Страница 2 из 12 Первая 123456 ... Последняя
Показано с 21 по 40 из 224.

Вышла новая версия антивирусной утилиты AVZ - 4.43

  1. #21
    Junior Member Репутация Репутация
    Регистрация
    15.01.2012
    Сообщений
    24
    Вес репутации
    46
    Исправили с удаленным помощником?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Цитата Сообщение от mike 1 Посмотреть сообщение
    По словам пользователя после выполнения 7 стандартного скрипта
    Причем здесь стандартный скрипт №7, если система перестала стартовать после Вашего скрипта?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #23
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Цитата Сообщение от thyrex Посмотреть сообщение
    Причем здесь стандартный скрипт №7, если система перестала стартовать после Вашего скрипта?
    По словам пользователя система не стартовала после попытки выполнить 7 стандартный скрипт. Я специально этот момент уточнял.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #24
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.43
    Сканирование запущено в 07.02.2014 18:50:30
    Может стоит для того случая заменить сообщение на исправьте системную дату или что-то подобное?

    2) Если язык для программ не поддерживающих юникод стоит англ., то вот такая вещь


    3) Вот лог со сложной командной строкой. Возможно будет интересен вам для отладки парсинга таких строк.
    По этому же логу
    Код:
    C:\Windows\system32\drivers\etc\hosts
    Думаю вообще не стоит выводить эту строку в лог, как заведомо легальную. Содержимое hosts выводится в другой части лога, там же находится кнопка для вставки команды очищения hosts.

  6. #25
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    1) Может стоит для того случая заменить сообщение на исправьте системную дату или что-то подобное?

    2) Если язык для программ не поддерживающих юникод стоит англ., то вот такая вещь


    3) Вот лог со сложной командной строкой. Возможно будет интересен вам для отладки парсинга таких строк.
    По этому же логу
    Код:
    C:\Windows\system32\drivers\etc\hosts
    Думаю вообще не стоит выводить эту строку в лог, как заведомо легальную. Содержимое hosts выводится в другой части лога, там же находится кнопка для вставки команды очищения hosts.
    1. В принципе можно что-то смудрить ... при автоанализе это учитывается (там есть дата формирования лога по часам ПК и дата его получения, если первое на сутки больше второго, то значит часы ПК сбиты)
    2. Глюк в БД локализации. Поправил, после 16:00 при плановом обновлении баз проблема уйдет
    3. Интересно, на ПК, с которого получен лог, есть файл "C:\Disney Interactive Studios\История игрушек\Game-TS3.exe" (парсер рассуждает так - ищет файл с именем "C:\Disney Interactive Studios\История игрушек\Game-TS3.exe", если не находит, то рассуждает, что раз имя не в кавычках, то быть может речь идет о двух разных файлах - "C:\Disney Interactive Studios\История" и "игрушек\Game-TS3.exe".

    Добавлено через 4 минуты

    Цитата Сообщение от mike 1 Посмотреть сообщение
    По словам пользователя система не стартовала после попытки выполнить 7 стандартный скрипт. Я специально этот момент уточнял.
    Случай единичный, видимо какая-то проблема именно в ПК пользователя или в реакции на скрипт

    Добавлено через 8 минут

    Цитата Сообщение от glax24 Посмотреть сообщение
    Исправили с удаленным помощником?
    Да, исправил. Только базу забыл обновить в сборке - исправленная база придет через автоапдейт
    Последний раз редактировалось Зайцев Олег; 09.03.2014 в 12:12. Причина: Добавлено

  7. #26
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    2. Глюк в БД локализации. Поправил, после 16:00 при плановом обновлении баз проблема уйдет
    проверил, теперь нормально - строчка полностью на англ.

    А самой базы адвари в AVZ пока нет?

    2)
    \\?\c:\documents and settings\user\desktop\uvs_v382pack_ru\sphknb
    Сделал лог AVZ при запущенном uVS. Проверил физически на диске файла с именем
    Код:
    c:\documents and settings\user\desktop\uvs_v382pack_ru\sphknb
    нету (создаётся с другим рандомным именем, но не тем, которое в логе AVZ). Собственно вопрос почему AVZ не исправил этот путь?

    3)
    3. Сканирование дисков
    Ошибка при сканировании каталога (C:\Users\Александр\AppData\Local\Microsoft\Window s\INetCache\Content.Word\, Privileged instruction, 11,~WRS{DE9BD2A7-850E-4A15-BC31-672EA62BC685}.tmp
    Что означает эта ошибка? И как понимаю это не совсем нормально. Сам лог тут.

