-
Сообщение от
RobinFood
мини-баг:
Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".
?
на домашней машинке не хочется проверять...
По поводу ошибок сканирования, у меня они появились по тем папкам, где есть вордовские документы с длинными русскими именами.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Зайцев Олег
Вот это уже интересно - неправильно определился адрес таблицы. Это какая операционка ? Очень желательно прислать мне для изучения ntoskrnl.exe с этого ПК.
OS: W3kSP1 - там в заголовке написано
Архив с файлом уже в пути.
-
-
Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40М
-
-
Сообщение от
shu_b
Сообщение от
RobinFood
мини-баг:
Если в диспетчере сервисов открыть закладку "Сервисы (по анализу реестра)", выбрать сервис и нажать на кнопку "Удалить сервис", то вместо него будет удален сервис, который был выбран на закладке "Сервисы (по данным API)".
?
на домашней машинке не хочется проверять...
Можешь на закладке "Сервисы (по данным API)" выделить один "зеленый" сервис, а на закладке "Сервисы (по анализу реестра)" - другой "зеленый" сервис, после чего при активной второй закладке нажми на "Удалить сервис". AVZ ругнется, что системные сервисы удалять не будет, при этом напишет имя сервиса с первой закладки.
Сообщение от
Geser
Кстати, старые темы по АВЗ я потёр. Там куча логов коорые не актуальны, а база данных и так уже 40М
Может, стоило хотя бы заархивировать? Мне хорошо, я успел их перечитать
-
-
Сообщение от
RobinFood
Можешь на закладке "Сервисы (по данным API)" выделить один "зеленый" сервис, а на закладке "Сервисы (по анализу реестра)" - другой "зеленый" сервис, после чего при активной второй закладке нажми на "Удалить сервис". AVZ ругнется, что системные сервисы удалять не будет, при этом напишет имя сервиса с первой закладки.
Да, даже не тот который выбрал, а соседний строчкой выше... :eek:
-
-
Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании.
На штатном месте обновленная версия 3.41, исправлено:
1. Ошибка поиска ядра в памяти, которая вылезла на W3K - логи и присланные файлы помогли пофиксить этот баг, был переделан алгоритм поиска. Плюс накручены новые уровни контроля в антирутките.
2. Устранено срабатывание антируткита на "перехваты" advapi32.dll под W3K
3. Устранен баг с кнопками стоп-старт-удаление в диспетчере сервисов - там кнопки должны работать только на первой закладке, на второй они должны быть неактивны
4. Вроде как пойман баг, возникающий при сканировании каталогов - ALEX(XX) по моей просьбе провел сканирование спец-версией AVZ, которая зафиксировала местоположение глюка;
5. Поправлен глюк, мешающий старту AVZ из сетевой папки (\\ в начале пути)
-
-
Сообщение от
Зайцев Олег
Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании.
На штатном месте обновленная версия 3.41
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска ядра - проверка прервана
-
-
Сообщение от
Зайцев Олег
Ну вот, первый анализ багов проведен - спасибо всем, что принял участие в тестировании.
На штатном месте обновленная версия 3.41, исправлено:
1. Ошибка поиска ядра в памяти, которая вылезла на W3K - логи и присланные файлы помогли пофиксить этот баг, был переделан алгоритм поиска. Плюс накручены новые уровни контроля в антирутките.
Теперь совсем KernelMode RootKit искать не хочет
Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 5/17/2005 4:36:00 PM
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска ядра - проверка прервана
2. Проверка памяти
Количество найденных процессов: 42
Количество загруженных модулей: 536
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 24 TCP портов и 14 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 578, найдено вирусов 0
Сканирование завершено в 5/17/2005 4:36:07 PM
Сканирование длилось 00:00:07
-
-
Junior Member
- Вес репутации
- 70
Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 17:32:19
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска ядра - проверка прервана
2. Проверка памяти
Количество найденных процессов: 25
Количество загруженных модулей: 322
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 9 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 20305, найдено вирусов 0
Сканирование завершено в 17.05.2005 17:44:03
Сканирование длилось 00:11:43
-
HEKTO
По крайней мере обнаружилась ошибка и ее местоположение (сообщение в логе говорит о том, чтот при поиске ядра возникли проблемы - дальнейший анализ при этом естетсвенно не проводится). Я еще раз обновил AVZ - я внес очередные правки в этой области. Короче говоря, проблемы возникают на W3K, причем я не могу пока понять почему - на тестовом W3K Server SP1 у меня все работает.
