Можно ли в AVZ добавить проверку ярлыков на рабочем столе, панели быстрого запуска, а также проверку ярлыков для всех установленных в системе браузеров?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку Прервать работу скрипта. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.
Проблема снова актуальна на релизной версии AVZ с последним обновлением баз, похоже поломалось с обновлением баз.
И заодно уже столько исправлений было сделано, а дата обновления полиморфа
1. Парочка стилистических ошибок в справке (в локальной и в он-лайн версиях):
Подсистема AVZGuard - О технологии.
Рекомендации (2 пункт):
• С точки зрения regedit операция пройдет успешно, но если обновить (данный) данные при помощи F5, то можно убедиться, что реестр не изменился.
Особенности выключения ПК при включенном AVZGuard.
• Некоторые (приложение) приложения в момент завершения могут выдавать сообщение о ошибках, (связанные) связанных с ограничением их деятельности
Заключение (красным):
Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после (лечение) лечения с его использованием.
2. Пресловутый mobogenie снова попал в базу доверенных (виден в зеленых строчках лога).
Последний раз редактировалось Sandor; 27.05.2014 в 16:22.
Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. Вот пример лога.
- - - Добавлено - - -
Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64
Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. Вот пример лога.
- - - Добавлено - - -
Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64
почему путь к файлу не был нормализован (заменён на пусть к папке windows) ?
3.2 - регулярный фолс на файлы с типа
C:\WINDOWS\TEMP\~DF4553.tmp
уже один раз указывал на это здесь. Кстати и на msi переодически ещё ругается, что-то типа Trojan.BAT.Del
4) Опять неэкранированные кавычки, правда здесь базы старые. Возможно это уже исправлено, но на всякий случай лог
6) Если для команды DeleteFile есть возможность указать разрядность файла (AMode : string = '32'), то такая же возможность по идее должна поддерживаться и для команды SysCleanAddFile.
7) DeleteDirectory(' ',' ') - во второй паре кавычек какой аргумент можно указывать? Это для того чтобы указать каким алгоритмом будет удаляться папка?
Увидел что тут присутствует Олег Зайцев потому решил написать сюда!
Смотрите что мне удалось увидеть, загрузился с установочного диска Windows 8 через командную строку запустил АВЗ и увидел в логах такое
А почему я лог загрузить сюда не могу?! Ладно вот сюда закинул http://rghost.ru/56583277
Карантин сделать не получается пишет что ошибка, под самой виндовс 8 эти файлы АВЗ видит зелёным цветом, ведать это новый способ того как зараза скрывается...
Что скажите?! Как от этого избавиться?!
Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:
Последний раз редактировалось NickMukola; 26.06.2014 в 14:05.
Если система загружена с диска, AVZ исследует её, а не зараженную ОС.
Ух ты живой специалист появился, а то я думал все вымерли как мамонты, спасибо что отаукнулись Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =(
Кстати ещё раньше из загрузочного диска АВЗ тоже на диске С: нашел какой то файл, котрый из по самой оси АВЗ не находил почему то... Счас пороюсь в старых логах и скажу что за файл был...
Вот вроде это5c99b5c6d066.png под самим виндовсом оно этот gm.dls не видело, как то эта дрянь скрывалась...
PS что то мне ни логи ни скрины на ваш сайт закидывать не выходит, приходиться стронными ресурсами пользоваться...
Последний раз редактировалось NickMukola; 26.06.2014 в 15:47.
Ух ты живой специалист появился, а то я думал все вымерли как мамонты
Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.
Сообщение от NickMukola
Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =(
Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность.
Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.
Да что туда заглядывать от них помощи и так ни какой =( В отчётах куча красных строк как на скриншоте 1a7dcbe920c8.png а они говорят что так должно быть, впрямь такое ощущение что они прикрывают эту заразу...
Сообщение от Никита Соловьев
Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность..
Да именно его и имею ввиду =) Я конечно не сильно разбираюсь в этих тонкостях настройки АВЗ(как и на что оно там заточено искать) но коль оно мне из под установочного диска виндовс 8 нашло на диске С: этот файп gm.dls и теперь проверка АВЗ из под самого виндовса 8 больше не выдаёт сообщений о подозрении на Trojan-Downloader.Win32 то значит таки как то оно скрывалось раньше, а Вы говорите не ищет оно ничего на диске С:, а ведь нашло =)
Я делал скрипт 3 и галочки были установлены на этом диске X: (который зачем то создаётся) и ещё ставил галку на диске C: Хотя какая разница, если в базах АВЗ эти файлы не существуют значит они какие то не такие, потому их и отмечает желтым, вроде даже UVS запущенное из под установочного диска виндовс 8 ругалось на этот файл SystemPropertiesPerformance.exe, и ещё раз повторюсь
"Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:" короче сидит какая то зараза, давайте калитесь как Вам её выковырять и предоставить на обследование...
- - - Добавлено - - -
Сообщение от thyrex
Диск С в данном случае не проверялся. Вам по-русски вроде написали
ой спасибо что сказали, а я то думал это на китайском =) Что же Вы злой такой то?! Плевать где оно там что ищет, Олег Зайцев базы АВЗ обновляет постоянно, и коль эти файлы пошли желтым значит тут уже что то не то, вот и хочу разобраться.... Лучше скажите мне подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидить какой файл на этом секторе лежит, а то я тут вроде кое что заметил
- - - Добавлено - - -
И ещё вот эти три красавца напрягают:
dump_diskdump.dmp
dump_dumpfve.dmp
dump_nvstor.dmp
dump_diskdump.dmp и dump_nvstor.dmp после проверки на virustotal.com в этих дампах ничего не выявлено!