    4) Может можно отключить разбиение строк по пробелу при чтение параметров из раздела
    Код:
    HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog
    Очень часто рвёт пути к файлам при чтение записей оттуда. Вот хороший пример.

    5) Всё-таки хотелось бы в логе кнопку для удаления ярлыков из папки автозагрузка, например как для случая указанного здесь

    6) На всякий случай ещё раз напомню просьбу выводить в XML лог параметр Is64="" во всех секциях.

    7) При просмотре карантина в AVZ хотелось бы чтобы подсвечивалось другим цветом не только название, а вся выделенная строка. А то неудобно смотреть и надо присмотриваться к примеру это смотришь информацию по файлу avz00052.dta или по avz00051.dta
    И желательно, чтобы соседние строки, тоже слегка отличались по оттенку

    примерно так

    Скрыть

    но это наверно пожелание уже к будущей версии AVZ .

  8. #27
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег, амперсанд не экранируется в секции <AntiSpywareProduct>

    Код HTML:
      <AntiSpywareProduct>
        <Data Name="Windows Defender" pathToSignedProductExe="%ProgramFiles%\Windows Defender\MSASCui.exe" ProductState="397584" />
        <Data Name="Spybot - Search and Destroy" pathToSignedProductExe="C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe" ProductState="393232" />
        <Data Name="Emsisoft Anti-Malware" pathToSignedProductExe="C:\Program Files (x86)\Emsisoft Anti-Malware\a2start.exe" ProductState="262144" />
      </AntiSpywareProduct>
    вот лог.

  9. #28
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег, амперсанд не экранируется в секции <AntiSpywareProduct>

    Код HTML:
      <AntiSpywareProduct>
        <Data Name="Windows Defender" pathToSignedProductExe="%ProgramFiles%\Windows Defender\MSASCui.exe" ProductState="397584" />
        <Data Name="Spybot - Search and Destroy" pathToSignedProductExe="C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe" ProductState="393232" />
        <Data Name="Emsisoft Anti-Malware" pathToSignedProductExe="C:\Program Files (x86)\Emsisoft Anti-Malware\a2start.exe" ProductState="262144" />
      </AntiSpywareProduct>
    вот лог.
    Да, подтверждаю такой баг. Исправил, базы обновлены - можно пробовать.

  10. #29
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) Баг с экранированием кавычек всё-таки есть, вот лог.
    Код HTML:
    <ITEM PID="6944" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0"  CmdLine="&quot;C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE&quot; /n &quot;G:\!!!ФОРЕКС\!!!Представительство Forex Club\Для Сергея Мисионевича\Клиенты\Обучение\Вводный_Семинар.doc  /o """ Size="1922720" Attr="rsAh" CreateDate="23.01.2014 15:56:28" ChangeDate="23.01.2014 15:56:28" MD5="70E0815BADCAA9A7CF24BB6EA0ED686B" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4569.1504" IsPE="1" />
    2) Хочется получить ответ на этот вопрос.
    Что делать, когда AVZ не может штатными средставами отключить AVZPM?
    Снова попалась тема, где не удаётся отключить AVZPM. В личку юзер писал, что уже пять-шесть раз пытался отключить драйвер через GUI с последующей перезагрузкой и он по прежнему включён.
    Когда в прошлый раз я спрашивал у вас этот вопрос, то указал, что вручную удалить его через диспетчер устройств на виртуалке удалить не удалось. Так что как же его надо отключать/удалять в подобных случаях? Тут XP и драйвер не особенно мешает, а на 7-ке из-за этого лог вообще был бы не читабельный.

    3)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
    это по прежнему актуально.

    4) Хотелось бы получить комментарии по поводу вопросов в посте №26.

  11. #30
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) При использование англ. локализации AVZ, на кнопке mbAbort написано $Abort


    2)
    Цитата Сообщение от regist Посмотреть сообщение
    2) Хочется получить ответ на этот вопрос.
    Что делать, когда AVZ не может штатными средставами отключить AVZPM?
    3) В этом логе
    Код:
    C:\Windows\system32\Drivers\uti2odky.sys
    Это драйвер от AVZ ? AVZ подозревает сам себя?

