AVZ 4.32

**antanta** · 26.01.2010, 10:39

регистрирует ли она драйвер в системе, или он уже должен быть зарегистрирован?

Регистрирует. Я почему-то думал, что драйвер полностью удаляется после применения. Следовательно, не предполагал, что он мог быть уже зарегистрирован. Делать такие проверки , конечно, нужно (с точки зрения "культуры производства"), но ... В данном случае - излишне.

2. Копируем файл drv.sys из папки, откуда запущена утилита, под рэндомным именем в %System32%\drivers\ и регистрируем его.

Мне не лень создать свое рандомное имя. Думаю, этого имени хватит на весь жизненный цикл утилиты. А кодить рандом было лень.
Тогда уж и отображаемое имя рандомизировать надо бы. Как его еще по этому имени не прибивают до сих пор? Не говоря об именах параметров.

Но непонятен смысл ServiceName - забейти туда рэндом, лучше всё равно ничего не придумать!

С этим -то же.

Не понял по поводу StartNow=NO - это значит, что выполнение запланируется при следующей перезагрузке? Но так и должно быть, толку от ВС при уже загруженной системе?

Думаю, удалить ключ реестра можно и при загруженной системе. например AppInits тот же. Сейчас как раз добавляю туда новый функционал, вот там смысл будет точно очевиден.
И вообще, даже без перезагрузки BC может кое-что.
По поводу злодейского применения: у меня KIS сто раз переспросил, точно ли я собираюсь себе вируса в систему установить

Если какая-то поделка не сможет распознать установку драйвера, то поделку в топку. Если юзер согласится, то это уже психиатрия (как здесь любят говорить).
И вообще, пусть народ знает, чьё кунфу сильнее. Реклама не повредит.

После этого зловредописателям остается только воспользвоаться готовым инструментом, например для уничтожения антивирусов

Я уже показывал сэмпл, который совершает нехорошие поступки. Там использовался AVZ целиком. В этом случае возможностей куда больше.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**gjf** · 26.01.2010, 10:51

antanta, короче всё, вопрос снимается. Дальше спрашивать лень

Олег, Вы были правы - примите мои извинения.

**Alex_Goodwin** · 26.01.2010, 11:37

вспомните бигль

**antanta** · 26.01.2010, 12:26

На нашем местном форуме выпилили исходник процедуры на паскале. Студэнт один попросил. Процедура для рекурсивного удаления файла по маске.
Считаете вредным - удаляйте пост. Делов то.

Alex_Goodwin, Бигль юзал AVZ?

**Гриша** · 26.01.2010, 12:35

Сообщение от antanta

Бигль юзал AVZ?

Да, драйвер, у него защита от повторной загрузки=> настоящий AVZ не мог грузить дров...

**Alex_Goodwin** · 26.01.2010, 12:54

+ других аверов быренько дровом авз килял

**Зайцев Олег** · 26.01.2010, 17:02

В AVZ новая эвристическая фича - появится после обновления, базы уже заряжены на сервера апдейта. Суть фичи в том, что Киберхелпер накопил массу наблюдений за реальными делами и обучился до уровня, позволяющего машине писать скрипты и обновлять базы эвристики AVZ. Первый опыт - новая эвристика, основанная на поиске наиболее характерных зверей, часто обнаруживаемых в логах и карантинах. Пока в опытном режиме, запись в логе в случае срабатывания имеет вид:

Код:

>>> C:\WINDOWS\system32\_svchost.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

Суффикс (CH) расшифровывается как CyberHelper ... что позволяет отличать детект по правилам, созданным машиной, от правил детекта, добавленных человеком. Если стоит птичка "Копировать подозрительные в карантин" - то такие файлы автокарантинятся (но естественно не удаляются и ничего с ними не делается). Новая фича автоматом срабатывает при сканировании по умолчанию, а также работает в скриптах 2,3,4 - применяемых для исследования системы. Если приживется и не вызовет проблем - то такой функционал будет расширен на порядки.

