sergey ulasen, а везде, где пропадал звук - стоял AIMP? Незнаете?
sergey ulasen, а везде, где пропадал звук - стоял AIMP? Незнаете?
Клуб любителей Symantec - http://symantecclub.ru/
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
У меня аимпа нет, но kmixer.sys работать перестал - звуковые устройтва из системы пропали.
Подобрались... Данная проблема существует в версии 3.12.5.0, но по информации закрытой группы тестеров, проблема отсутствует в альфа-версии 3.12.5.1Сообщение от senyak
приметил в правом верхнем углу главного окна, чекбокс VBA32 Defender, какова его функциональность? отмечу что после его включения хэлп антируткита недоступен, а также, что странно, блокируется переход по ссылкам из майл.ру агента ( 5.6 3278 )
добавлено: вопрос по defender снимается, заглянул в справку
добавлено2: в "low-level disk access tool", не выдержан стиль - отсутствует привычный флаг сортировки колонок (бледная серая стрелочка) ,
Последний раз редактировалось NickM; 13.04.2010 в 19:44. Причина: добавлено2
Как я люблю такиеошибки...
Скорее всего, в текущей версии драйвер что-то рушит в ядре, и возникают проблемы со звуком.
Если с выходом следующей версии подобная проблема будет опять появляться, сразу сообщайте.
Для тех, кто не любит смотреть в справку, я, на всякий случай, процитирую справку здесь:
"Флаг Vba32 Defender блокирует создание новых процессов и загрузку новых драйверов после своей активации. Данный режим по умолчанию отключен."
Ну и это прородитель самозащиты антируткита.
З.Ы.: Для тех, кто еще не видел, здесь я выложил скриншоты главного окна антируткита следующей версии.
Добавлено через 6 минут
Да, прошляпили... Спасибо.
Последний раз редактировалось sergey ulasen; 13.04.2010 в 20:01. Причина: Добавлено
да, именно там и прочитал, по ссылкам, интересно при их открытии майл-агент создает процессы? например др. программы спокойно открывают в запущенном браузере страничкиДля тех, кто не любит смотреть в справку
Добавлено через 23 минуты
добавлено:
а каким способом происходит блокировка? тут попробывал,поэкспериментировал, открыл "process explorer" и стал запускать программы, и что интересно, ms word, ms excel, adobe reader успели отметится в списке процессов, а потом исчезли, такое чувство что defender просто их прибивает при открытии, интересно за это время, они могут производить какие-либо действия?Флаг Vba32 Defender блокирует создание новых процессов и загрузку новых драйверов после своей активации.
Последний раз редактировалось NickM; 13.04.2010 в 20:28. Причина: Добавлено
Честно говоря, не знаю. Возможно, он не открывает странички в уже работающем процессе, а пытается запустить новый. В связи с чем обламывается. Это все надо исследовать.
На самом деле, эта опция достаточна опасна, т.к. может нарушить работу системы. Потому выполнять какие-то посторонние действия (кроме анализа и лечения) на компьютере с загруженным антируткитом и включенной опцией Vba32 Defender не рекомендуется.
Добавлено через 12 минут
Специально делалось так, чтобы не успели
Последний раз редактировалось sergey ulasen; 13.04.2010 в 20:46. Причина: Добавлено
Специально делалось так, чтобы не успели
ясно, а на практике как?
опять же поэкспериментировал, "process monitor" говорит что успевают,
может лишняя информация, и вообще не по делу, но
"23:13:46,1362980","EXCEL.EXE","4972","Process Start","","SUCCESS","Parent PID: 3580"
23:13:46,6282035","EXCEL.EXE","4972","Process Exit","","SUCCESS","Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0312002 seconds
Нормальный документированный способ реализовать дефендер средствами ОС появился только в висте с первым сервис паком. До этого используются другие методы, процесс успевает стартовать в ядре, но в пользовательском режиме выполнить ничего не успевает и этого более, чем достаточно.
От подробностей воздержусь.
Скачала, кликнула экзешник и вылетела в синий экран. Перезагрузка. Снова кликнула экзешник - и снова синий экран. Третий раз пробовать не стала.
Vista Home Premium (32), установлен Nod32 business edition.
Нужно ли устанавливать Driver, ведь сканирование запускатся и без него?
При установке драйвера система просто не загружается при перезагрузке.
Windows XP SP3, NOD32 4.0, Outpost Firewall Pro 2009.
Добавлено через 41 минуту
и потом, выдала утилита список неподписанных процессов.
а как распознать, есть ли среди них ентот руткит? или это только tool для специалистов?
Последний раз редактировалось Seredj; 16.04.2010 в 18:11. Причина: Добавлено
Для расследования нужен дамп памяти. Он должен был образоваться после вылета и лежать по стандартному пути: С:\WINDOWS\Minidump . Адрес нашей почты, куда непосредственно нужно высылать этот дамп, следующий: betaanti-virus.by
Драйвер расширенного мониторинга служит для получения более подробной информации. Устанавливать не обязательно.
