AVZ 3.10 - предлагаю потестировать и обсудить

[Fluid]

Здравствуйте.
Спасибо за всем помощь, оказанную мне по поводу моего вопроса.
Отдельное спасибо Олегу за письмо и рекомендации :-).
Проблема решена, спайвари убиты, я фанатею от AVZ. :-)
Ещё раз благодарю за внимание и помощь.

Протокол антивирусной утилиты AVZ версии 3.10
Сканирование запущено в 15.03.2005 14:13:35
Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
Загружены микропрограммы эвристики: 154
Загружены цифровые подписи системных файлов: 24033
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessW (77) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:CreateRemoteThread (7 перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dllebugActiveProcess (89) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:ExitProcess (145) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FreeLibrary (200) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:GetProcAddress (344) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dlloadLibraryExW (48 перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dllpenThread (540) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:TerminateProcess (722) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:TerminateThread (723) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:WriteProcessMemory (79 перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=07F7E0, RVA=07F7E0)

как можно вычислить, кто эти перехватчики установил?!
При выборе Блокировки - все корректно блокируется (при следующих проверках ничего не находит) , но после перезагрузки - все встает на свои места.

Заранее благодарен

[Зайцев Олег]

как можно вычислить, кто эти перехватчики установил?!
При выборе Блокировки - все корректно блокируется (при следующих проверках ничего не находит) , но после перезагрузки - все встает на свои места.

Заранее благодарен

Тут можно сделать несколько выводов:
1. Это точно перехват - иначе AVZ бы или вылетел с ошибкой после лечения, или бы увидел перехват при повторном сканировании (наличие перехвата при выходе из AVZ и повторном его запуске - норма. Дело в том, что AVZ "лечит" руткита только для своего процесса);
2. Набор функций немного странный для руткита - больше похоже на некий антивирусник, Firewall или отладчик.

Для более точного определения стоит снять лог HijackThis и сбросить его для анализа ... или поочередно выгружать запущенные программы и повторять сканирование без блокирования RootKit до пропадения перехвата. Хотя установлено, что при выгрузке некоторых антивирусных мониторов (в частности KAV) перехват остается

Было бы класно , если было бы возможно точно определить какая программа перехватывает . Если не возможно это сделать с помощью самой AVZ , может какой плагин придумаете ?
Спасибо .

[Зайцев Олег]

Было бы класно , если было бы возможно точно определить какая программа перехватывает . Если не возможно это сделать с помощью самой AVZ , может какой плагин придумаете ?
Спасибо .

Да тут беда не к сожалению не в плагине (написать что-то как раз легко), а в методике.... - нет хорошей методики определения. Дело в том, что AVZ "видит" изенения в коде функции, в большинстве случаев может найти тело функции-перехватчика. Но ассоциировать ее с приложением пока не выходит (к примеру, программа Х может внедрить в чужой процесс перехватчик, но при этом проследить связь между перехватчиком и внедрившей его программой Х очень затруднительно) ... но работы в этом направлении ведутся. Пока идея только одна - сигнатуры для опознания известных перехватчиков ....

[azza]

Заранее предупреждаю, что я чайник в этом вопросе, поэтому прошу отнестись к тому, что я предложу снисходительно, но нельзя ли как-то спровоцировать хозяина перехватчика проявить себя, сэмулировав события, которые он перехватывает?

Тут можно сделать несколько выводов:
1. Это точно перехват - иначе AVZ бы или вылетел с ошибкой после лечения, или бы увидел перехват при повторном сканировании (наличие перехвата при выходе из AVZ и повторном его запуске - норма. Дело в том, что AVZ "лечит" руткита только для своего процесса);
2. Набор функций немного странный для руткита - больше похоже на некий антивирусник, Firewall или отладчик.

Для более точного определения стоит снять лог HijackThis и сбросить его для анализа ... или поочередно выгружать запущенные программы и повторять сканирование без блокирования RootKit до пропадения перехвата. Хотя установлено, что при выгрузке некоторых антивирусных мониторов (в частности KAV) перехват остается

методом исключения выяснилось - виновник Tiny Personal Firewall....

