Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
Последний раз редактировалось zerocorporated; 29.09.2008 в 11:33.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
@ Jef239
Это что-то новенькое... =)
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это System, а не System Idle Process (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса System - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.
Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?
@ zerocorporated
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...
PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?
Последний раз редактировалось aintrust; 18.12.2007 в 09:13. Причина: Добавлено
Я знаю про карантин System, это мелкий баг ... Там все просто, AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.Сообщение от aintrust
А мой вопрос на предыдущей странице?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
На месте знака ? стоит какой-то непечатный символ, который AVZ воспринял как разделитель. В теории это можно поймать, я думаю какОлег,
посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит
C:\WINDOWS\S
HJT показывает на ее месте
O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe
Из-за этого я забыл этот файл в скрипте пользователю.
Однако! =)
Олег, посмотрите пожалуйста логи в этом сообщении:
http://virusinfo.info/showpost.php?p=162129&postcount=6
Чем объяснить, что в логе HJT видно:
а в AVZ - нет?O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
I am not young enough to know everything...
А файл этот есть на диске?
Есть запись в реестре, которую нужно показать в любом случае.
Возможна ситуация, что файл чистый - тогда запись подавится
Да не похоже ;( http://virusinfo.info/showthread.php?t=12651
объясните пожалуйста обозначение результата сканирования
вот цитирую часть лога
я так и не понял, программа обнаружила Руткит или нет?Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E711B9->77ED6D7B
Перехватчик kernel32.dll:CopyFileA (62) нейтрализован
Функция kernel32.dll:CopyFileExA (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->77EB1E41->77ED6D8A
Перехватчик kernel32.dll:CreateProcessW (100) нейтрализован
Функция kernel32.dlleleteFileA (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7177A->77ED6DB7
Перехватчик kernel32.dll
Функция kernel32.dll
Перехватчик kernel32.dll:MoveFileW (602) нейтрализован
Функция kernel32.dllpenFile (615) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E72B38->77ED6D4E
Перехватчик kernel32.dll
>>> Внимание, таблица KiST перемещена ! (804FBCA0(284)->E18E3758(297))
Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80556B0E->F2A73302), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805809A6->F2A7102C), перехватчик
D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtQueryInformationFile (97) перехвачена (8055841A->F29A627A), перехватчик D:\WINDOWS\System32\Drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805AB91E->F2A70BB4), перехватчик
В ходе сканирования программа снимает хуки и следит за перехватами.
Тут у Вас перехват от cmdmon.sys, но читаем дальше:
Т.е. это не руткит.Код:Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Конкретно тут - cmdmon.sys от Comodo Firewall, klif.sys - от Антивируса Касперского
Угу, описался.
О!!!!!!!!!! Полюбуйся!!!!!!!!!!!!!!!! ROTFL! Да, фактическая длина dta -8192 байта. А ты разве не тестер, что не заметил такое чудо?
Код:Ошибка карантина файла, попытка прямого чтения (F:\WINNT\System) Карантин с использованием прямого чтения - ОК Файл успешно помещен в карантин (F:\WINNT\System)Код:[InfectedFile] Src=F:\WINNT\System Infected=avz00104.dta Virus=Скопирован автоматически из диспетчера процессов QDate=19.12.2007 0:11:38 Size=0 MD5=EF8BE0A44DDA0FBFEC365549DE09BA97
Или у тебя в XP иначе, или ты не понял как смотреть. Передвигаешь сплитер вверх, за границу Constraints.MinHeight. Отпускаешь сплитер. Он уставливается по MinHeight. И видишь описанный эффект.
Кроме того, что описано, не виден сплитер.
Для визуального пропадания эффекта нужно сделать rearrange, например, путём максимизации или нормализации окна.
Команда DeleteService не работает,
не только для активного, но и для отключенного сервиса/драйвера!
Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает.
I am not young enough to know everything...
этот вариант, действительно можно реализовать, использую планировщик заданий, либо системный, либо встроенный в антивирусные программы... тем более, что через консоль управления (Enterprise Edition) можно любому компьютеру поставить задание удаленного запуска AVZ с получением лога исследования и с выполнением уже готового скрипта лечения.
ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.
Последний раз редактировалось santy; 19.12.2007 в 14:23.
Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?Код:O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
Свежий пример тут:
http://virusinfo.info/showthread.php?t=15469
I am not young enough to know everything...
Если служба реально существует, и у нее задан реальный тип автозапуска, то AVZ ее покажет. И файл покажет ... в виде:
с:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет
Добавлено через 6 минут
А все дело в том, что для анализатора нужна стационарная база + много чего еще, это очень громоздакая технология. Очень мощная, но очень громоздкая. Под нее мощный сервак нужен, база и прочее
Добавлено через 2 минуты
Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)Команда DeleteService не работает,
не только для активного, но и для отключенного сервиса/драйвера!
Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает
Последний раз редактировалось Зайцев Олег; 19.12.2007 в 17:30. Причина: Добавлено
Добавьте кнопочку "Карантин через BC". Очень прошу...
Ваши права в разделе
