Страница 5 из 12 Первая 123456789 ... Последняя
Показано с 81 по 100 из 224.

Вышла новая версия антивирусной утилиты AVZ - 4.43

  1. #81

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #82
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег,

    1) AVZ проверяет настройки прокси и выводит в лог информацию об

    Но AVZ не проверяет ключ
    Код:
    HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\
    например не видит такое
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
    @="http=127.0.0.1:8080"
    Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies

  4. Это понравилось:


  5. #83
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    http://virusinfo.info/attachment.php...4&d=1414069276
    опять Winlogon, Shell неправильно распарсило.
    Код HTML:
    <ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"

  6. #84
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    http://virusinfo.info/attachment.php...4&d=1414069276
    опять Winlogon, Shell неправильно распарсило.
    Код HTML:
    <ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"
    Пофиксил. Но без обновления самого AVZ не исправится - там логика парсера была построена исходя из предположения, что в параметре shell может быть одно значение. Я посмотрел, как реализован код в системе (на примере Win7), и оказалось, что там допускается указание нескольких исполняемых файлов, разделитель - запятая или пробел.

  7. #85
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies
    Зайцев Олег, похоже при этом что-то поломалось в диагностике сети. Подробней см. скрин. Оба лога сделаны на одной и той же системе. Один лог базы последний раз обновлялись до этой фичи, второй лог (где информации по ping нет) базы обновлены только что.



    - - - - -Добавлено - - - - -

    форум урезает картинку, так что http://i66.fastpic.ru/big/2014/1024/...17f2a94db7.png так смотреть удобней.

  8. #86
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег, похоже при этом что-то поломалось в диагностике сети.
    В XML оно писалось как положено, но был отключен вывод данных в лог. Подправил, базы обновлены - теперь данные пишутся в лог как и ранее. Есть мысли, что еще и как следует проверять в разделе диагностики сети ?

  9. #87
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Есть мысли, что еще и как следует проверять в разделе диагностики сети ?
    Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".
    WBR,
    Vadim

  10. #88
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".
    Поддерживаю, иногда только из-за этого приходится дополнительные логи просить.

  11. #89
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег,
    1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для примера лог. Это можно исправить с обновлением баз?
    Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?

    2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. (про этот баг кажется уже писали, но вроде он остался без внимания)..

    3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.

  12. #90
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег,
    1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для примера лог. Это можно исправить с обновлением баз?
    Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?

    2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. (про этот баг кажется уже писали, но вроде он остался без внимания)..

    3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.
    1. Это от режима поиска задания зависит (в новой версии будет выводиться в XML параметр TaskMode (1 -через API, 2б3 - напрямую разными методами) и параметр is64 - показывающий, в какой папке заданий найдено конкретное задание.

    2. Добавил, теперь поддерживается.

    3. Вывел в XML параметр AVZMD5 - он позволит контролировать изменения файла, и плюс позволит точно идентифицировать сборку AVZ

  13. #91
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам нужен точный список,
    1) Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.
    2) В список проверяемых блокировок думаю стоит добавить блокировку "Отключить контекстное меню." Настраивается также через gpedit.
    3) По ключу winlogon попался ещё один интересный лог http://rghost.ru/58818223


    Код HTML:
    <ITEM File=".exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Userinit" X4="""" Is64="0"/>
    4)
    Цитата Сообщение от regist Посмотреть сообщение
    При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах.
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    2. Добавил, теперь поддерживается.
    Как понимаю это будет уже в следующей версии AVZ ?

    5) Полиморф последний раз обновлялся 2014-06-03 может пора его обновить? Заодно и новые фичи можно было бы уже пробовать.

  14. #92

  15. #93
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Помогите победить вирус который не видит Доктор Веб (заявка № 170029) - из двух тушек зловреда в автозапуске AVZ увидел только одну.
    WBR,
    Vadim

  16. #94
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от regist Посмотреть сообщение
    Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.
    Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
    http://rghost.ru/58861838
    PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.