[Зайцев Олег]

Заранее предупреждаю, что я чайник в этом вопросе, поэтому прошу отнестись к тому, что я предложу снисходительно, но нельзя ли как-то спровоцировать хозяина перехватчика проявить себя, сэмулировав события, которые он перехватывает?

Можно и достаточно логично это сделать. AVZ применяет это как один из элементов охоты на кейлоггеры - он имитирует нажатие клавиш и перемещение мыши и "смотрит" на реакцию системы. Нечто подобное я пытаюсь применить для руткита ....
Posted by: Dandy
Понятно - значит, Tiny контролирует создание/становку процессов и загрузку библиотек ... - это логично для Firewall

[hitretz]

Здравствуйте Олег.Я вобщем-то недавно столкнулся с вашей программой и она мне очень помогла.Хотел только спросить-а почему нет поиска обновлений и их загрузка?Спасибо

[pig]

Так бета же. Всё будет. Первым делом - самолёты. А шашечки - потом.

Объясните, пожалуйста, что означает "таблица экспорта найдена в секции .text" ? Это что-то нехорошее?

И ещё вопрос - не знаю куда написать -
вчера при выключении компа вылезло уведомление о не отвечающей программе со странным названием CiceroUIWindFrame - что это может быть не могу нигде найти. Проверяла Кашперским, AVZ, AntiSpyWare - никто ничего не находит. Кто нибудь знает что это такое?

[Зайцев Олег]

Объясните, пожалуйста, что означает "таблица экспорта найдена в секции .text" ? Это что-то нехорошее?

И ещё вопрос - не знаю куда написать -
вчера при выключении компа вылезло уведомление о не отвечающей программе со странным названием CiceroUIWindFrame - что это может быть не могу нигде найти. Проверяла Кашперским, AVZ, AntiSpyWare - никто ничего не находит. Кто нибудь знает что это такое?

"таблица экспорта найдена в секции .text" - это отладочное сообщение, просто констатация факта ... в окончательно релизе я наверно это уберу.
Название CiceroUIWindFrame вроде как принадлежит системному окну - вот описание похожего глюка:
http://www.tech-archive.net/Archive/...4-03/9167.html

[azza]

И ещё вопрос - не знаю куда написать -
вчера при выключении компа вылезло уведомление о не отвечающей программе со странным названием CiceroUIWindFrame - что это может быть не могу нигде найти.

Вот здесь почитай:
http://groups.google.nl/groups?hl=nl...a=N&tab=wg&lr=
А поможет наверное это:
http://www.attention-to-details.com/...ashes.asp#a281

[Alexey P.]

Как отключить распознавание речи и рукописного ввода в Microsoft
Office XP
Код статьи : 326526
Последний просмотр : 8 апреля 2003 г.
Редакция : 1.0

Данная статья была ранее опубликована под номером RU326526

Содержание
Аннотация
Удаление компонентов из установки Office

Отключение распознавания рукописного ввода
Отключение распознавания речи
Ссылки

Продукт Microsoft Office содержит компоненты распознавания речи и
рукописного ввода.

Вы можете использовать распознавание речи, чтобы диктовать текст в
любом приложении Office. Также, Вы можете выбирать пункты меню,
панели инструментов, диалоговые окна (только в Англоязычной версии)
и элементы панели задач (только в Англоязычной версии), пользуясь
Вашим голосом. Распознавание речи устанавливается как часть таких
типов установок Office, как "Обычная" и "Полная". Если выбран режим
установки "Выборочная", то программа установки Office установит эти
компоненты как часть компонента "Альтернативный ввод данных" из
раздела "Общие средства Office".

Использование распознавания рукописного ввода для ввода текста в
любое приложение Microsoft Office позволяет писать, вместо того
чтобы печатать. Вы можете писать, используя мышку или используя
устройства рукописного ввода сторонних производителей. Приложения
Office могут автоматически преобразовывать этот ввод в напечатанный
текст. В Microsoft Word и Microsoft Outlook (если Word является
редактором для почты) рукописный ввод может быть сохранен в виде
объекта "картинка" Вашей личной подписи. Функция распознавания
рукописного ввода поддерживает функции рисования, и поэтому Вы
можете вставлять в Ваши документы Word рисунки, сделанные от руки.

