djshkiper,
все равно понадобятся.Сообщение от djshkiper
Пока окно вымогателя развернуто на весь экран и перекрывает остальные окна - нет возможности что-то запустить.
А значит и новая версия должна сначала как-то попасть в зараженную систему и быть запущена.
The worst foe lies within the self...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Kuzz
Я немного о другом. О том, чтобы те вирусы, с которыми таким образом я совладаю, определялись антивирусами пользователей в последствии, тем самым предотвращая сам факт заражения и воспроизведение описанных мною мучений
Добавлено через 2 часа 6 минут
Создал только что LiveCD с AVZ. Не работает менеджер автозапуска - ошибка USER32.dll. Также было бы неплохо узнать о драйверах и службах неактивной системы. Как лучше поступить в таком случае? С помощью чего узнать подобную информацию или как модифицировать/дополнить диск чтобы это стало возможно?
Последний раз редактировалось djshkiper; 18.02.2010 в 16:06. Причина: Добавлено
Вот:
http://virusinfo.info/showpost.php?p=587302&postcount=2
, вроде проверка ничего особенного не обнаружила.
Завтра выйду на работу, посмотрю присланный вами дамп и попробую понять, по какой причине может возникать указанная вами проблема. Будьте готовы к небольшим экспериментам с ПО, установленным у вас на компьютере! =)
Тем не менее, вы можете совершенно спокойно продолжать использовать AVZ, просто не загружая драйвер мониторинга, т.к. необходимость в загрузке этого драйвера на практике возникает крайне редко.
Есть два полиморфа: этот и этот. Первый - самый новый, обновляю регулярно. Второй - спецверсия, использовать только в случаях, если не удаётся запустить первый.
djshkiper, а вот это зря: всё равно не угонитесь, потому как новые версии методом репака сделать очень просто. Наиболее быстро и удобно - ввести код, снести мешающее окно - потом обязательно зачистить хвосты через AVZ и, при необходимости, другие утилиты.
Дамп я посмотрел, место падения в драйвере довольно интересное, я бы даже сказал "своеобразное". Скажите мне, пожалуйста, вот что: после загрузки драйвера мониторинга у вас все штатно происходило, BSOD'ов не возникало никогда? Попробуйте поработать какое-то время, часик-другой. Попробуйте также остановить мониторинг с выгрузкой драйвера - в этом случае тоже все ОК?
PS. Отпишитесь мне в личку, т.к., полагаю, дальнейшие выяснения вряд ли будут кому-то интересны.
Олег, снова 2 дня подряд не выходят обновления баз AVZ!
Давно такого не замечал.
Я провожу глобальную профилактику моего оборудования - могут быть мелкие нестыковки и сбои. Базы с обновлением за 2 дня обновлены на зеркалах обновления
Олег!
Вот такое AVZ не видит:
Код:O4 - HKLM\..\Run: [NTFS_ext_drv] \\?\globalroot\systemroot\system32\ntfs_ext7.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Еще как видит - я не поленился проверить. Есть тема/семпл, где такое наблюдается ??
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:58:32, on 22.02.2010
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 22.02.2010 17:31:08
Между запусками прошло примерно 30 минут. Я нашел этого зверя по MD5 - он действиетельно создает такой ключ и этот ключ отлично виден в логах. Следовательно, или юзер его сам прибил, или ESET у него на ПК очнулся от спячки и забил зверя. Т.е. ключ в AVZ просто обязан быть виден, и в базе кибера есть почти сотня логов с таким зверем
А вообще нет, поправка - в 4.32 в парсере имени файла есть глюк, который привидит к тому, что запись в менеджере автозапуска есть, но имя там \\ вместо полного ... но проявляется такое только в случае, если зверя уже нет на диске под указанным именем - если зверь есть, то то все работает.
Добавлено через 10 часов 50 минут
Только что вышло очередное обновление AVZ - в него включена обновленная эвристика, которая генерируется по статистике Киберхелпера
Последний раз редактировалось Зайцев Олег; 23.02.2010 в 23:15. Причина: Добавлено
Приветствуем нового участника (ТЕ меня) , всем доброго здравия , вам лично и вашему компьютеру . Вопрос к Олегу Зайцеву . Есть ли в планах дальнейшего усовершенствования AVZ опция , раcширения AVZguard способностью блокировать сетевые соединения ? Подключаемая к базе данных ликвидных программ , с возможностью соединения доверенным программам (например браузеру) ... Так же есть интерес возможности пополнять базы данных доверенных-проверенных; программ вручную , отдельной сингатурой для личного пользования ... Я не в состоянии оценить целесообразность предложения лично , было бы не нужно , не спрашивал бы ... Прошу участников воздержаться от коментариев на тему почему это мне не нужно .. И заранее благодарю Олега за любой ответ , на поставленный вопрос .. Спасибо , без вашей утилиты работать невозможно ... Дальнейших успехов .
Последний раз редактировалось Kubus Jido; 24.02.2010 в 05:59.
Олег, в чем (по мнению КиберХелпера) заключается подозрительность имени "r_server.exe"?
===
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\r_server.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена
А в том, что r_server.exe - очень опасная штука ... и он или поставлен самим пользователем (что для пользователя вообще-то странно), или злодеями
и он или поставлен самим пользователем (что для пользователя вообще-то странно), -- А может это Админ поставил, чтобы рулить машиной?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Если AVZ применяется на ПК пользователя, то там никаких админов нет и radmin на его ПК крайне странен. Если AVZ применяется в корп. сети - то его применяет админ или IT-шник этой сети, а не юзер - а специалист сам ставил этот самый radmin и знает, нужен он на ПК его пользователей или нет ... и сможет оценить этот аларм адекватно
Правильно ли я понимаю, что сообщение
является реакцией на любой файл с именем r_server.exe, находящийся в каталоге %SystemRoot%\system32? =)7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\r_server.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Не обязательно - эвристика очень гибкая. Но если брать именно эту (с пометкой "(CH)") - то да, там идет поиск нескольких тысяч объектов с наиболее популярными именами или CLSID, если объект найден - берутся сигнатуры и сравниваются с известными малварями и чистыми. Если малварь или похоже - идет подозрение именно на малварь, иначе - просто "файл с подозрительным именем" - и в стандартном срипте исследования они попадают в список подозрительных отчета + автокарантинятся, если найдено соответствие с чистыми - то реакция подавляется. микропрограммки такого поиска генерируются автоматически, опираясь на данные о свежем зверье и на результаты лечения. Это упрощает первый шаг анализа, так как получив такой карантин можно или подтвердить "звериность" найденного, или убедиться в том, что r_server.exe является именно RA и задать вопрос пользователю, сам ли он его поставил. Я оцениваю эффективность метода, если он покажет свою полезность - то будет введн на постоянной основе как одна из методик экспресс-эвристики
Последний раз редактировалось Зайцев Олег; 24.02.2010 в 11:25.
Олег, у меня к Вам вопрос: планируете ли Вы перекомпилировать AVZ на x64 платформу? Приблизительно в какое времья можно ожидать полноценную 64-разрядную версию?
Ваши права в разделе