  17. #95
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
    http://rghost.ru/58861838
    PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.
    Да, там в "пилюле" 1 был более простой алгоритм проверки и чистки, чем в визарде (поэтому с скриптах лечения я советую включать визард в режиме автоисправления проблем вместо ExecuteRepair). Я поправил работу ExecuteRepair(1), базы обновлены.
    С "пилюлей №7" аналогично, подправил ее работу, базы обновлены

    Добавлено через 6 минут

    Цитата Сообщение от regist Посмотреть сообщение
    http://virusinfo.info/attachment.php...3&d=1414844377
    Адварь попала в базу чистых
    Код:
    c:\program files (x86)\suptab\loader32.exe
    https://www.virustotal.com/ru/file/2...c222/analysis/
    А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)

    Добавлено через 2 минуты

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Помогите победить вирус который не видит Доктор Веб (заявка № 170029) - из двух тушек зловреда в автозапуске AVZ увидел только одну.
    Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?
    Последний раз редактировалось Зайцев Олег; 05.11.2014 в 21:58. Причина: Добавлено

  18. Это понравилось:


  19. #96
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?
    Вроде как обычный:
    Код:
    HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run\Qinanq
    Возможно, зловред как руткит работает, UVS выдал:
    (!) Обнаружен сплайсинг: NtQueryDirectoryFile
    (!) Обнаружен сплайсинг: LdrLoadDll
    (!) Обнаружен сплайсинг: NtEnumerateValueKey
    После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.
    WBR,
    Vadim

  20. #97
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)
    Это за доказательство, что программа нежелательная сойдёт? https://www.google.com/search?ie=UTF...Tab&gws_rd=ssl
    и речь ведь всего-лишь о том, чтобы убрать из базы чистых.

  21. #98
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Это за доказательство, что программа нежелательная сойдёт? https://www.google.com/search?ie=UTF...Tab&gws_rd=ssl
    и речь ведь всего-лишь о том, чтобы убрать из базы чистых.
    как доказательство - нет, так как такое к каждой второй (если не первой) тулбари годится (начиная с приблуд от mail.ru Но выкинуть из БД чистых не вопрос, нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )

    Добавлено через 9 минут

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Вроде как обычный:
    Код:
    HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run\Qinanq
    Возможно, зловред как руткит работает, UVS выдал:
    После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.
    Юзер не все логи сделал. В его логе видно:
    Функция ntdll.dll:NtEnumerateValueKey (29 перехвачена, метод APICodeHijack.JmpTo[00076386]
    Функция ntdll.dll:NtQueryDirectoryFile (403) перехвачена, метод APICodeHijack.JmpTo[00076636]
    Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[000753C6]
    Функция ntdll.dllwEnumerateValueKey (1527) перехвачена, метод APICodeHijack.JmpTo[00076386]
    Функция ntdll.dllwQueryDirectoryFile (1631) перехвачена, метод APICodeHijack.JmpTo[00076636]
    Функция ntdll.dllwResumeThread (1712) перехвачена, метод APICodeHijack.JmpTo[000753C6]
    Но нет отметок о снятия перехвата, так как по умолчанию для минимизации глюков и конфликтов с антивирусами на Win7 антируткит AVZ работает без нейтрализации хуков.
    Последний раз редактировалось Зайцев Олег; 05.11.2014 в 23:21. Причина: Добавлено

  22. #99
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег, а что по поводу пунктов 4 и 5 тут http://virusinfo.info/showthread.php...=1#post1181576
    Я правильно, понял, что правки относящие is64 появятся, только в новой версии?
    -------------------
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    начиная с приблуд от mail.ru
    ну, по ним хоть ссылки для скачивания можно найти. А это в гугле искал, чтобы проверить есть ли детекты у каспера (по одной ссылке про это писали), а там везде только вопросы как удалить. И как доказательство вредности согласен не годится, а как доказательство "нежелательной программы", которую стоит видеть в логах и самому принимать решение .
    На вопрос про детект вы уже сами ответили, а также как понимаю это уже доказательство
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    AdWare.Win32.Agent.aljt

  23. #100
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )
    Зайцев Олег, кибер ведь понимает, что эти файлы (библиотеки, драйвера и т.д.) от одной программы? При этом он также видит, что на некоторые из файлов этой программы есть детект. Почему же он тогда добавляет другие части этой программы в базу доверенных? Ещё один пример с такой адварой когда кибер занёс её в базу, но детект на некоторые из её файлов был это Ace Stream.

Страница 5 из 12 Первая 123456789 ... Последняя

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.41
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 81
    Последнее сообщение: 23.02.2014, 15:01
  2. Вышла новая версия PostgreSQL
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 01.07.2009, 21:08
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 09:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 13:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 13:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00809 seconds with 17 queries