Олег, пожалуйста:http://www.tinysoftware.com/home/tiny2/tf65 Прямая ссылка. Профессиональная версия на месяц.Могу прислать политику
Олег, пожалуйста:http://www.tinysoftware.com/home/tiny2/tf65 Прямая ссылка. Профессиональная версия на месяц.Могу прислать политику
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
P.S. Скажу пока пару слов о Tiny и AVZ. Tiny - весьма мощная HIPS, мой основной защитник, и я иногда проверяю работу его политик, сталкивая его с AVZ и наблюдая, кто кого задавит. =) Раньше я не мог справиться, к примеру, с 4.19 - скрипт поиска и нейтрализации + AVZGuard, и можно было, к примеру, вопреки политике Tiny загасить любой процесс, так как хука на подгрузку драйвера у Tiny нет. Теперь же AVZ ничего не может сделать с Tiny, так как мое "антируткитное" правило запрещает создание драйверов...
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Еще веселый глюк (правда, не знаю, воспроизведется ли, быть может, это остатки моих баталий между Tiny и AVZ
Запускаем AVZ 4.20, включаем AVZGuard, выключаем его (чтоб драйвер создался и удалился), выполняем скрипт поиска и нейтрализации руткитов, закрываем AVZ (чтоб второй драйвер также создался и удалился). Выключаем машину, включаем ее снова. После загрузки аккаунта Windows радостно сообщает, что обнаружено неизвестное устройство, после чего запускается мастер установки оборудования, который пытается обраружить и установить драйвер для этого устройства.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
"...6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем"
Это нармально?
+ место с харда мегов пропало,что даже оутпосту не хватило для записи журнала
Это никак. Поскольку не воспроизводится. Наверное единичный глюк на конкретной системе, то же относится и к "весёлому глюку" описаного NickGolovkoСообщение от прохожий
А Вы собственно ставили соответствующую галочку в "параметрах поиска"? Потому как по умолчанию проверка портов отключена
Только что скачал AVZ 4.20, и почему-то не получается обновить базы. Пробовал менять настройки, вообще отключать стенку, всеравно не хочет обновлятся. Еще при попытке автодобавления в карантин вылезает старая, уже почти забытая ошибка.
а если просто набрать в браузере http://avz.virusinfo.info/avz_up/avzupd.zip ?
Предлагает сохранить avzupd.zip размером 1.1 кб. В нем только file.dta
Во встроенной справке есть пункт "нешних скриптов управления". Как мне кажется, там что-то пропущено?
Известный глюк. Часто проявлялся раньше, когда драйвер AVZGuard создавался, стартовал и убивался посредством SCM. Вполне вероятно, что в данном случае это как-то связано с Tiny, но может быть и нет.
В общем, ждем статистику, чтобы сделать выводы...
Это нармально, если вы не включали эту проверку в "Параметры поиска" -> "Поиск портов TCP/UDP троянских программ". В версии 4.20 она по-умолчанию отключена!
Насчет "место с харда мегов пропало" я ничего не понял - видать у меня с русским языком нелады...
Последний раз редактировалось aintrust; 19.09.2006 в 12:18.
Пардон,не посмотрел.
Я имел ввиду что скажем было 1.5 гига в с,стало мегов 600.Насчет "место с харда мегов пропало" я ничего не понял - видать у меня с русским языком нелады...
Видимо это связано с тем что авз не по детски зависает.Даже при проверки одного лог.диска.Приходиться скидывать прогу.И видимо в остается временный файл.
Интересно,старые версии не повисали.Даже при одновременной работе кучи прог.
Может что не так делаю?
Новая версия проверяет инсталляции MSI. Есть шанс, что на диск есть какая то огромная инсталляция, которую AVZ долго анализирует. Можно посмотреть в папке Temp, что за файлы там образуются.
А я вот сегодня столкнулся с такой ситуацией - компьютер перестал грузиться под пользователем. В списке процессов появляется все увеличивающееся количество процессов csrss и все. Под админом загружается нормально. Проверил диск свежими drweb и avp - вирусов нет. В логе AVZ две подозрительные строки:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WIN2000\System32\ntoskrnl.exe)
(файл есть, именно там, нормально читается) и
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "explorer.exe" = "C:\WIN2000\csrss.exe"
Выбрал "Восстановление системы", поставил галочки "Восстановление настроек проводника" и "Удаление отладчиков системных процессов". Применил, перегрузился - ситуация не изменилась.
Кто что посоветует?
Провериться свежим CureIt-ом для начала.
А вообще - см. Правила
http://avz.virusinfo.info/avz_up/avzbase.zip
Херня какая-то
Поставил, блин, антивирус и чё вы думаете?
Включил сканирование, в сё здорово, сканирует и....
Нате вам. Выскакивает сообщение от Spider Guard (Dr.Web) следующего содержания, типа опасные вирусняки:
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.DialupPass.243
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.Pwdump
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.Pwdump
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.PassView
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.PassView
C:\Temp\avz_3540_2.tmp - программа-HackTool Tool.PwlHack.410
C:\Temp\avz_3540_2.tmp - программа-HackTool Tool.PwlHack.410
C:\Temp\avz_3540_1.tmp - программа-RiskWare Program.SamInside.2301
C:\Temp\avz_3540_1.tmp - программа-RiskWare Program.SamInside.2301
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.SAMInside
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.xIntruder
Нормально блин? Антивирус поставил.
Нормально. Спайдер же не знает, что это именно AVZ ваши архивы со зверьём распаковывает, и именно затем, чтобы проверить. Он честно проверяет всё, что создаётся. У меня ругается на временные файлы AVP сканера, например.
Кстати, судя по набору, это вы сами где-то у себя набор инструментов для взлома заначили.
Заметил следующее при работе с AVZ..
1. Если, например, выдернуть из системы какой нить файл с цифровой подписью и поместить его, скажем, в автозагрузку, затем открыть в AVZ "Менеджер автозапуска", то мы увидим "безопасный" файл в автозагрузке.. Если не закрывая "Менеджер автозагрузки" изменить содержимое оригинального файла и нажать "Обновить список элементов автозапуска", то в итоге мы увидим в автозагрузке файл с все еще действующей цифровой подписью..
Вобщем умничать у меня сильно не получается - кнопка "Обновить" не работает я хотел сказать..
2. В "Поиск файлов на диске" поиск прекращается, если AVZ не может прочитать файл "Cannot open file XXX. Процесс не может получить доступ к файлу, так как этот файл занят другим процессом."
Пробовал на версии 4.20
Ваши права в разделе