После установки Office XP и включения компонентов распознавания речи
и рукописного ввода эти компоненты становятся частью операционной
системы и не могут удалены, даже если Вы удалите эти компонеты в
режиме "Сопровождение" программы установки Office XP.

В данной статье описывается, как отключить распознавание речи и
рукописного ввода.

К началу статьи

Удаление компонентов из установки Office

Внимание! Некорректное использование редактора системного реестра
может привести систему в неработоспособное состояние и потребовать
проведения полной переустановки операционной системы. Microsoft не
несет ответственности за некорректное использование редактора
реестра.

Примечание: Поскольку в различных версиях Windows процедура
выполнения следующих действий может отличаться, руководствуйтесь
прилагаемой к системе документацией.

1. Нажмите комбинацию клавиш "CTRL+ALT+DEL" и запустите "Диспетчер
задач".
Прейдите на вкладку "Процессы". Если процесс "CTFMON.EXE"
2. находится в списке, то следует выделить его и нажать кнопку
"Завершить процесс".
3. Закройте окно "Диспетчера задач".
4. Нажмите кнопку "Пуск" и откройте "Панель управления".
5. Откройте элемент "Установка и удаление программ".
6. Выберите из списка продуктов "Microsoft Office XP" и нажмите
кнопку "Изменить".
7. Выберите параметр "Добавить/удалить компоненты" и нажмите кнопк
"Далее".
В окне "Устанавливаемые компоненты" выполните следующие
действия:

Раскройте ветвь "Microsoft Office".

Раскройте ветвь "Microsoft Excel for Windows", щелкните по
значку рядом с компонентом "Текст в речь" и выберите вариан
установки "Недоступно".
Раскройте ветвь "Общие средства Office".

Раскройте ветвь "Альтернативный ввод данных".
8.
Щелкните по значку рядом с компонентом "Речь" и выберит
вариант установки "Недоступно".
Щелкните по значку рядом с компонентом "Рукописный ввод
и выберите вариант установки "Недоступно".
Раскройте ветвь "Средства проверки правописания".

Раскройте ветвь "Французский", щелкните по значку рядом
с компонентом "Английский - Французский перевод" и
выберите вариант установки "Недоступно".
Раскройте ветвь "Испанский", щелкните по значку рядом с
компонентом "Английский - Испанский перевод" и выберите
вариант установки "Недоступно".
9. Нажмите кнопку "Обновить".
10. После завершения обновления нажмите кнопку "Пуск" и запустите
команду "Выполнить".
В строке "Открыть" введите команду regsvr32 /u msctf.dll и
11. нажмите кнопку "ОК". При появлении сообщения об успешном
выполнении программы нажмите кнопку "ОК".
12. Нажмите кнопку "Пуск" и запустите команду "Выполнить".
13. В строке "Открыть" введите команду regedt32.exe и нажмите кнопку
"ОК".
14. Откройте следующий раздел системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\
15. Правой кнопкой мыши щелкните по параметру "Ctfmon.exe", выберите
команду "Удалить" и нажмите кнопку "Да".
16. Закройте редактор реестра.

Повторите шаги с 1-го по 16-й для каждого профиля на данном
компьютере.

К началу статьи

Отключение распознавания рукописного ввода

1. Нажмите кнопку "Пуск" и откройте "Панель управления".
2. Откройте элемент "Язык и региональные стандарты".
3. Перейдите на вкладку "Языки" и нажмите кнопку "Подробнее".
4. Нажмите кнопку "Языковая панель".
5. Установите флажок "Выключить дополнительные текстовые службы".
6. Нажмите кнопку "ОК". При запросе о подтверждении изменений
нажмите кнопку "Да". Нажмите кнопку "ОК".

К началу статьи

Отключение распознавания речи

1. Нажмите кнопку "Пуск" и откройте "Панель управления".
2. Откройте элемент "Язык и региональные стандарты".
3. Перейдите на вкладку "Языки" и нажмите кнопку "Подробно".
4. В списке "Установленные службы" выберите "Распознавание речи" и
нажмите кнопку "Удалить", затем нажмите кнопку "ОК".
Нажмите кнопку "ОК", чтобы применить все изменения.
5.
Перезагрузите компьютер.

