-
Сообщение от
rav
А откуда ты знаешь, что под этим перехватом нет вредоносного? Там же всё цепочкой идёт...
А какое отношение имеет цветовая индикация файла модуля-перехватчика к той цепочке, что, возможно, выстроилась после его загруженной копии? Более того, каким бы цветом это в логе ни отражалось, пользователь все равно никак не узнает (и AVZ ему этого никак не подскажет), единственный это модуль в цепочке или нет. Именно по этой причине я предлагаю делать индикацию для конкретного файлового объекта (так же, как это сделано в остальных модулях AVZ), а не для отражения того
факта, что "где-то там, возможно, что-то может быть еще" (как это реализовано сейчас).
PS. Небольшое добавление: в настоящий момент в окне Списка процессов исполнимый файл процесса отображается зеленым цветом даже в том случае, когда какие-то компоненты процесса (DLL, к примеру) не являются безопасными. Как и в вышеописанном случае, возникает вопрос: "А нужно ли отображать такой процесс зеленым (безопасным) цветом, если внутри него может быть черт-те что?". Олег сейчас "решает" этот вопрос с точки зрения "безопасности" файла процесса, а не всего процесса в целом, т.е. если файл - в списке "безопасных", то и процесс - "безопасный" (а многие ли смотрят на компоненты процесса?). Мое предложение сродни этому: перехват надо рассматривать именно с точки зрения "безопасности" конкретного файла-перехватчика, а не самого факта перехвата. Это еще логичнее и по той причине, что, строго говоря, загруженный в память компьютера модуль и его файловая копия (по которой проверяется в AVZ "безопасность") - суть разные вещи.
Последний раз редактировалось aintrust; 22.06.2007 в 16:36.
Причина: PS...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
PS. Небольшое добавление: в настоящий момент в окне Списка процессов исполнимый файл процесса отображается зеленым цветом даже в том случае, когда какие-то компоненты процесса (DLL, к примеру) не являются безопасными. Как и в вышеописанном случае, возникает вопрос: "А нужно ли отображать такой процесс зеленым (безопасным) цветом, если внутри него может быть черт-те что?".
Все правильно. Менять ни чего не нужно. Вспомните историю с Winlogon. Как узнать что он патчен, если будет так как Вы предлагаете?
-
-
Сообщение от
MaXim
Все правильно. Менять ни чего не нужно. Вспомните историю с Winlogon.
Я, к сожалению, не знаю этой истории, поэтому прошу пояснить, как именно соотносится winlogon с тем, что я предлагаю.
Сообщение от
MaXim
Как узнать что он патчен, если будет так как Вы предлагаете?
Если модуль пропатчен малверной программой на диске, то AVZ вряд ли покажет его где-то зеленым цветом (не совпадут контрольные суммы). Если же пропатчен образ "безопасного" модуля в памяти, и при этом сам файл модуля на диске останется нетронутым, то в большинстве случаев вы вряд ли вообще об этом узнаете без специальных инструментов.
PS. Справедливости ради надо отметить, что AVZ содержит некий встроенный механизм "сравнения" некоторых областей небольшой группы файлов модулей ядра - однако в целом это слабо меняет общую картину...
PPS. Я смотрю, время на сервере отстает минут на 7-8...
Последний раз редактировалось aintrust; 22.06.2007 в 21:21.
Причина: PS...
-
-
Я, к сожалению, не знаю этой истории, поэтому прошу пояснить, как именно соотносится winlogon с тем, что я предлагаю.
Если Winlogon зеленый, значит он нормальный, если нет, значит патчен. Если будет так как Вы говорите (dll нет в базе безопасных то и файл не выделять как безопасный), хелперы будут думать что файл патчен... То же самое касается IE...