**antanta** · 26.01.2010, 19:03

Сообщение от Alex_Goodwin

+ других аверов быренько дровом авз килял

Я догадывался, что идея юзать этот дров могла прийти не только в мою голову. Сам я еще полгода назад использовал втихаря драйверок как альтернативу дампингу файлов реестра (через виндовый reg.exe и API). Кстати, гуглил даже на эту тему. Не выгуглил, удивился.
Оказалось, - секрет полишинеля.
И вообще, к сведению некоторых, количество людей, умеющих писать ядреные драйвера немного превышает единицу.
Хотел отправить ссылку на wasm.ru в раздел "юмор", но , после пары адекватных постов передумал.
Ой. Мой комп голосом движка "Алена" сообщил, что я засиделся на ВИ. И пора мне топать на msdn. Боюсь, она права

Тожа - киберхелпер

**PavelA** · 26.01.2010, 21:38

Сообщение от antanta

Ой. Мой комп голосом движка "Алена" сообщил, что я засиделся на ВИ. И пора мне топать на msdn. Боюсь, она права Тожа - киберхелпер

Офф: Последние слова плохо понял. Не надо женских имен.

**PavelA** · 28.01.2010, 14:48

списочек маршрутов для 20-ой команды восстановления.

77.246.96.96 255.255.255.224 10.16.64.1 10.16.82.28 1
78.47.87.0 255.255.255.0 10.16.64.0 10.16.82.28 1
78.108.86.0 255.255.255.0 10.16.64.0 10.16.82.28 1
78.137.164.0 255.255.255.0 10.16.64.0 10.16.82.28 1
79.125.5.0 255.255.255.0 10.16.64.0 10.16.82.28 1
80.86.107.0 255.255.255.0 10.16.64.0 10.16.82.28 1
80.153.193.0 255.255.255.0 10.16.64.0 10.16.82.28 1
80.190.130.0 255.255.255.0 10.16.64.0 10.16.82.28 1
80.190.154.0 255.255.255.0 10.16.64.0 10.16.82.28 1
80.237.132.0 255.255.255.0 10.16.64.0 10.16.82.28 1
81.24.35.0 255.255.255.0 10.16.64.0 10.16.82.28 1
81.176.66.0 255.255.255.0 10.16.64.0 10.16.82.28 1
82.98.86.0 255.255.255.0 10.16.64.0 10.16.82.28 1
82.117.238.0 255.255.255.0 10.16.64.0 10.16.82.28 1
82.151.107.0 255.255.255.0 10.16.64.0 10.16.82.28 1
82.165.103.0 255.255.255.0 10.16.64.0 10.16.82.28 1
83.202.175.0 255.255.255.0 10.16.64.0 10.16.82.28 1
83.222.23.0 255.255.255.0 10.16.64.0 10.16.82.28 1
83.222.31.0 255.255.255.0 10.16.64.0 10.16.82.28 1
83.223.117.0 255.255.255.0 10.16.64.0 10.16.82.28 1
84.40.30.0 255.255.255.0 10.16.64.0 10.16.82.28 1
85.17.210.0 255.255.255.0 10.16.64.0 10.16.82.28 1
85.31.222.0 255.255.255.0 10.16.64.0 10.16.82.28 1
85.214.106.0 255.255.255.0 10.16.64.0 10.16.82.28 1
85.255.19.0 255.255.255.0 10.16.64.0 10.16.82.28 1
87.106.242.0 255.255.255.0 10.16.64.0 10.16.82.28 1
87.106.254.0 255.255.255.0 10.16.64.0 10.16.82.28 1
87.230.79.0 255.255.255.0 10.16.64.0 10.16.82.28 1
87.238.48.0 255.255.255.0 10.16.64.0 10.16.82.28 1
87.242.74.0 255.255.255.0 10.16.64.0 10.16.82.28 1
87.242.79.0 255.255.255.0 10.16.64.0 10.16.82.28 1
88.221.119.0 255.255.255.0 10.16.64.0 10.16.82.28 1
89.111.176.0 255.255.255.0 10.16.64.0 10.16.82.28 1
89.202.149.0 255.255.255.0 10.16.64.0 10.16.82.28 1
89.202.157.0 255.255.255.0 10.16.64.0 10.16.82.28 1
90.156.159.0 255.255.255.0 10.16.64.0 10.16.82.28 1
90.183.101.0 255.255.255.0 10.16.64.0 10.16.82.28 1
91.121.97.0 255.255.255.0 10.16.64.0 10.16.82.28 1
91.199.212.0 255.255.255.0 10.16.64.0 10.16.82.28 1
91.209.196.0 255.255.255.0 10.16.64.0 10.16.82.28 1
92.53.106.0 255.255.255.0 10.16.64.0 10.16.82.28 1
92.123.155.0 255.255.255.0 10.16.64.0 10.16.82.28 1
93.184.71.0 255.255.255.0 10.16.64.0 10.16.82.28 1
94.23.206.0 255.255.255.0 10.16.64.0 10.16.82.28 1
94.236.0.0 255.255.255.0 10.16.64.0 10.16.82.28 1
95.140.225.0 255.255.255.0 10.16.64.0 10.16.82.28 1
95.220.128.0 255.255.128.0 10.16.64.1 10.16.82.28 1
95.221.64.0 255.255.192.0 10.16.64.1 10.16.82.28 1
95.221.128.0 255.255.128.0 10.16.64.1 10.16.82.28 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.111.48.0 255.255.255.0 10.16.64.0 10.16.82.28 1
128.130.56.0 255.255.255.0 10.16.64.0 10.16.82.28 1
128.130.60.0 255.255.255.0 10.16.64.0 10.16.82.28 1
139.91.222.0 255.255.255.0 10.16.64.0 10.16.82.28 1
141.202.248.0 255.255.255.0 10.16.64.0 10.16.82.28 1
149.101.225.0 255.255.255.0 10.16.64.0 10.16.82.28 1
150.70.93.0 255.255.255.0 10.16.64.0 10.16.82.28 1
