Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.
Последний раз редактировалось zerocorporated; 29.09.2008 в 11:33.
@ Jef239
Это что-то новенькое... =)
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это System, а не System Idle Process (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса System - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.
Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?
@ zerocorporated
У меня такого эффекта не наблюдается, все отображается абсолютно корректно...
PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?
Последний раз редактировалось aintrust; 18.12.2007 в 09:13. Причина: Добавлено
А мой вопрос на предыдущей странице?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Олег, посмотрите пожалуйста логи в этом сообщении:
http://virusinfo.info/showpost.php?p=162129&postcount=6
Чем объяснить, что в логе HJT видно:
а в AVZ - нет?O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
I am not young enough to know everything...
Есть запись в реестре, которую нужно показать в любом случае.
Да не похоже ;( http://virusinfo.info/showthread.php?t=12651
объясните пожалуйста обозначение результата сканирования
вот цитирую часть лога
я так и не понял, программа обнаружила Руткит или нет?Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E711B9->77ED6D7B
Перехватчик kernel32.dll:CopyFileA (62) нейтрализован
Функция kernel32.dll:CopyFileExA (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->77EB1E41->77ED6D8A
Перехватчик kernel32.dll:CreateProcessW (100) нейтрализован
Функция kernel32.dlleleteFileA (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7177A->77ED6DB7
Перехватчик kernel32.dlleleteFileA (125) нейтрализован
Функция kernel32.dlleleteFileW (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E71660->77ED6F1F
Перехватчик kernel32.dll:MoveFileW (602) нейтрализован
Функция kernel32.dllpenFile (615) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E72B38->77ED6D4E
Перехватчик kernel32.dllpenFile (615) нейтрализован
>>> Внимание, таблица KiST перемещена ! (804FBCA0(284)->E18E3758(297))
Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80556B0E->F2A73302), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805809A6->F2A7102C), перехватчик
D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtQueryInformationFile (97) перехвачена (8055841A->F29A627A), перехватчик D:\WINDOWS\System32\Drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805AB91E->F2A70BB4), перехватчик
В ходе сканирования программа снимает хуки и следит за перехватами.
Тут у Вас перехват от cmdmon.sys, но читаем дальше:
Т.е. это не руткит.Код:Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Конкретно тут - cmdmon.sys от Comodo Firewall, klif.sys - от Антивируса Касперского
Угу, описался.
О!!!!!!!!!! Полюбуйся!!!!!!!!!!!!!!!! ROTFL! Да, фактическая длина dta -8192 байта. А ты разве не тестер, что не заметил такое чудо?
Код:Ошибка карантина файла, попытка прямого чтения (F:\WINNT\System) Карантин с использованием прямого чтения - ОК Файл успешно помещен в карантин (F:\WINNT\System)Код:[InfectedFile] Src=F:\WINNT\System Infected=avz00104.dta Virus=Скопирован автоматически из диспетчера процессов QDate=19.12.2007 0:11:38 Size=0 MD5=EF8BE0A44DDA0FBFEC365549DE09BA97
Или у тебя в XP иначе, или ты не понял как смотреть. Передвигаешь сплитер вверх, за границу Constraints.MinHeight. Отпускаешь сплитер. Он уставливается по MinHeight. И видишь описанный эффект.
Кроме того, что описано, не виден сплитер.
Для визуального пропадания эффекта нужно сделать rearrange, например, путём максимизации или нормализации окна.
Команда DeleteService не работает,
не только для активного, но и для отключенного сервиса/драйвера!
Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает .
I am not young enough to know everything...
этот вариант, действительно можно реализовать, использую планировщик заданий, либо системный, либо встроенный в антивирусные программы... тем более, что через консоль управления (Enterprise Edition) можно любому компьютеру поставить задание удаленного запуска AVZ с получением лога исследования и с выполнением уже готового скрипта лечения.
ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.
Последний раз редактировалось santy; 19.12.2007 в 14:23.
Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?Код:O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
Свежий пример тут:
http://virusinfo.info/showthread.php?t=15469
I am not young enough to know everything...
Если служба реально существует, и у нее задан реальный тип автозапуска, то AVZ ее покажет. И файл покажет ... в виде:
с:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет
Добавлено через 6 минут
А все дело в том, что для анализатора нужна стационарная база + много чего еще, это очень громоздакая технология. Очень мощная, но очень громоздкая. Под нее мощный сервак нужен, база и прочее
Добавлено через 2 минуты
Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)
Последний раз редактировалось Зайцев Олег; 19.12.2007 в 17:30. Причина: Добавлено