    4) http://rghost.ru/53199745
    mobogenie (в частности c:\program files\mobogenie\daemonprocess.exe ) в базе чистых файлов, а это адварь которую приходится выносить в каждой второй теме в разделе помогите.

    5) Тут в планировщике заданий есть такое
    Код:
    C:\Program Files (x86)\Windows Sidebar\sidebar.exe /SL5="$815B8,3780238,54272,C:\Users\SentinelDead\Desktop\Tunngle_Setup_v4.5.1.3.exe"
    AVZ не смог корректно распарсить этот путь.

    6) В этом же логе (из. предыдущего пункта) в текстовой части есть
    Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Adobe Flash Player SU = [C:\Windows\System32\cmd.exe /k start http://3zz.info/ && exit]
    В табличной части лога этого не видно. А
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
    http://virusinfo.info/showthread.php...=1#post1095348

    7) Сейчас очень популярно заражения с подменой и дописыванием параметров в ярлыки браузеров. Когда происходит подмена и вместо browser.exe запускается browser.url AVZ это в логе отображает, а вот если использовать например такой ярлык
    Код:
    "C:\Program Files\Internet Explorer\iexplore.exe" www.virus.ru
    То так как IE проходит по базе безопасных AVZ, то такой ярлык остаётся абсолютно невидимым для AVZ.
    Имхо, если в ярлыке есть нестандартные дописки параметров, то такие ярлыки стоит выводить в лог. И было бы неплохо если бы был визард для исправления подобных ярлыков.

    По поводу визарда, может добавить ещё один визард для детекта и исправления, когда в реестре повреждён путь %SystemRoot%\ например когда там %fystemroot% или %systenroot% такие логи периодически встречаются.

    - - - Добавлено - - -

    Цитата Сообщение от regist Посмотреть сообщение
    5) Тут в планировщике заданий есть такое
    вот что в самом задание прописано
    Код HTML:
    <Exec>
      <Command>C:\Program Files (x86)\Windows Sidebar\sidebar.exe</Command>
      <Arguments>/SL5="$815B8,3780238,54272,C:\Users\SentinelDead\Desktop\Tunngle_Setup_v4.5.1.3.exe"</Arguments>
    </Exec>

  12. #31
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    1) ...
    1. А что это за окно ? Видимо, глюк какой-то в базе локализации
    2+3. Такого быть не должно. Я изменю скрипт удаления драйверов AVZ и проблема устранится. Опознать драйвера можно по MD5: D565AD44C6C4D934AFAD3CA4196B09AA, 524D8D450622DB4A7875B111C299A76B и 8698843A69A239FF023AEC6CAF3939CC
    4. daemonprocess в БД чистых, так как ничего такого непристойного он не делает. Уверенность в том, что это адварь чем-то подкреплена ? Я временно убрал файл из БД чистых, но повторю - ничего такого зловредного я в нем не вижу.
    5. да, парсер выделяет "$815B8,3780238,54272,C:\Users\SentinelDead\Deskto p\Tunngle_Setup_v4.5.1.3.exe" - так как текст в кавычках, парсер рассматривает его как единое целое. Я подумаю, как такое распарсить корректно (проблема в том, что запятая допустима с имени файла, а в кавычках находится как имя файла, как и несколько цифр перед ним. При этом естественно "C:\Program Files (x86)\Windows Sidebar\sidebar.exe" парсером выделяется корректно
    6. Такая конструкция не попадает в таблицу. Внес изменения в БД, сейчас такие строки должны быть видны в таблице и помечаться как подозрительные (пока только все, что открывает странички в инет)
    7. часто такие ярлыки бывают легитимными (открывается стартовая страничка, или некий корпоративный портал). Подумаю по поводу эвристики для таких случаев. По поводу %SystemRoot%\ - нет проблем, нужен пример характерной малвари, или пара-тройка характерных логов, далее дело техники