-
-
Сообщение от
MaXim
Если будет так как Вы говорите (dll нет в базе безопасных то и файл не выделять как безопасный)
Нет-нет, я и не предлагал перекрашивать строку с файлом "безопасного" процесса - я лишь показал, что в такой раскраске кроется небольшой подвох, на который "покупаются" многие пользователи. Реальная же суть моего предложения совсем в другом, и касается оно перехватов в таблице SSDT, цитирую себя же:
по этой причине я предлагаю делать индикацию для конкретного файлового объекта (так же, как это сделано в остальных модулях AVZ), а не для отражения того
факта, что "где-то там, возможно, что-то может быть еще" (как это реализовано сейчас).
И еще:
Мое предложение сродни этому: перехват надо рассматривать именно с точки зрения "безопасности" конкретного файла-перехватчика, а не самого факта перехвата. Это еще логичнее и по той причине, что, строго говоря, загруженный в память компьютера модуль и его файловая копия (по которой проверяется в AVZ "безопасность") - суть разные вещи.
-
-
Junior Member
- Вес репутации
- 67
AVZ 4.25
Internet Security 6.02.614 обнаруживает в почтовой базе Thebat (message.tbb),находящейся в отдельном архиве следующие вирусы:
Email-Worm.Win32.Eyeveg.f
Net-Worm.Win32.Mytob.bd
Email-Worm.Win32.Monikey.a
Email-Worm.Win32.Warezov.hb
Email-Worm.Win32.Warezov.jq
Email-Worm.Win32.Warezov.kr
Запускаем avz версия 4.25 от17.04.2007, по отчету-опасных объектов
не обнаружено.
Вопрос:
1) почему avz не видит эти вирусы, может дело в настройках?
2) можно ли обнаружить вирусы в базах tbb при помощи avz ?
3) можно ли лечить зараженные файлы при помощи avz ?
-
К сожалению, KIS не умеет лечить базы TheBat!.
1.Что можно делать?
В протоколе KIS найте те письма, в которых он находит вирусы. Удалить эти письма и сжать базу писем TheBat.
Проверить повторно базу писем TheBat (директория TheBat\Mail\имя_пользователя.
2.AVZ в этом случае помочь вряд ли сможет. Он сможет помочь, если вдруг не дай бог, эти письма открывались и скачивались на диск.
3. Описано в п.1
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
К сожалению, KIS не умеет лечить базы TheBat!.
1.Что можно делать?
В протоколе KIS найте те письма, в которых он находит вирусы. Удалить эти письма и сжать базу писем TheBat.
Проверить повторно базу писем TheBat (директория TheBat\Mail\имя_пользователя.
2.AVZ в этом случае помочь вряд ли сможет. Он сможет помочь, если вдруг не дай бог, эти письма открывались и скачивались на диск.
3. Описано в п.1
AVZ умеет лечить базы TheBat. Для этого нужно подключить к мышу плагин AVZ, после чего выбрать в меню "Папка/Проверить на наличие вирусов", отметить там нужные папки и запуститиь проверку. Все письма с Malware будут перемещены в папку "Каринтин" - ее несложно просмотреть и очестить. В KIS насколько я помню есть аналогичный плагин - соответственно его можно подключить и пролечиться аналогично.
-
-
Сообщение от
Maxim
Если Winlogon зеленый, значит он нормальный, если нет, значит патчен. Если будет так как Вы говорите (dll нет в базе безопасных то и файл не выделять как безопасный), хелперы будут думать что файл патчен... То же самое касается IE...
aintrust примерно год назад написал "зловреда", который отображался в логе зеленым - демонстрируя тот факт, что объект в памяти и файл на диске - несколько разные вещи. Размышляя над ситуацией я написал еще четыре семпла (основанные на других принципах), которые тоже были "зелеными" в логе, хотя и не присутствовали в базе безопасных. Кроме того, как отмечал выше rav, перехваты KiST бывают каскадными (т.е. функцию перехватил зловред, а затем - скажем антивирус). Мы будет видеть последний из перехватов в цепочке - эта проблема тянется еще с 90-х годов, когда руткиты перехватывали прерывания. Именно поэтому речь идет именно о подсветке опознанного файла (т.е. как я понимаю всю строку о перехвате черным, данные о легитимном драйвере - зеленым).