155.35.248.0 255.255.255.0 10.16.64.0 10.16.82.28 1
162.40.10.0 255.255.255.0 10.16.64.0 10.16.82.28 1
165.160.15.0 255.255.255.0 10.16.64.0 10.16.82.28 1
166.70.98.0 255.255.255.0 10.16.64.0 10.16.82.28 1
188.93.8.0 255.255.255.0 10.16.64.0 10.16.82.28 1
192.150.94.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.0.6.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.1.193.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.17.85.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.24.237.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.66.251.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.69.114.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.71.68.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.110.109.0 255.255.255.0 10.16.64.0 10.16.82.28 1
193.193.194.0 255.255.255.0 10.16.64.0 10.16.82.28 1
194.0.200.0 255.255.255.0 10.16.64.0 10.16.82.28 1
194.33.180.0 255.255.255.0 10.16.64.0 10.16.82.28 1
194.109.142.0 255.255.255.0 10.16.64.0 10.16.82.28 1
194.112.106.0 255.255.255.0 10.16.64.0 10.16.82.28 1
194.206.126.0 255.255.255.0 10.16.64.0 10.16.82.28 1
195.2.240.0 255.255.255.0 10.16.64.0 10.16.82.28 1
195.55.72.0 255.255.255.0 10.16.64.0 10.16.82.28 1
195.64.225.0 255.255.255.0 10.16.64.0 10.16.82.28 1
195.70.37.0 255.255.255.0 10.16.64.0 10.16.82.28 1
195.137.160.0 255.255.255.0 10.16.64.0 10.16.82.28 1
195.146.235.0 255.255.255.0 10.16.64.0 10.16.82.28 1
195.210.42.0 255.255.255.0 10.16.64.0 10.16.82.28 1
198.6.49.0 255.255.255.0 10.16.64.0 10.16.82.28 1
199.203.243.0 255.255.255.0 10.16.64.0 10.16.82.28 1
203.160.188.0 255.255.255.0 10.16.64.0 10.16.82.28 1
204.14.90.0 255.255.255.0 10.16.64.0 10.16.82.28 1
205.178.145.0 255.255.255.0 10.16.64.0 10.16.82.28 1
205.227.136.0 255.255.255.0 10.16.64.0 10.16.82.28 1
207.44.154.0 255.255.255.0 10.16.64.0 10.16.82.28 1
207.46.18.0 255.255.255.0 10.16.64.0 10.16.82.28 1
207.46.20.0 255.255.255.0 10.16.64.0 10.16.82.28 1
207.46.232.0 255.255.255.0 10.16.64.0 10.16.82.28 1
207.66.0.0 255.255.255.0 10.16.64.0 10.16.82.28 1
208.79.250.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.51.167.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.62.68.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.62.112.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.87.209.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.124.55.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.157.69.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.160.22.0 255.255.255.0 10.16.64.0 10.16.82.28 1
209.216.46.0 255.255.255.0 10.16.64.0 10.16.82.28 1
212.1.224.0 255.255.254.0 10.16.64.1 10.16.82.28 1
212.1.226.0 255.255.255.0 10.16.64.1 10.16.82.28 1
212.8.79.0 255.255.255.0 10.16.64.0 10.16.82.28 1
212.47.219.0 255.255.255.0 10.16.64.0 10.16.82.28 1
212.67.88.0 255.255.255.0 10.16.64.0 10.16.82.28 1
212.72.62.0 255.255.255.0 10.16.64.0 10.16.82.28 1
213.31.172.0 255.255.255.0 10.16.64.0 10.16.82.28 1
213.133.34.0 255.255.255.0 10.16.64.0 10.16.82.28 1
213.141.144.165 255.255.255.255 127.0.0.1 127.0.0.1 50
213.141.144.255 255.255.255.255 213.141.144.165 213.141.144.165 50
213.171.218.0 255.255.255.0 10.16.64.0 10.16.82.28 1
213.198.89.0 255.255.255.0 10.16.64.0 10.16.82.28 1
213.220.100.0 255.255.255.0 10.16.64.0 10.16.82.28 1
216.10.192.0 255.255.255.0 10.16.64.0 10.16.82.28 1
216.12.145.0 255.255.255.0 10.16.64.0 10.16.82.28 1
216.49.94.0 255.255.255.0 10.16.64.0 10.16.82.28 1
216.55.183.0 255.255.255.0 10.16.64.0 10.16.82.28 1
216.99.133.0 255.255.255.0 10.16.64.0 10.16.82.28 1
216.239.122.0 255.255.255.0 10.16.64.0 10.16.82.28 1
217.16.16.0 255.255.255.0 10.16.64.0 10.16.82.28 1
217.106.234.0 255.255.255.0 10.16.64.0 10.16.82.28 1
217.170.21.0 255.255.255.0 10.16.64.0 10.16.82.28 1
217.174.103.0 255.255.255.0 10.16.64.0 10.16.82.28 1
224.0.0.0 240.0.0.0 10.16.82.28 10.16.82.28 20
255.255.255.255 255.255.255.255 10.16.82.28 10.16.82.28 1
255.255.255.255 255.255.255.255 213.141.144.165 213.141.144.165 1

