AVZ 4.30

[drongo]

Ура А то руками эти ключи слишком муторно искать.

[PavelA]

Наконец-то.

Добавлено через 2 минуты

gjf, эХ, поздно пить боржоми(это я про скрипт) .Авз уже снес. А если через каспера его сделать? Про оффтоп понял лезть в этот раздел не буду.

Ежели читаешь.
Мой компьютер - Диспетчер устройств -Показать скрытые файлы.
Там ты увидишь много интересного, и совет по выполнению скрипта очистки от следов AVZ тебе покажется не лишним.

С уважением, твой тезка.

[Kyksis]

Доброе!
Подскажите что это?
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

[DimaT]

Зайцев Олег,
В сети ''гуляет сладкая парочка''
FieryAds и AdSubscribe (классическая adware программа) и куча инструкций как вычистить её.

AVZ 4.30 не определил её.

Kaspersky Virus Removal Tool не дает запустить McAffe.
Помог Malwarebytes' Anti-Malware в паре с Unlocker.

Какие соображения, рекомендации и инструкции по этому поводу есть у тебя?

[Зайцев Олег]

Зайцев Олег,
В сети ''гуляет сладкая парочка''
FieryAds и AdSubscribe (классическая adware программа) и куча инструкций как вычистить её.

AVZ 4.30 не определил её.

Kaspersky Virus Removal Tool не дает запустить McAffe.
Помог Malwarebytes' Anti-Malware в паре с Unlocker.

Какие соображения, рекомендации и инструкции по этому поводу есть у тебя?

Решение тривиально - обратиться в раздел "Помогите" и там все полечат без проблем по логам

[DimaT]

О скрипте

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\...\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\...\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('D:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

читал, но ребята там все время ''модернизируют'' свою ''гадость''...

Добавлено через 2 минуты

Решение тривиально - обратиться в раздел "Помогите" и там все полечат без проблем по логам

Так охота ''своими силами''...

[Зайцев Олег]

О скрипте

читал, но ребята там все время ''модернизируют'' свою ''гадость''...

Так охота ''своими силами''...

Скрипт не совсем корректный, если уже на то дело пошло ... я внес в базы AVZ эвристический детект всех видов этой заразы, сегодня вечером апдейт. Детект будет иметь примерно такой вид в логе:
>>> C:\Documents and Settings\xxxxx\Application Data\AdSubscribe\AdSubscribe.dll ЭПС: подозрение на Adware.AdSubscribe (высокая степень вероятности)

Но так как это детект по косвенным признакам, то автоматом убиваться естественно ничего не будет.

[DimaT]

Но так как это детект по косвенным признакам, то автоматом убиваться естественно ничего не будет.

Всe-таки неплохо было бы иметь и какой-то полуавтоматический путь после обнаружения через AVZ эвристический детект...

Там птичка удалять adware стоит с надеждой на это...

Скрипт не совсем корректный

Уточни мысль...
Я его взял в разделе "Помогите"...

Есть ли что-то по этому поводу в планах у Kaspersky ?

Добавлено через 8 минут

На http://www.spyware-ru.com/udalit-adsubscribe/ программе Avenge подсовывают script:

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\Ad Subscribe

Folders to delete:
%appdata%\FieryAds
%appdata%\AdSubscribe

Добавлено через 2 часа 44 минуты

я внес в базы AVZ эвристический детект всех видов этой заразы, сегодня вечером апдейт. Детект будет иметь примерно такой вид в логе

Прогнал сейчас.
Заподозрил только:

C:\WINDOWS\system32\ccasenp.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\ccasenp.dll>>> Поведенческий анализ

Но ccasenp.dll - это законный module belonging to ClearCase from IBM.

[Зайцев Олег]

Но ccasenp.dll - это законный module belonging to ClearCase from IBM.

На этот случай есть форма загрузки чистых файлов на данном форуме ... стоит ее использовать, и чистые файлы станут опознаваться как чистые

[DimaT]

На этот случай есть форма загрузки чистых файлов на данном форуме ... стоит ее использовать, и чистые файлы станут опознаваться как чистые

Taк я не жалуюсь, а только к сведению - отчет о проделанной работе...

[DimaT]

Сегодня на домашнем лептопе в конце выдало:

Антивирусная утилита AVZ.Идет проверка, 100%
---------------------------
Access violation at address 8A09F7AC. Read of address 8A09F7AC.

Есть интерес к этому сбою?

[Зайцев Олег]

Сегодня на домашнем лептопе в конце выдало:

Есть интерес к этому сбою?

Стоит прогнать диск утилитой checkdisk - скорее всего, где-то что-то сбойное попалось на диска

[Зайцев Олег]

Вышел СП2 для Висты.
АВЗ работает не полностью.
Или глюк не у компьютера((

1. AVZ следует запускать с правами админа (по правой кнопке)
2. Обновились базы AVZ - в них новый AVZGuard, который будет работать на Vista SP2

[Nick222]

Странное сообщение при попытке обновления - уже сутки:

[light59]

Другой источник указать пробовали?

Можете скачать базы отсюда http://z-oleg.com/secur/avz_up/avzbase.zip.
Так же проверьте, может что-то блочит скачку. У меня всё нормально, проблем нет.

[Nick222]

Спасибо, теперь обновилось нормально

Вопрос - я сделал и загрузил архив для базы безопасных файлов, но ряд файлов не были отправлены в карантин (вроде бы).
Опасно ли это?
Нужно ли их тоже отправить на проверку в базу безопасных файлов?
Как это сделать?
Лог выполнения скрипта № 4 прилагаю.

Спасибо

[Rampant]

Тут у меня BitDefender сглючил (потом разобрался, при обновлении на новую версию, был сбой) решил проверить АВЗ, так он целую кучу файлов Бита, затолкал в карантин, и AVP туда же, что то надо делать.
virustotal
Файл сохранён как 090712_164140_virus_4a59da04344ff.zip
Размер файла 294540
MD5 0f72a412f25de8d159f8672e64e2f220

Обнаружено
----------
Статус Объект
------ ------
обнаружено: вирус Heur.Trojan.Generic (модификация) Файл: c:\program files\bitdefender\bitdefender 2009\ieshow.exe
обнаружено: вирус Heur.Trojan.Generic (модификация) Файл: C:\Documents and Settings\Tany\Рабочий стол\bitdefender_antivirus_2009_32b.exe//data0000.cab/bdav.msi//bdprof.cab.AE3C3951_7A91_4185_B6E7_BA9F78BFE365//IEShow.exe

А для АВП лог в 38 мб., это нормально?

[Nick222]

Почему-то перестал соединяться с Интернетом RSS-плагин для The Bat и wfx-плагин для Total Commander MSIECashe не видит кэша вообще.
Это может быть от AVZ?

Проблема решена - АВЗ тут не при чём - настройки плагина для ТК включили автономный режим в ИЭ - и плагин для Бата перестал работать - а я, сидя под FireFox, этого переключения не увидел... )

[kps]

Предлагаю в протоколе исследования системы выводить содержимое параметра PendingFileRenameOperations, так как некоторые зловреды используют трюки с переименованием файлов для выживания при попытке удаления.

[drongo]

Предлагаю в протоколе исследования системы выводить содержимое параметра PendingFileRenameOperations, так как некоторые зловреды используют трюки с переименованием файлов для выживания при попытке удаления.

если бы ещё блокировал такие действия- было бы вообще классно