К началу статьи

Ссылки

За дополнительной информацией по компонентам распознавания речи и
рукописного ввода обратитесь к следующим статьям Microsoft Knowledge
Base:
321768 OFFXP: Computer Runs Slowly When You Use Handwriting
Recognition and Speech Recognition Components
315765 PRB: Random Characters Appear in Office XP Documents or the
Internet Explorer Address Bar After You Install Speech Recognition
К началу статьи

----------------------------------------------------------------

Информация в данной статье применима к:

Microsoft Office XP Standard Edition
Ключевые слова:
kbhowto kbhowtomaster kbdta KB326526

. 2005 Корпорация Microsoft. Все права защищены.

[Зайцев Олег]

Вышла новая версия AVZ - версия 3.11
Изменения:
1. Изловлена ошибка, возникающая в Win 98 при сканировании (из-за этого и выпущена версия)
2. Обновлены базы, разные мелкие доработки в антирутките, нейросети ...
3. Новая база: 10362 сигнатуры, 1 нейропрофиль (пошедший очередное обучение), 19 микропрограмм лечения, 161 микропрограмма эвристики, 24681 безопасных файла (в базу безопасных файлов занесено более 500 файлов, на которые ругался антикейлоггер - большое спасибо всем, кто прислал эти файлы на анализ)
4. Немного доработаны просмотрщики процессов и сервисов - из диспетчера процессов теперь можно копировать в карантин все процессы (и все DLL процесса), которые отсутсвуют в базе безопасных файлов AVZ. В диспетчере процессов появилось первое подобие протокола в CSV формате

[Geser]

[quote author=Зайцев Олег link=board=28;threadid=857;start=40#msg8816 date=1111135104]

4. Немного доработаны просмотрщики процессов и сервисов - из диспетчера процессов теперь можно копировать в карантин все процессы (и все DLL процесса), которые отсутсвуют в базе безопасных файлов AVZ. В диспетчере процессов появилось первое подобие протокола в CSV формате
[/quote]
Наконец-то Сколько у тебя твой ящик выдерживает? Я тебе сейчас скину много много чистых файлов с англоязычной винды
Лучше по FTP

[Geser]

[quote author=Зайцев Олег link=board=28;threadid=857;start=40#msg8816 date=1111135104]
В диспетчере процессов появилось первое подобие протокола в CSV формате
[/quote]
Не нашел.

Кнопки "Скопировать в карантин всё неизвестное" нету диспетчере процессов и драйверов

Сортировка добавилась с диспетчере процессов, это хорошо, но не хватает сортировки по дате созданиай/изменения файла

[Зайцев Олег]

Не нашел.

Кнопки "Скопировать в карантин всё неизвестное" нету диспетчере процессов и драйверов

Сортировка добавилась с диспетчере процессов, это хорошо, но не хватает сортировки по дате созданиай/изменения файла

Ой, пардон ... действительно нет ... сейчас исправлю

[Зайцев Олег]

[quote author=Зайцев Олег link=board=28;threadid=857;start=40#msg8822 date=1111137916]
Ой, пардон ... действительно нет ... сейчас исправлю
[/quote]
Все, на прежнем месте поправленная версия ... извиняюсь, ошибочка вышла - функцию то я сделал, а про кнопочки забыл

[kps]

В общем так, критика ;D
1) Наверно архив логичнее назвать avz-betta3, но это так, мелочи.
2) Я как то давал пару чистых файлов для базы - пока они не внесены... лежат вот тут АВЗ тоже не внесен ;D
3) Помнишь, я как-то присылал примерчик окошка запроса подтверждения - он все еще подозревается в том, что он бэкдор
4)
Запускаю АВЗ
Вот кусок лога
---
3. Сканирование дисков
//Вот тут при сканировании диска E: я нажимаю на "стоп" и вот что пишется в лог
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\OOBE\IMAGES\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\OOBE\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\
Операция прервана пользователем
Ошибка при сканировании каталога e:\
---
надо бы пофиксить.

З.Ы А индикатор проверки порадовал.