**Юльча** · 28.01.2010, 15:22

PavelA, говорят что не надо )

Сообщение от Зайцев Олег

Оно не связано никак

Маршруты зверя являются левыми маршрутами на сети класса "C" - а там 253 адреса. В этот маршрут может попадать всего 1-2 IP серверов антивирусов, а может и вообще ни одного - так как IP у серверов меняются ... а остальные 200 с копейками блокируются "за компанию", или не блокируются - может, у пользователя такой маршрут специально задан и без него ничего работать не будет (пример - маршруты на сервера провайдеров). И возникает задача - точно понять, какие маршруты однозначно левые и их можно прибить (или поднять аларм), а какие могут быть и полезными ... - задача неоднозначная. Блокируемых имен из Hosts у меня немного больше, чем в архиве - всего 1.86 миллиона штук

Да вот только толку то от них ...

**PavelA** · 28.01.2010, 15:30

PavelA, говорят что не надо )
-- Мне это просто в "Помогите!" прислали.

**AndreyKa** · 28.01.2010, 21:51

AVZ в упор не видит

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\kolbi43\LOCALS~1\Temp\der252.tmp

http://virusinfo.info/showthread.php?t=69013

**Alvares** · 29.01.2010, 15:14

Сорри за оффтоп, не знаю, где еще обратить внимание.
Выслал архивчик на киберхелпера с заведомо известной дрянью. Он занес их в базу безопасных.
http://virusinfo.info/showpost.php?p...postcount=5521
http://virusinfo.info/showpost.php?p...postcount=5522

**Зайцев Олег** · 29.01.2010, 16:02

Сообщение от Alvares

Сорри за оффтоп, не знаю, где еще обратить внимание.
Выслал архивчик на киберхелпера с заведомо известной дрянью. Он занес их в базу безопасных.
http://virusinfo.info/showpost.php?p...postcount=5521
http://virusinfo.info/showpost.php?p...postcount=5522

Кибер - это штука умная, хоть и безмозглая ... и никого никуда просто так машина не внесет. Карантин этот получен 29.01.2010 в 12:53:20, в логе зверинец, но звери новые и на момент изучения не детектировались толком никем (из всего набора только один inf имел детект), а копирайты файлов при этом очень похожи на Nero AG. Вот поэтому машиной принято решение дать им высокий приоритет изучения на предмет установления, Nero это или как. В результате в 29.01.2010 в 14:48:40 был установлен вердикт, что это не Nero, а зверь, получивший имя Trojan-Ransom.Win32.Chameleon.bq (прчичем зверь с копирайтами, выдранными из Nero). А отчет так выглядит потому, что это же ИИ (Искусственный Интеллект) - потому первичный отчет дается по объективным данным (детекту антивирей и анализу приоритетов на момент получения архива), а затем начинается длительное и детальное думанье с целью уточнения, проверки, перепроверки, изучения, автоанализа, привлечения вирлаба если надо и т.п.

