-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
azza
На свежеустановленном WinXP SP2 eng: ???Файл rsvpsp.dll на месте, всё работает. Где ошибка?
И почему-то при копировании лога из окна программы через буфер обмена в текстовый файл вместо русских букв получаются крякозябры.
А версия AVZ какая - такое впечатление, что это некая промежуточная версия из кеша прокси сервера.
Сегодня обновился AVZ - версия 3.15: 10454 сигнатуры, 1 нейропрофиль, 20 микропрограмм лечения, 161 микропрограмма эвристики и 28736 подписей безопасных файлов (включая файлы от XP SP1 eng). Доработки в приниципе затронули в основном базы и микропрограммы - усовершенствовано лечение разных зловредных зверей, в частности, наконец вроде-бы сделано полное излечение Look2me (хотя он стремительно меняется).
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
А как там с утилитай строящей список автозагрузки?
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
И версия 3.15
Протокол антивирусной утилиты AVZ версии 3.15
Сканирование запущено в 22.03.2005 12:49:42
Загружена база: 10454 сигнатуры, 1 нейропрофиль, 20 микропрограмм лечения
Загружены микропрограммы эвристики: 162
Загружены цифровые подписи системных файлов: 28736
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
Geser
А как там с утилитай строящей список автозагрузки?
Пишется - осталось уже немного ...
Posted by: Iceman
Да, 3.15 - это я уже зарапортавался ...
-
-
Visiting Helper
- Вес репутации
- 73
Re:AVZ 3.10 - предлагаю потестировать и обсудить
[quote author=Зайцев Олег link=board=28;threadid=857;start=80#msg9031 date=1111482787]
А версия AVZ какая - такое впечатление, что это некая промежуточная версия из кеша прокси сервера.
[/quote]
Странно, но это действительно оказалась 3.10. Вот дурень, не посмотрел. :-[
С LSP в 3.11 всё ОК.
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Здравствуйте!
А в jpg . файлах вирусы водятся?
Протокол антивирусной утилиты AVZ версии 3.15
Сканирование запущено в 22.03.2005 14:39:39
C:\WINDOWS\system32\oobe\html\mouse\images\bulzano .jpg>>> подозрение на Backdoor.Win32.Roxe.a ( 0ED6B00C 0F9FDD22 002BA086 0026C99B 72921)
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
-
-
Junior Member
- Вес репутации
- 70
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
azza
На свежеустановленном WinXP SP2 eng: ???Файл rsvpsp.dll на месте, всё работает. Где ошибка?
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "" --> отсутствует файл C:\WINDOWS\system32\rsvpsp.dll
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
...
Кстати, про LSP
Yesterdays (то есть вчерась ) чистил шефу комп от всяческих излишеств нехороших. Всякие проги умные использовал, в том числе и АВЗ, есс-но... Процесс очистки удачно подходил к завершению, когда коллега посмотрев на АВЗ захотел свой рабочий комп ради интереса проверить. Для полной крутизны он выставил все по максимуму, в том числе и автоматическое лечение LSP... Я-то сначала этого не знал
Ну, он проверил, все типа пучком, но сеть у него просто пропала. Тык-мык -> нифига, а если... нифига, а вот так попробуем... нифига... В итоге, переставили всю систему с нуля.
Но это еще не все! Я люблю находить причину всяких "случайностей", поэтому думал-думал и догадался, что он поставил галочку в АВЗ для автоматического исправления ошибок LSP. Хех... Догадался - надо проверить! ;D Ну, я на свежевычищенном компе шефа и проверил! Результат - комп сети не видит никак. Тоже пришлось ставить систему заново... Блин :
Система в обоих случаях Вин2000 сп4.
Напрашивается вопрос: что не так и где я не тут? ???
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
Energizer
Напрашивается вопрос: что не так и где я не тут? ???
Наверное была старая версия, в которой баг был. Хотя всегда лучше сначала посмотреть без автолечения.
-
-
Junior Member
- Вес репутации
- 70
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
Geser
Наверное была старая версия, в которой баг был. Хотя всегда лучше сначала посмотреть без автолечения.
Версия самая свежая на вчерашний день.
И раньше я всегда и запускал без автолечения, но вот коллега любопытный попался...
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
Energizer
Версия самая свежая на вчерашний день.
И раньше я всегда и запускал без автолечения, но вот коллега любопытный попался...
А если просканировать сегоднешней, находит ошибки или нет?
-
-
Junior Member
- Вес репутации
- 70
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
Geser
А если просканировать сегоднешней, находит ошибки или нет?
Хех! У меня завтра намечена чистка компа 1-го зама генерального... Вот есть возможность проверить ;D
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
Energizer
Кстати, про LSP
...
Напрашивается вопрос: что не так и где я не тут? ???