Скорее всего, образовался дамп. Следуйте вышеописанным действиямПри установке драйвера система просто не загружается при перезагрузке.
Windows XP SP3, NOD32 4.0, Outpost Firewall Pro 2009.
Да, эта утилита предназначена только для специалистов и работников службы технической поддержки. Если у Вас есть подозрения на наличие заражения, рекомендуем обратиться в раздел "ПОМОГИТЕ"и потом, выдала утилита список неподписанных процессов.
а как распознать, есть ли среди них ентот руткит? или это только tool для специалистов?
P.S. Прошу обратить внимание, что статус AntiRootkit'a - бета, со всеми вытекающими последствиями (бсоды, ошибки, как в графической, так и функциональной частях). Просим высылать все образовавшиеся дампы на почту или на файлообменники (если большой размер), конфигурацию установленного ПО (антивирусы, фаерволы, хипсы) и другую информацию, которая поможет в исследовании ошибки.
Благодарим за понимание
Сегодня в бета-тестирование выходит следующая версия утилиты Vba32 AntiRootkit 3.12.5.1.
Ссылки для скачивания:
http://www.anti-virus.by/en/download_arkit_beta.php?
ftp://anti-virus.by/beta/Vba32arkit_beta.7z
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
http://vba.datacenter.by/beta/Vba32arkit_beta.7z
http://vba.datacenter.by/beta/Vba32arkit_beta.rar
http://vba.datacenter.by/beta/Vba32arkit_beta.zip
В нее вошли следующие изменения:
+ Полностью переработано главное окно антируткита
Как и обещал при выходе прошлой версии, в этой итерации мы серьезно переделали главное окно:
Вложение 236889
Теперь отчет в html-формате формируется прямо в главном окне, из которого его позже можно сохранить в файл.
+ Улучшено юзабилити (добавлены контекстные меню, горячие клавиши, переход между элементами по Tab и т.п.)
Теперь с антируткитом работать можно без мыши. Еще, конечно, остались некоторые неудобства, но мы их исправим в ближайшем будущем.
+ Увеличено количество проверяемых мест автозагрузки
(Quick Launch, Service Modules, Explorer, Task Scheduler, Image File Execution Options)
Проверяемых веток автозагрузки стало гораздо больше, но еще есть куда стремиться
+ Добавлен просмотр и возможность удаления нотификаторов типа KeBugCheck
+ Доработан отчёт: добавлена навигация, время сканирования, состояние Vba32 Defender'а. Прерванное исследование, а также ошибки в процессе анализа, корректно отображаются в логе
Отчет тоже стал выглядеть намного приятнее и структурированнее.
+ Добавлена страничка бета-версии Vba32 AntiRootkit на сайт компании
По ссылке http://www.anti-virus.by/en/beta.shtml появилась страничка, посвященная бета-версии антируткита. Там же размещена кнопка, по которой антируткит выдается со случайным именем.
* Улучшено кэширование проверяемых объектов при исследовании системы
Проверка теперь работает заметно быстрее.
* Улучшен механизм поиска скрытых процессов
* Функционал модулей Vba32ar.dll и Vba32arch.dll перенесён в .exe файл, антируткит пакуется UPX'ом
Т.е. собрали всю функциональность в один модуль vba32arkit.exe. При всех плюсах, появились и минусы: под Windows 2000 необходимо наличие библиотеки gdiplus.dll.
* Доработан файл помощи на русском языке
- Временно исключены карантин и скрипты
Мы не отказываемся от них навсегда, просто на сегодняшний день у нас и у пользователей к прошлой реализации много нареканий:
1. неудобный язык;
2. слабые возможности;
3. низкое юзабилити.
Потому на пару итераций мы вообще от него отказались, а в одном из ближайших выпусков его переработаем.
В планах на 3.12.5.2: более плотная работа с ring3 - определение модулей, потоков и т.д.
P.S. Спасибо всем бета-тестерам, которые тратили свое время на обнаружение ошибок, генерацию ценных идей и определение пути развития продукта. Надеюсь, что наша совместная работа и в будущем будет не менее продуктивной.
Последний раз редактировалось sergey ulasen; 11.05.2010 в 13:01.
Сейчас покрутим. Главное, чтобы не было пропадание звука.
Клуб любителей Symantec - http://symantecclub.ru/
Воспроизводится. Не могу понять только в какой момент.
Ich wollte nur zur Aussicht gehen
[I]...[/I]
Und in den Abendhimmel sehen...
Опять пропадает? Странно, но я крутил раньше и пропаданий не было. Ща глянем, еще сканируется
Клуб любителей Symantec - http://symantecclub.ru/
? А куда надо нажать чтоб звук пропал?
Тож хочу протестить.
Проблема воспроизводится нестабильно
У меня на ХР полностью пропатченой не воспроизвелась, а я старался вовсю
Действительно бэта даже глюки и те нестабильны
У меня тоже не пропал звук
Клуб любителей Symantec - http://symantecclub.ru/
Ваши права в разделе
Ответить с цитированием
