А определить название перехватчика в UserMode невозможно?Сообщение от Зайцев Олег
А определить название перехватчика в UserMode невозможно?Сообщение от Зайцев Олег
К сожалению практически нереально - руткит как правило инжектирует свой код в поражаемое приложение и ставит на него ссылку. Попытка обнаружения ведется - на случай, если код перехватчика находится в DLL, которая подгружена в поражаемый процесс - но я не помню срабатываний этого анализатора.Сообщение от DenZ
Уважаемые господа
у меня при инсталяции DrWeb4.33 нехорошо прописалась DLL для проверки доктором из контекстного меню. Удалить вручную естественно неполучалось, так как не давала ОС или Доктор. Попробовал AVZ отложенное удаление, показал файл, назначил отложенное удаление, AVZ предложил перезагрузиться, паралельно через стартер установил автозапуск AVZ. Но ничего не удалилось. Пришлось в ДОС.
На будущее, я наверное что-то сделал неправильно, или следовало из автозапуска удалить Спайдер гард?
Попробовал бы моей утилитой грохнуть
Имелась в виду drwsxtn.dll? Поскольку этот расширитель Проводника, то именно он её и держит. Надо в командной строке сделать CD в папку с Доктором и набрать:Сообщение от WakenUp
После этого удалятся без всяких заморочек.regsvr32 /u drwsxtn.dll
Олег, поиском по "AVZ" в инете находится и такое
http://plati.xost.biz/pay.php?id_d=141253
http://www.shopdc.ru/pay.asp?id_d=141253
ПриколСообщение от anton_dr
Ага - человек пытается сделать деньги из воздуха. Что интересно - размер архивчика маловат - судя по всему он торгует версией 1.0 Я отписал на оба сайта - пуская принимают меры. Кстати, "продавец" в обоих случаях один и тот-же ...Сообщение от Geser
В Модули пространства ядра путь отображается так:
\SystemRoot\System32\DRIVERS\nv4_mini.sys
нельзя ли SystemRoot заменять на реальный путь к системной директории?
Можно - он всеравно приводится к полному имени - для проверки по базе безопасных и карантина. Записываю в список доработокСообщение от Geser
Некорректно рапортует о работе с некоторыми службами. Например, попытался я снести драйвер звук. карты . AVZ сказал, что остановил, но реально ничего не произошло, в самом AVZ статус драйвера не изменился, и в журнал событий ничего не записалось.
И еще, в разделе "Автозапуск" нужно бы помечать файлы которые не найдены на диске
Да, есть такое дело - если система рапортует, что остановка драйвера прошла успешно, то это не означает, что он остановился .... я переделаю там идеалогию ...Сообщение от userr
to Geser
Да, я тоже так думаю - надо реализовать, к понедельнику сделаю. И не только в автозапуске - в остальных анализаторах тоже. А если есть - мелким шрифтом размер, атрибуты ...
.....
Что интересно - я написал на http://plati.ru/asp/pay.asp?idd=141253 про торговлю AVZ, получил пока кучу отписок ...
Что отписывают?Сообщение от Зайцев Олег
Вот что пишут:Сообщение от Geser
Приносим свои извинения, возникли небольшие трудности.
Данный продавец зарегистрирован на торговой площадке Plati.ru и для его блокировки Вам необходимо обратиться к администрации Plati.ru по адресу [email protected]
Данные продавца:
Продавец S1P ( id 32676 ),
товар: "Антивирусная утилита AVZ" расположен по адресу http://plati.ru/asp/pay.asp?idd=141253 .
Мы связывались с администратором Plati.ru, на что получили ответ о необходимости получения официального обращения от правообладателя, т.е. от Вас.
Олег, срочно делай лицензию или регистрируй! Не знаю, как это точно называется. Короче, регистрируй права. Я думаю, что пора.
Наше дело правое--победа будет за нами!!!
в справке встречаются опечатки, иногда по две штуки на фразу:
"естьменю, вызываемое по правой кнопке мышы"
а здесь скобка не туда ушла : "междугородные (международные звонки)"
а здесь окончание: "некий файл с расширение AVZ"
"Base не изврекается"
после запуска первая мысль была такая - а есть ли англоязычная версия?
в принципе, для этого не нужно делать отдельный пучок исходников -
достаточно вынести все тексты в отдельный конфиг.
это позволит "перевести" программу не только на английский, но и на
любой другой, было бы желание (и помощь) пользователей.
и еще такое предложение - реализовать в программе отдельную опцию (в
том же меню "Сервис\Менеджер...") для поиска на диске всех
PE-EXE файлов, работающих с сетью. проверять можно с помощью поиска
стандартных функций стандартных библиотек (winsock, wininet, rasapi32 и т.д.).
тем более что такие возможности у программы уже есть.
пожелание - чтобы программа знала САМА СЕБЯ как безопасный файл.
т.е. чтобы была в белом (или зеленом?) листе. и все ее предыдущие версии
тоже. а то получается странно:
Файл: D:\avz3\avz.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ
кстати, если нужны безопасные системные EXE/DLL, отсутствующие в белом листе, залил архивчик на FTP.
посканировал свою файловую базу, обнаружил несколько ложных срабатываний (подозрений) на безвредные файлы
(в том числе на GUI для моей антитроянской программы ;-)), а также кучку подозрений на реальные троянцы. сборник файлов искать на FTP.
замечание: зачем писать эвристическое предупреждение на файл, если он уже детектируется как конкретный троян?
d:\detected\files[1].chm/{CHM}//file.exe>>>>> Вирус !! Backdoor.Agent.ah
d:\detected\files[1].chm/{CHM}//file.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла
и еще - базы обновляются чаще, чем выходят новые версии программы, поэтому неплохо было бы иметь точный линк на daily (или им подобные) обновления
А разве в системный журнал при этом ничего не должно заноситься? У меня не пишется, только рапорт AVZ.Сообщение от Зайцев Олег
Выдало сейчас:Зайцев Олег3. Сканирование дисков
C:\WINDOWS5\system32\CTF\ctfmon.exe>>>>> Вирус !! Keylogger.Win32.FamilyKeyLogger.283 успешно удален
C:\WINDOWS5\system32\CTF\ctfmon.dll>>> подозрение на Keylogger.Win32.HomeKeyLogger.170 ( 0A0CA250 0217AFF6 000EC219 00000000 5632)
Автоматическая чистка следов удаленных в ходе лечения программ
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll> >> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 382 TCP портов и 9 UDP портов
>>> Обратите внимание: Порт 4590 TCP - ICQTrojan (c:\program files\internet\emule\emule v0.45b morphxt 6.7\emule.exe)
emule.exe - ''обычный осёл'', DragnDrop - Plugins Far...
Добавь в свои базы безопасных файлов...
А с ctfmon.exe - совсем ''непонятка'' - он всегда там ''жил''...
Kроме этого, Real Time protector FDISK после работы AVZ 3.80 нaчал ''кричать'' на C:\WINDOWS5\Temp\AV55327.tmp Infection: BAT/DelTree@troj...