дамрай трудится не покладая рук. Для каждого клиента у него индивидуальный пинч.Сообщение от Зайцев Олег
дамрай трудится не покладая рук. Для каждого клиента у него индивидуальный пинч.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003
Должен. Я советую:
0. Удалить AVZPM и перезагрузиться. Обновить базы. После обновления на всякий случай перезапустить AVZ.
1. Включить AVZPM, провести сканирование и убедиться, что в логе есть отметка о его использовании и нет ошибок
2. Перезагрузиться и повторить опыт. После перезагрузки PM должен работать
В системе XPhome рецепт помог, win2003 проверю позже..
Обновляюсь ежедневно, где была проблема не понял.
А удаление avz - это только удаление каталога avz?
При попытке ручного удаления в реестре ссылок с AVZRK - система не позволяет..???..AVZPM при этом не работает...
Может в AVZ добавить ключ - чистка реестра(uninstall avz)?
Uninstall AVZ нашел в стандартных скриптах - не разу не интересовался этим пунктом...попробовал его - работает.
Опять вылез глюк с AVZPM на системе с XPhome.
Удалял, обновлял, чистил - не помогло.
Ставлю v.4.24(не r2) - avzpm работает.......
Последний раз редактировалось АлександрУ; 29.03.2007 в 10:38.
Привет
Олег. у нас на проксе стоит ограничение на размер выгружаемых от нас файлов ~250к
Я разбивал большие файлы на части раром и ли 7зипом
Они собирались? (имен файлов уже к сожалению не помню давненько было)
*Желаю у дачи
Юстас
Пара архивов RAR у меня открылись нормально, еще 1-2 многотомных не открылись - ругался на повреждение одной из частей архива. Вообще лучше делать не многотомный архив, а именно несколько независимых архивов.
У меня такая же проблема была - в AVZ устанавливаю AZVPM, просит перезагрузку. В меню AZVPM сообщается, что он не установлен. щелкаем установить и все ок. Глюк программы, т.к. драйвер на самом деле встал и работает.
Стараюсь, но не всегда выходит - бывают файлы (незаархивированные) по 1-2 Мб
*Желаю у дачи
Юстас
Win XP Home Edition -> Access Violation
Когда сканирование доходит до <поиска клавирных перехватчиков>
AVZ 4.24 r2 впадает в Access Violation.
AVZPM не установлен, винда была замучена разными вирями, в том числе и каким-то уродцем, который после копирования текста в буффер заменял его на "Hello".
Аналогично. Глюк интерфейса.
Однако, когда после выполнял скрипт "Скрипт сбора неопознанных и подозрительных файлов"
получил:"1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM"
Последний раз редактировалось Mad Scientist; 30.03.2007 в 23:42.
Действительно, AVZPM работает после перезагрузки, но AVZ его не видит. Это проблема релиза r2.
Да - проблема поймалась, причина - внеочередная замена версии. Я видимо выпущу r3, чтобы убрать эту проблему
Олег, сделай потом объявление на главной странице z-oleg.com, пожалуйста. Не все приходят на этот форум.
Опыт — это слово, которым люди называют свои ошибки.
ОК, сделаю. Я положил на прежнее место обновленный архив, там 4.24 r4, в ней устранены глюки в антикейлоггере, AVZPM и еще ряд мелочей.
Странности..
Attention !!! The database was last updated 3/6/2007 - it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.24
Scanning started at 4/3/2007 7:36:22 PM
Database loaded: 92528 signatures, 2 NN profile(s), 55 microprograms of healing, signature database released 06.03.2007 11:35
Heuristic microprograms loaded : 367
Digital signatures of system files loaded: 56711
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
1. Searching for rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section: .text
Analysis: ntdll.dll, export table found in section: .text
Analysis: user32.dll, export table found in section: .text
Analysis: advapi32.dll, export table found in section: .text
Analysis: ws2_32.dll, export table found in section: .text
Analysis: wininet.dll, export table found in section: .text
Analysis: rasapi32.dll, export table found in section: .text
Analysis: urlmon.dll, export table found in section: .text
Analysis: netapi32.dll, export table found in section: .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=0846E0)
Kernel ntkrnlpa.exe found in the memory at the address 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Function NtCreateKey (29) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2DF
>>> Function recovered successfully !
Function NtDeleteKey (3F) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2F3
>>> Function recovered successfully !
Function NtDeleteValueKey (41) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B31F
>>> Function recovered successfully !
Function NtOpenKey (77) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2CB
>>> Function recovered successfully !
Function NtRenameKey (C0) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B309
>>> Function recovered successfully !
Function NtSetValueKey (F7) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B335
>>> Function recovered successfully !
Function NtTerminateProcess (101) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B34B
>>> Function recovered successfully !
Functions checked: 284, intercepted: 0, restored: 7
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
>>>> Suspicion for Rootkit McAfeeFramework "C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart
1.4 Searching for masking processes and drivers
The extended monitoring driver (AVZPM) is not installed, examination is not performed
2. Scanning memory
Number of processes found: 44
Number of modules loaded: 395
Memory checking - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Program Files\HPQ\IAM\bin\ItMsg.dll --> Suspicion for a Keylogger or Trojan DLL
C:\Program Files\HPQ\IAM\bin\ItMsg.dll>>> Behavioral analysis:
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
checking disabled by user
7. Heuristic system check
Checking complete
Files scanned: 439, extracted from archives: 0, malicious programs found 0
Scanning finished at 4/3/2007 7:36:36 PM
!!! Attention !!! Recovered 7 KiST functions during Anti-Rootkit operation
This may affect execution of several programs, so it is strongly recommended to reboot
Time of scanning: 00:00:14
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Quarantine file error ""C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
File "C:\Program Files\HPQ\IAM\bin\ItMsg.dll" quarantined succesfully
Олег, возможно вопрос не в тему, но что будет если AVZ просканирует папку с глубиной пути больше MAX_PATH? Или очееень глубоко вложенный файл, папку с запущенным оттуда процессом? Мне интересно, поскольку мы сейчас занимаемся "исследованием" на тему эксплоитостойкости security софта. Первый этап - внутренние буферы. Пока результаты неутешительные. http://forum.rootkits.ru/viewtopic.php?id=95
Я не проверял, но глюк вполне возможен - надо будет завтра поэкспериментировать, весьма интересно. Аналогично кстати с проверкой архивов-матрешек - я недавно поставил контроль глубины в AVZ, так как стали появляться "бомбы" в виде 200-300 архивов внутри друг друга, их рекурсивная раскрутка в частности в RAR архиве однозначно приводила к падению.
Олег рюшечка конечно но всё таки, можно в логах поменять местами
"Нейтрализация перехватов функций при помощи антируткита"
"Включить AVZGuard"
просто начинаешь нажимать поочереди получаеться не очень хорошо "Нейтрализация перехватов функций при помощи антируткита" получаеться после "Включить AVZGuard", я уже так пару раз ошибиться успел..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Ещё маленькое предложение в логах для нашего форума, в тексте было бы сказано в каком режиме загружена система, как в бетке hi jack this (Normal mode/ safe mode..)
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Ваши права в разделе