    Добавлено через 2 минуты

    Цитата Сообщение от regist Посмотреть сообщение
    1) Баг с экранированием кавычек всё-таки есть, вот лог.
    Код HTML:
    <ITEM PID="6944" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0"  CmdLine=""C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" /n "G:\!!!ФОРЕКС\!!!Представительство Forex Club\Для Сергея Мисионевича\Клиенты\Обучение\Вводный_Семинар.doc  /o """ Size="1922720" Attr="rsAh" CreateDate="23.01.2014 15:56:28" ChangeDate="23.01.2014 15:56:28" MD5="70E0815BADCAA9A7CF24BB6EA0ED686B" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4569.1504" IsPE="1" />
    2) Хочется получить ответ на этот вопрос.
    Что делать, когда AVZ не может штатными средставами отключить AVZPM?
    Снова попалась тема, где не удаётся отключить AVZPM. В личку юзер писал, что уже пять-шесть раз пытался отключить драйвер через GUI с последующей перезагрузкой и он по прежнему включён.
    Когда в прошлый раз я спрашивал у вас этот вопрос, то указал, что вручную удалить его через диспетчер устройств на виртуалке удалить не удалось. Так что как же его надо отключать/удалять в подобных случаях? Тут XP и драйвер не особенно мешает, а на 7-ке из-за этого лог вообще был бы не читабельный.

    3)
    это по прежнему актуально.

    4) Хотелось бы получить комментарии по поводу вопросов в посте №26.
    1. Странно, мне не удается такое воспроизвести
    2.
    Последний раз редактировалось Зайцев Олег; 23.03.2014 в 11:55. Причина: Добавлено

  13. #32
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. А что это за окно ?
    MessageDlg - но думаю, что дело не в окне, а именно ошибка в локализации.
    2)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    4. daemonprocess в БД чистых, так как ничего такого непристойного он не делает. Уверенность в том, что это адварь чем-то подкреплена ? Я временно убрал файл из БД чистых, но повторю - ничего такого зловредного я в нем не вижу.
    drweb - Adware.NextLive.1
    Kaspersky - not-a-virus:AdWare.Win32.Agent.ahgx
    gdata - Win32.Adware.NextLive.A
    https://home.mcafee.com/virusinfo/Vi...px?key=6591285
    https://www.google.ru/search?ie=UTF-...virusinfo.info
    http://yandex.ru/yandsearch?text=%5C...=9582&lr=10277
    это сойдёт за доказательство?
    И в частности из-за процесса daemonprocess пользователи жалуются на большую загрузку (тормоза) на компьютере.

    3)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    По поводу %SystemRoot%\ - нет проблем, нужен пример характерной малвари, или пара-тройка характерных логов, далее дело техники
    ок, постараюсь подобрать логи

    4) http://rghost.ru/53280507
    globalroot\systemroot\system32\Qzwi4Nm.exe
    AVZ вроде должен исправлять такие пути.

    5) Пару дней назад в помогите мне снова встретился Backdoor.Win32.Javik.a, вот отчёт вирусдетектора того юзера. Проверил на виртуалке AVZ до сих пор не умеет корректно его удалять (хотя эта проблема была ещё на ver 4.39). После удаления по прежнему проблемы с отображением меню пуск. А также при удаление с помощью AVZ через uVS видно, что следы от файла в системе остались (ExecuteSysClean разумеется использовался).


    6)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
    Похоже аналогичная проблема и .sys вот пример лога в помогите подобное уже несколько раз встретил.

    7) Последнее время часто HTML логи как-то непонятно отображаются. Вот лог для примера
    В Opera Presto и Google Chrome выглядит

    Скрытый текст

    Скрыть

    в IE выглядит

    Скрытый текст

    Скрыть

  14. #33
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Цитата Сообщение от regist Посмотреть сообщение
    1) При использование англ. локализации AVZ, на кнопке mbAbort написано $Abort
    при использование русской локализации аналогичная проблема



    2)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. А что это за окно ? Видимо, глюк какой-то в базе локализации
    2+3. Такого быть не должно. Я изменю скрипт удаления драйверов AVZ и проблема устранится.
    для этих исправлений надо ждать выхода новой версии или это придёт с обновением баз?

    3)
    Цитата Сообщение от regist Посмотреть сообщение
    ок, постараюсь подобрать логи
    вот подборка логов.

  15. #34
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    1)
    при использование русской локализации аналогичная проблема



    2)
    для этих исправлений надо ждать выхода новой версии или это придёт с обновением баз?
    Баг пофикшен, исправится при обновлении версии (там просто вместо "&" затесался "$")

  16. #35
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Я изменю скрипт удаления драйверов AVZ и проблема устранится.
    для этого тоже надо ждать обновления версии?