-
-
Сообщение от
Зайцев Олег
AVZ умеет лечить базы TheBat. Для этого нужно подключить к мышу плагин AVZ, после чего выбрать в меню "Папка/Проверить на наличие вирусов", отметить там нужные папки и запуститиь проверку. Все письма с Malware будут перемещены в папку "Каринтин" - ее несложно просмотреть и очестить. В KIS насколько я помню есть аналогичный плагин - соответственно его можно подключить и пролечиться аналогично.
Возможно, я отстал от жизни. 
или вирусы до меня не долетают.
Года два назад KAV не KIS не мог бороться с базами "мыши".
Плагина АВЗ тогда по-моему не было.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Зато плагин KAV точно был.
-
-
Если ещё не поздно просить фичу, тогда принимайте заказ 
Хочется простенький сканер файла. Как сейчас сделано "проверить файл по базе безопасных", сделать ещё "проверить файл по сигнатурам". Иногда бывает нужно проверить файл с помощью средств AVZ, чтобы не посылать Вам лишний раз мусор.
-
-
Junior Member
- Вес репутации
- 67
После выполнения "Удаления всех Policies для текущего пользователя" раздела "Востановление настроек системы" перестала работать сеть, точнее я немогу подключиться к удалённым Socks, Pop, Http и прочим портам, а файлы на соседних компах вижу без проблем...
Система WinXP pro x64
Как быть?
-
Сообщение от
SoV
После выполнения "Удаления всех Policies для текущего пользователя" раздела "Востановление настроек системы" перестала работать сеть, точнее я немогу подключиться к удалённым Socks, Pop, Http и прочим портам, а файлы на соседних компах вижу без проблем...
Система WinXP pro x64
Как быть?
пункты 5,8 отметить в разделе AVZ( восстановления системы ) , выполнить и перегрузиться.
-
-
Junior Member
- Вес репутации
- 67
Сообщение от
drongo
пункты 5,8 отметить в разделе AVZ( восстановления системы ) , выполнить и перегрузиться.
не помогло
так же не помогают пункты 14 и 15
причём на 32-х битных системах такой проблемы нет ВООБЩЕ!
как вернуть то, что было затёрто при исполнении пункта 6 ?
Что можно сделать? ГОРЮ!
-
можно также сюда :http://www.z-oleg.com/secur/avz/report.php
А зачем собственно нажимали ? Проверяли что будет ? Подождём ответ Олега. Сделайте пока логи по правилам, чтобы посмотреть что имеем.
-
-
Junior Member
- Вес репутации
- 67
Сообщение от
drongo
А зачем собственно нажимали ? Проверяли что будет ? Подождём ответ Олега. Сделайте пока логи по правилам, чтобы посмотреть что имеем.
Нажимал для того, чтобы вернуть пункт "Свойства папки" и возможность редактирования реестра, после действий вируса... всё вышеописаное вернулось, а вот сеть "ушла"
Подскажи, Где можно прочесть правила создания логов???
-
Сообщение от
SoV
Где можно прочесть правила создания логов???
http://virusinfo.info/showthread.php?t=1235
новую тему открой в разделе Помогите , как указано.
-
-
Сообщение от
Maxim
Если ещё не поздно просить фичу, тогда принимайте заказ
Хочется простенький сканер файла. Как сейчас сделано "проверить файл по базе безопасных", сделать ещё "проверить файл по сигнатурам". Иногда бывает нужно проверить файл с помощью средств AVZ, чтобы не посылать Вам лишний раз мусор.
Это как - не совсем понял ?
-
-
Сообщение от
SoV
не помогло
так же не помогают пункты 14 и 15
причём на 32-х битных системах такой проблемы нет ВООБЩЕ!
как вернуть то, что было затёрто при исполнении пункта 6 ?
Что можно сделать? ГОРЮ!
Удаление Policies на сеть не влияет. А вот хаотичное запускание других скриптов и опций + деятельность недобитых зловредов - еще как повлияет 
-