**Oyster** · 30.01.2010, 07:44

Сообщение от Зайцев Олег

первичный отчет дается по объективным данным (детекту антивирей и анализу приоритетов на момент получения архива), а затем начинается длительное и детальное думанье с целью уточнения, проверки, перепроверки, изучения, автоанализа, привлечения вирлаба если надо и т.п.

Может, для большей ясности изменить формулировку первичного ответа с "В очереди на добавление в базу безопасных" на "В очереди на тщательный анализ" или "В очереди на дополнительный анализ"?

**vistaorxpmoy** · 30.01.2010, 09:42

вчера "чистил" компьютер с ХР, от очередного "рециклера" вот кусок лога:
Файл успешно помещен в карантин (C:\RECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe)
>>>Для удаления файла C:\RECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_USERS,S-1-5-21-789336058-920026266-839522115-1005\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell,explorer.exe,C:\R ECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe,Explorer.exe
[микропрограмма лечения]> Удален элемент автозапуска HKEY_USERS,S-1-5-21-789336058-920026266-839522115-1005\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell,explorer.exe,C:\R ECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe,Explorer.exe
----
после перезагрузки сам запустился проводник, поэтому я стал искать дальше и выяснил, что Авз не почистил строчку
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe,C:\\RECYCLER\\S-1-5-21-0994575935-3821309207-303045598-0772\\nissan.exe,Explorer.exe"
Авз был запущен от имени Администратора, однако загружен был Пользователь.(не был почищен HCU Пользователя)
В самом начале(ещё до лечения) в диспетчере Автозапуска АВЗ я не увидел чёрных строчек соответствующих приведённым здесь записям.

Добавлено через 8 минут

Я, конечно, ДИЛЕТАНТ, но похоже на новую дыру в системе безопасности ХР, аналогичную периоду распостранения Кидо

Добавлено через 4 минуты

Ниссан кстати новый, модельный ряд 2010 года, так сказать)))

**Зайцев Олег** · 30.01.2010, 11:04

Сообщение от vistaorxpmoy

Я, конечно, ДИЛЕТАНТ, но похоже на новую дыру в системе безопасности ХР, аналогичную периоду распостранения Кидо

AVZ в логе сканирования покажет красным, что подменен ключ запуска explorer и мастером поиска и устранения проблем это устранит. Плюс к тому, я сделал данную проверку в эвристической чистке системы - сегодня выйдет апдейт баз с ним

**vistaorxpmoy** · 30.01.2010, 12:26

Сообщение от Зайцев Олег

AVZ в логе сканирования покажет красным, что подменен ключ запуска explorer и мастером поиска и устранения проблем это устранит. Плюс к тому, я сделал данную проверку в эвристической чистке системы - сегодня выйдет апдейт баз с ним

1.Да, я видел красные строчки, но только для HKLM, или HCU Администратора, когда загружена учётка админа, НО, к сожалению, не запускаю я на компьютерах учётку админа,(ну или к счастью),
и следовательно Авз запускаю "от имени" админа под учёткой пользователя, ну и авз не видит HCU загруженной учётки Пользователя.(я в принципе понимаю почему не видит) А ХОТЕЛОСЬ чтобы видел

(Мой монолог про ХР)
СПС за ответ

**mikeiwsh** · 31.01.2010, 08:36

Сообщение от Инмар

Олег, спасибо за замечательную программу.

Жаль, что на Win 7 она вылетает после окончания обычной проверки, хотя остальные функции работают нормально. Это как-то решаемо или проблема только у меня?

«скрин#1» на Яндекс.Фотках

Скорее всего это у многих проблема с АВЗ в Вин7
http://forum.izcity.com/index.php/to...67228.html#new

AVZ 4.32

Опции темы

Новый функционал

Метки для этой темы

Ваши права в разделе