Если не трудно - пришлите мне еще файлик \WINDOWS\system32\ntkrnlpa.exe - для изучения ...
-
-
Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 19:41:30
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 81F9BB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->81F9BB58(297))
Проверено функций: 284, перехвачено: 0, восстановлено: 0
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
2. Проверка памяти
Количество найденных процессов: 22
Процесс c:\dnet\perproxy\proxyper.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\windows\system32\winhsvc.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\vba32\vba32ldr.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Процесс c:\avz-betta3\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll)
Количество загруженных модулей: 380
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 14 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 402, найдено вирусов 0
Сканирование завершено в 17.05.2005 19:41:57
Сканирование длилось 00:00:26
-
-
Это был лог с машины под W2K SP4 Server, так что проблема не только на 2003 Server
Файл сейчас вышлю.
-
-
Теперь так:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
Win2000 SP4 Rus. Высылать ntoskrnl.exe?
-
-
Теперь так:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
Win2000 SP4 Rus. Высылать ntoskrnl.exe?
Скачал обновленную версию - аналогично
-
-
Теперь так:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
Скачал обновленную версию - аналогично. Только W2K SP4 eng
-
-
Junior Member
- Вес репутации
- 70
Протокол антивирусной утилиты AVZ версии 3.41
Сканирование запущено в 17.05.2005 18:18:22
Загружена база: 13449 сигнатур, 1 нейропрофиль, 52 микропрограммы лечения
Загружены микропрограммы эвристики: 234
Загружены цифровые подписи системных файлов: 29674
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
2. Проверка памяти
Количество найденных процессов: 28
Количество загруженных модулей: 355
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINNT\system32\SSSensor.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINNT\system32\SSSensor.dll>>> Нейросеть: файл с вероятностью 99.86% похож на типовой перехватчик событий клавиатуры/мыши
>>> C:\Program Files\&RQ\hook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\&RQ\hook.dll>>> Нейросеть: файл с вероятностью 99.77% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 18 TCP портов и 13 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 383, найдено вирусов 0
Сканирование завершено в 17.05.2005 18:18:46
Сканирование длилось 00:00:23
hook.dll выслать чтоб добавили в безопасные? Просто это вроде как частичка альтернативного клиента icq.
ЗЫ у меня винда 2000, без СП4 но с кучей заплаток )
-
да, hook.dll стоит прислать - это явно мониторилка горячих клавиш.
Причину того, почему антируткит вырубился я понял ... завтра будет новая рабочая версия (т.е. заложенная в 3.41 методика себя не оправдала, придется сделать что-то среднее между 3.40 и 3.41)
-
-
Сообщение от
HEKTO
Это был лог с машины под W2K SP4 Server, так что проблема не только на 2003 Server
Файл сейчас вышлю.
"Проблема" связана с объемом оперативной памяти компьютера. Если он (объем) не более 4 Гбайт, то ядро использует имя файла ntoskrnl.exe, в противном случае (для объема, большего 4 Гбайт) - ntkrnlpa.exe. Аббревиатура "pa" в конце имени файла похоже означает physical address extension (ключик /pae в boot.ini). Также с помощью ключика /kernel=<имя_файла_ядра> в ОС можно подгрузить альтернативный вариант ядра, например Checked Build.
-
-
Junior Member
- Вес репутации
- 70
Сообщение от
Зайцев Олег
да, hook.dll стоит прислать - это явно мониторилка горячих клавиш.
Отправил на [email protected]. пасс virus
-
Сообщение от
парень
Спасибо, файл пришел, он попадет в базы безопасных.
А между тем вышла версия 3.42, у нее очередной вариант антритукита, свежие база зверья и безопасных объектов - 13515 сигнатур, 29994 безопасных файлов. В версии 3.42 подправлены остальные мелкие баги, которые я нашел по логам
-