я подозреваю, что так и реализовано. Но непонятен смысл ServiceName - забейти туда рэндом, лучше всё равно ничего не придумать!

    Не понял по поводу StartNow=NO - это значит, что выполнение запланируется при следующей перезагрузке? Но так и должно быть, толку от ВС при уже загруженной системе?
    Последний раз редактировалось gjf; 25.01.2010 в 23:00. Причина: Добавлено

  20. #339
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3418
    Цитата Сообщение от gjf Посмотреть сообщение
    Имхо польза была бы в следующем случае.
    После этого зловредописателям остается только воспользвоаться готовым инструментом, например для уничтожения антивирусов ... а мы потом будем сильно удиваляться, почему драйвер BC детектят все, кому не лень ...

  21. #340
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    815
    Олег, AVZ детектят уже давно. И полиморф тоже. И благополучно прибивают. Это если о детекте со стороны малвари. Я сомневаюсь, что зловредописатели, научившиеся его детектить, до сих пор не обращали внимания на ВС. И если человек сделал что-то с добрым умыслом - это только хорошо.

    Если речь о детекте со стороны антивирусов - мы их в правилах просим отключать при начале сканирования. Да и в любом случае при паранойе можно и по результатам хипса заподозрить. Кстати, мы и сейчас небезгрешны.

    P.S. На моей памяти когда-то уже были логи, где зловред пользовался компонентом AVZ, или я что-то путаю?

Страница 17 из 33 Первая ... 713141516171819202127 ... Последняя

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00257 seconds with 15 queries