    - - - Добавлено - - -

    Опять косяк с кавычками. Строка 550
    Код HTML:
    <ITEM File="C:\Program Files\Rockwell Software\RSView\PRJHOOK32.dll"  Verdict="Реагирует на события: клавиатура
    Передает данные процессу: 4320 E:\МАЕ\virus\avz4\avz4\avz.exe (окно = "Стандартные скрипты")
    Выясняет, какое окно находится в фокусе ввода" CheckResult="-1" Size="5632" Attr="rsah" CreateDate="14.11.2013 10:42:39" ChangeDate="05.11.2004 10:05:00" MD5="50E7AA7D6DA6385341A2726BDEF9E7F4" Vendor="Rockwell Software Inc." Product="DSICmn" OFN="PRJHOOK32.DLL" Ver="7.10.10.0" IsPE="1" IsDLL="1"/>
    Вот ссылка на тему.

  17. #36
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    для этого тоже надо ждать обновления версии?

    - - - Добавлено - - -

    Опять косяк с кавычками. Строка 550
    Код HTML:
    <ITEM File="C:\Program Files\Rockwell Software\RSView\PRJHOOK32.dll"  Verdict="Реагирует на события: клавиатура
    Передает данные процессу: 4320 E:\МАЕ\virus\avz4\avz4\avz.exe (окно = "Стандартные скрипты")
    Выясняет, какое окно находится в фокусе ввода" CheckResult="-1" Size="5632" Attr="rsah" CreateDate="14.11.2013 10:42:39" ChangeDate="05.11.2004 10:05:00" MD5="50E7AA7D6DA6385341A2726BDEF9E7F4" Vendor="Rockwell Software Inc." Product="DSICmn" OFN="PRJHOOK32.DLL" Ver="7.10.10.0" IsPE="1" IsDLL="1"/>
    Вот ссылка на тему.
    Нет, скрипт появится через автоапдейт.
    А вот бага из строки 550 пофикшена, но фикс появится только в новой версии

  18. #37
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    В этой http://virusinfo.info/showthread.php?t=157342 теме у AVZ какая-то проблема с определением кодировки.

    7. Эвристичеcкая проверка системы
    >>> Подозрение на маскировку ключа реестра службы\драйвера "????????t¦""
    В логе TDSSKiller отображается имя так:

    楗敳潂瑯獁楳瑳湡t¦"
    После конвертации удалось понять что эта служба от

    WiseBootAssistant
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #38
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Нет, скрипт появится через автоапдейт.
    Скрипт для отключения AVZPM уже обновился или пока нет? Пользователь говорит, что AVZPM по прежнему не отключается. В стандартном скрипте №6 скрипт тоже обновился? Я там им посоветовал удалить драйвера и следы AVZ.

    2) Очень часто в логах в секции подозрительные файлы видно у .msi файлов Подозрение на Exploit.Win32.IH_Infector.12
    у .tmp (часто они от принтера эпсон) - Trojan.Win32.Agent2.byu
    То есть именно эти эвристики давно и постоянно фолсят, можно и как-то скорректировать? Вот лог для примера.

  20. #39
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) Опять лог с не экранированными кавычками.
    Код HTML:
      <ITEM PID="3860" File="c:\program files (x86)\newtech infosystems\acer backup manager\backupmanagertray.exe" CheckResult="-1" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2009, NewTech Infosystems, Inc. All rights reserved." Hidden="0"  CmdLine=""C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="265984" Attr="rsAh" CreateDate="29.06.2010 05:22:46" ChangeDate="29.06.2010 05:22:46" MD5="E2787B4F27F598BFA501B1971A4D5378" Vendor="NewTech Infosystems, Inc." Product="Acer Backup Manager" Ver="2.0.1.68" IsPE="1" />
    2)
    http://gfile.ru/a5CHk
    Это новая фича? Подробней про неё можно? У того юзера потом запросил лог Gmer никаких следов руткита там не было.

    3) ещё один лог
    Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
    4) Про баг в AVZ когда в логе вместо пути отображается только .dll или только .sys уже писал. Вот для комплекта только .exe


    5) По поводу того, что
    Цитата Сообщение от regist Посмотреть сообщение
    7) Последнее время часто HTML логи как-то непонятно отображаются. Вот лог для примера
    В Opera Presto и Google Chrome выглядит
    добавлю скрин

  21. #40
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Загрузка AVZ с офиц. сайта блокируется браузером google как опасная.

Страница 2 из 12 Первая 123456 ... Последняя

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.41
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 81
    Последнее сообщение: 23.02.2014, 15:01
  2. Вышла новая версия PostgreSQL
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 01.07.2009, 21:08
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 09:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 13:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 13:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00477 seconds with 17 queries