А вот эта дрянь dump_dumpfve.dmp на вирустотал имеет какую то дрянь в себе вот смотрите мало того на сколько я нагуглил оно имеет отношение к 64 разрядному виндовс, а у меня сейчас стоит 32, зачем оно мне?! Правда когда то стоял виндовс 7(64) ведать что то от него осталось но где?! Тем более что я делал затирание всего диска С: нулями перед установкой 8ки...
Кстати в АВЗ из под виндовс 7/8 дампы модулей ядра делаются на ура, а вот из под виндовс ХР почему то дампы модулей ядра делать нельзя, папка DMP не появляется, это я у знакомого выяснил что такие фокусы в ХР происходят, хотя ХРка уже на покой мелкософтом отправлена может и не стоит по этому поводу заморачиваться...
NickMukola, такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.
NickMukola, такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.
Ну вот как всегда по сути вопроса Вам нечего сказать, а рот баном затыкать Вы я вижу умеете и опыт у Вас наверное в этом большой =)
А что я собственно не так сказал?! Написал правду что в раздел "Помогите" нет смысла обращаться, и написал почему я так считаю, и вместо того чтобы задуматься над этим и улучшить свой ресурс в помощи юзерам Вы делаете наоборот!
По поводу сообщения к thyrex ну так тут какой привет такой ответ, ведь по сути вопроса он ничего не ответил, а нравоучениями со мной заниматься не нужно!
ВОТ ИМЕННО ЧТО ХОЧУ ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ И ОТВЕТ НА СВОИ ВОПРОСЫ, потому и решил тут написать, + создатель данной программы ОЛЕГ ЗАЙЦЕВ тут присутствует, честно говоря если бы не Олег я бы тут и не писал вовсе ничего!
Подозреваю что эта дрянь присутствует на многих компьютерах не только у меня, но по какой то причине она мастерски скрывается, ДАВАЙТЕ РАСКОПАЕМ ЭТО ДЕЛО И ТОГДА ПРОГРАММЕ AVZ ЦЕНЫ НЕ БУДЕТ, А ВЫ ПОЧЕМУ ТО ДЕЛАЕТЕ ВСЁ ДЛЯ ТОГО ЧТОБЫ НИЧЕГО КОПАТЬ В ДАННОМ НАПРАВЛЕНИИ, ИЛИ МНЕ ПОКАЗАЛОСЬ...
Сейчас вижу только один выход старый дедовский метод затереть весть жесткий диск и снести всё, но тогда я не смогу дать вам на растерзание эту дрянь, и оно дальше будет фунциклировать где то у кого то...
ПОДСКАЖИТЕ МНЕ, ЕЩЁ РАЗ ПОВТОРЮСЬ:
"Лучше скажите мне, подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидеть какой файл на этом секторе лежит, а то я тут вроде кое что заметил" я просто наблюдаю некие партиции ФАТ в старой разметке жесткого диска, хотя никогда не создавал такого добра, вот и предполагаю что оттуда ноги растут, возможно это оттуда всё подгружается в момент зависания загрузочного диска виндовс(я выше об этом писал)
- - - Добавлено - - -
Я понимаю так, коль базы всегда обновляются (ведь АВЗ не мертвый проект, а вполне развивающийся) и коль оно показывает эти файлы на диске X: желтым значит уже что то не то, в карантин закинуть их не могу пишет какую то ошибку в прямом чтении(ведать эта дрянь защищается так) а под установленным виндовс 8 эти же файлы с такими же названиями/именами вроде как есть на диске С: но уже АВЗ их показывает почему то зелёным, мыслю ловите?! Вот вам новый метод как оно прячется!
Сначала я грешил на установочный диск виндовс 8, так как мой лицензионный в руках ребёнка дал трещину =) (но ключ то от виндовса остался) потому скачал образ с торрента записал на болванку, но потом выяснил что с образом из торрента всё как бы нормально ведь хеш сума образа сходиться с сайтом MSDN значит оригинал!
Вот мои копания и привели меня к этим неизвестным парциям ФАТ...
Последний раз редактировалось NickMukola; 27.06.2014 в 17:20.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
@="http=127.0.0.1:8080"
2)
Сообщение от regist
3.2 - регулярный фолс на файлы с типа
C:\WINDOWS\TEMP\~DF4553.tmp
Собрал небольшую подборку логов с фолсом на файлы вида TS_8BCC.tmp лежит тут.
Надеюсь этого достачно чтобы откректировать эвристику на эти файлы. Во всех этих логах в этих файлах подозревается Подозрение на Trojan.Win32.Agent2.byu.
3) Просьба проверить насколько удачно удаляет AVZ драйвер regfltrx64.sys при заражение
not-a-virus:AdWare.Win32.Tirrip (Adware.PirritSuggestor) на х64 системах.
64-х битный ИСПОЛНЯЕМЫЙ
тип запуска: При инициализации ядра (1)