Да, судя по фрагменту лога это баг. Он давно пофиксен, и что интересно - эта версия лежала на сайте прмиерно 20 минут - короче говоря, закон Мерфи в чистом виде (плюс прокси или некое кеширование у моего провайдера - вероятно, нужно всетаки опять приходить к смене имени файла). Этот баг с правкой LPS был связан с доработкой для совместимости с некоторым LSP провайдерами, которые не прописывают полный путь к своим DLL. Надо было мне написать ...мы бы ПК шефа восстановили бы в лучшем виде. Но нет худа без добра - в новую версию AVZ я внесу опцию "восстановить эталонные настройки LSP" - для восстановления настроек в любой ситуации.
Posted by: J.F.
В базах AVZ есть несколько JPEG (в основном от разных троянов - в частности это обманки, применяемые для имитации окон приложений ... и несколько JPEG - эксплоитов). Данное срабатывание - скорее всего ложное срабатывание эвристика. Описание этого зверя есть у Symantec - http://securityresponse.symantec.com...door.roxe.html, он действительно живет в JPEG - он построен на уязвимости библиотек обработки JPEG, описанных в http://www.microsoft.com/technet/sec.../ms04-028.mspx ... судя по всему Backdoor.Win32.Roxe.a был изготовлен именно из этого bulzano.jpg.
-
-
Visiting Helper
- Вес репутации
- 73
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
Energizer
Кстати, про LSP
Система в обоих случаях Вин2000 сп4.
;D А почему у меня свежеустановленный Win XP?
Потому что до этого стоял Win2000 Sp4, ну и ...
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
azza
;D А почему у меня свежеустановленный Win XP?
Потому что до этого стоял Win2000 Sp4, ну и ...
Любители лечить всё подряд ;D
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
по моему, virus.zip не совсем практичное наименование для архива с зараженными телами? ругаются больно почтовые антивирусы.
(только что пытался переслать трояна-downloader-а, найденного AVZ 3.15. Trojan-Downloader.JS.Small.aq, определяется только KAV, AntiVir и AVZ! )
а какое имя архива формируется в карантине?
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
santy
по моему, virus.zip не совсем практичное наименование для архива с зараженными телами? ругаются больно почтовые антивирусы.
(только что пытался переслать трояна-downloader-а, найденного AVZ 3.15. Trojan-Downloader.JS.Small.aq, определяется только KAV, AntiVir и AVZ!
)
а какое имя архива формируется в карантине?
В карантине - любое - при создании архива выводится окно с запросом имени файла, там можно не только выбрать путь, но и поменять имя архива. А вот пароль "virus" задается автоматически. Далее в карантинной папке и в архиве файлам дается имя вида avzNNNNN.dta (где NNNNN - порядковый номер считая с 1), к каждому файлу карантина парно создается текстовый файл avzNNNNN.ini, содержащий информацию о исходном положении файла, его размере и причине карантина - его можно смотреть в блокноте, структура очень простая:
Код:
[InfectedFile]
Src=E:\oracle\ora92\bin\OCI.dll
Infected=avz00001.dta
Virus=Модуль пользователем из диспетчера процессов
Date=17.03.2005 17:33:38
Size=114688
-
-
Visiting Helper
- Вес репутации
- 73
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Поскольку AVZ эффективно борется с руткитами, планируется ли как-то обеспечить защиту от убиения процесса AVZ каким-нибудь продвинутым руткитом?
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Сообщение от
azza
Поскольку AVZ эффективно борется с руткитами, планируется ли как-то обеспечить защиту от убиения процесса AVZ каким-нибудь продвинутым руткитом?
В принципе какую-то защиту сделать я планирую. Правда AVZ пока не настолько известен, чтобы писатели руткитов стали бороться с AVZ (проще написать kernel-mode руткит, который почти невозможно обнаружить ). Кроме того, приложение с привилегией Debug может убить любой процесс ... и защититься от этого очень трудно
-
-
Re:AVZ 3.10 - предлагаю потестировать и обсудить
Win2ksp4
Запускаю avz под ЮЗЕРОМ (как текущий пользователь) - выдает:
5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Stardock\Object Desktop\wbhelp.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\wbhelp.dll>>> Нейросеть: файл с вероятностью 2.18% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Stardock\Object Desktop\WBlind.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\WBlind.dll>>> Нейросеть: файл с вероятностью 0.27% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\CursorXP\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\CursorXP\CurXP0.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши
Так же сидя под ЮЗЕРОМ запускаю как АДМИНИСТРАТОР - все чисто, ничего не находит.
Получаетя проверку надо делать под каждым пользователем?
OFF кстати такую же бацду заметил при проверке AdAware...один и тот же зараженный файл лежал в c:\Documents and Settings\ЮЗЕР\Local Settings\Temp\~vis0000\ и в c:\Documents and Settings\администратор\Local Settings\Temp\~vis0000\ ...при проверке как администратор находит файл только в \Documents and Settings\администратор\Local Settings\Temp\~vis0000\, в \Documents and Settings\ЮЗЕР\Local Settings\Temp\~vis0000\ - нет...и наоборот
???
-