Почему загружается старая версия - 3,65,7 ???
Почему загружается старая версия - 3,65,7 ???
временные трудности закончились...начинаются трудные времена
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"
Далее ищем кто-же такой "@" страшный -
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}]
@="Java Plug-in 1.5.0_04 <applet> redirector"
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}\InprocServer32]
@="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll"
"ThreadingModel"="Apartment"
Оказавается всеми любимая Java
Олег, возможно ли какая-нибудь "механизация" этих раскопок ?
Я к тому, что HJT всё-же смог "докопаться" до "истины" -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
Наверное, берется из кеша прокси или еще что-то похожее. На сайте у меня лежит файл размером 1.050.102 байта.Сообщение от bearcat
Ссылка на ссылку ... такое раскрутить можно - рекурсивно. Сейчас переделаю алгоритм и AVZ станет раскручивать цепочки ссылок.Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"
Далее ищем кто-же такой "@" страшный -
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}]
@="Java Plug-in 1.5.0_04 <applet> redirector"
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}\InprocServer32]
@="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll"
"ThreadingModel"="Apartment"
Оказавается всеми любимая Java
Олег, возможно ли какая-нибудь "механизация" этих раскопок ?
Я к тому, что HJT всё-же смог "докопаться" до "истины" -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
Олег, ИМХО добавлять поддержку других архиваторов принципиально не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут?
Вот exe пакеры дело другое.
В настройках протокола исследования системы есть пункт добавления результатов последнего сканирования, но при отсутсвии сканирования естественно ничего не добавляется.
Может имеет смысл добавить функцию сканирования с требуемыми (для раздела помогите) параметрами при подготовки протокола исследования с соответствующим пунктом настройки ((*) произвести сканирование при отсутствии протокола) включённым по умолчанию.
Полностью поддерживаю. По моему мнению архивароты вообще не нужны кроме cab. А вот наиболее распространённые пакеры, хоть UPX, не помешает добавить.Олег, ИМХО добавлять поддержку других архиваторов принципиально не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут?
Вот exe пакеры дело другое.
А еще очень хочется английскую версию
Ещё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
PS: Всё есть Imho
Олег, в "Менеджере автозапуска" и "Исследовании системы - Автозапуск" AVZ не "находит" некоторые файлы, хотя система их видит и благополучно запускает!
Первые три файла в примере (см. фрагмент лога) AVZ не хочет копировать в Карантин (видимо, не может найти, хотя они там есть и система их запускает при загрузке!), а последние два - вообще входят в базу безопасных файлов AVZ (проверено!), но они почему-то закрашены как небезопасные...
1. Это интересно - а какие конкрено файлы - каков их метод автозапуска ?
2. Да, момент с копированием в карантин известен - я пока ище пути решения. Суть в том, что файлы с параметрами. Получается проблема при их проверке по базе безопасных и при копировании.
Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe
С распаковкой архивов я согласен - это легко видеть и по поддерживаемым видам архивов - я поддерживаю то, что может быть распаковано системой. RAR тоже наверное стоит поддерживать - он популярен ... RAR, ACE и 7zip поддерживать очень легко - но поддержка каждого дает плюс 50-90 кб объема. Сейчас я добиваю CHM и MSIЕщё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
PS: Всё есть Imho
С пакерами все хитрее - поддерживать их надо, но есть три пути
1. Плюнуть и проверять память ... помогает в большинстве случаев, но прозволяет проверить только запущенные процессы
2. эмулятор кода. Тестовый пример есть, но он сыроват - идея проста - трассировать до первого вызова API или достижения N шагов программы (чтобы не повиснуть)
3. Распаковщики на каждый упаковщик
В идеале хорошо сочетание всех трех методов, я собираюсь для начала реализовать метод 1 с медленным и тщательным сканированием запущенных процессов - подобное дает хорошие результаты в DrWEB. А затем методы 2+3 ... - но это сложнее
Я изловил данную ситуацию и сделал рекурсивный просмотр таких цепочек с антизацикливанием (интересно, что будет с системой, если замкнуть ссылку типа 08B0E5C0-4FCB-11CF-AAA5-00401C608501 в кольцоВот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"
Последний раз редактировалось Зайцев Олег; 10.08.2005 в 22:10.
Олег, такое предложение - как-то дать понять юзеру в менеджере автозапуска, что надо еще и службы посмотреть. Либо прямо показывать в менеджере автозапуска небезопасные работающие службы, либо сделать кнопку на панели с соотв. подсказкой.
Я в принципе для подобных целей задумывал исследование системы - там сводный отчет всего небезопасного. Я просто не хочу перегружать окна, это связанос быстродействием - менеджеры для каждого файла просчитывают полную CRC, если включен антивирусный монитор и просчитать CRC 200-300 файлов, то тормоза будут страшные ...
Да нет, я имел в виду как раз проблемы проверки файлов с параметрами и копировании их в карантин.
Может, проверять оба и копировать в карантин, если файла(ов) нет в базе безопасных?
Предлагаю отбрасывать с конца пути ключи запуска, начинающиеся с "/", "-", "," и т.п., до тех пор, пока файл не "найдется" на диске.
А если расширение у файла отсутствует, то пытаться добавлять наиболее распространенные для исполняемых файлов (exe, com, dll, sys и т.п.).
Последний раз редактировалось DenZ; 10.08.2005 в 23:48.
Что-то типа того я и сделаю. Т.е. попробую разделить имя файла и параметры ... алгоритмов несколько штук я придумал, но универсальность пока невысокая (я рассуждаю аналогично - или искать расширение исполняемого файла, или остепенно отсекать параметры. Плюс еще кавычки - их нужно будет убрать. Короче говоря завтра будет апдейт, я включу в него реализацию этого анализа
Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe
i to i drugoe
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Как бы не совсем в тему, однако помогите разобраться пожалуйста
Почему на моей машине AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic)
В общем замучал меня этот вопрос, натолкните на мысль
Заранее спасибо
Всецело поддерживаю.
Олег, эту тему ты в последнее время не ''замечаешь'' специально?
Или это в более дальних планах и не входит в приоритетные задачи?
"Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте!
Прицепил..."Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте!
Ваши права в разделе
