-
Сообщение от
anton_dr
Осторооожненько так, напоминаю
Помню, помню ...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 66
Я тут Вам недавно прислал вирус, детектируемый KAV 2006.
Проблема с Folder.htt.
Нигде не могу найти его описание, и по адресу ли я его послал?
-
Redlof, что ли? Он должен быть на viruslist.ru
-
-
Недавно погонял AVZ (v4.15 - 4.19) на новеньком ноутбуке в разных режимах проверки …. хочу сказать, что не каких “тормозов” с работой AVZGuard, обнаружено не было
так что беру свои слова обратно конфликты, скорее всего, были связанны со старостью системы (ОС стоит уже 1.5 года) и прочих нюансов.
Предлагаю внести небольшие изменения:
1)
(для проверки в режиме НЕ ОНЛАЙН)
Путь: ФАЙЛ > ИСЛЕДОВОВАНИЕ СИСТЕМЫ >
Снять “галку” с пункта Порты TCP\UDP
(приводит к старой ошибке)
гораздо гуманнее не включать исследование портов по умолчанию… а просто выделить этот пункт другим цветом … для бдительности
(другое дело это возможно скажется на автоматическом управлении AVZ с помощью скрипов)
В настройках AVZ тоже можно снять опцию, проверки портов (по умолчанию)
2)
Предлагаю добавить в СЕРВИС новый пункт (если возможно)
“Драйвера устройств не Plug in Play” ( - это есть в диспетчере устройств)
чтоб можно было на время отключить из самой AVZ, некоторые активные драйвера с функцией перехвата.
3)
РЕВИЗОР….
В конце, при создании баз не пишет.. что процесс анализа и сбора информации завершен
(не совсем понятно, в низу есть “прогресс” видно что перебирает папки и файлы – но
в конце без сообщения могут подумать что утилита зависла)
______Да в корректном отображении (писалось выше) тоже есть незначительные мелочи:
(Может это связанно с индивидуальными настройками размера шрифтов в Винде!?)
1)
ФАЙЛ > Просмотр папки infected (так же просмотр карантина)
названия кнопок (сверху) вылезают за приделы их границ.
2)
ФАЙЛ > ИСЛЕДОВОВАНИЕ СИСТЕМЫ >
Downloaded program files (DPF)
Немножко не корректно размещён “свежедобавленный” пункт
3)
(режим “Спросить у пользователя”)
При обнаружении зверя… всплывшее окно AVZ выводится не в полный размер а с полосой прокрутки (по вертикали и горизонтали)
4)
СПРАВКА > О ПРОГРАММЕ
Там описание утилиты, выровнено НЕ совсем по ЦЕНТРУ если смотреть от краёв окна
(так мелочь небольшая )
-
-
"Имя файла содержит национальные символы" - проверка идет по всему пути, т.е. если в имени папки содержится русский текст, а в имени файла нет, то тоже выдается такое сообщение.
Более разумно проверять русские символы только в имени и расширении имени файла, а не в полном пути. Потому что пользователи часто ставят софт в папки типа "C:\Программы", что приводит к большому числу вот таких предупреждений.
Либо, как вариант, проверять и название каждой папки в отдельности (!). Но выдавать сообщение только в том случае, если присутствуют и русские, и латинские символы вперемешку.
-
-
to MOCT
Логично, вношу в список доработок
to Cool Cat
1. Проверку портов можно по умолчанию отключить (из крипта ее нетрудно включить при необходимости)
2. Это сделать можно, но в большинстве случаев не поможет. Причина - драйвера перехватчики устанавливаются чем-то, и это что-то столь же легко переустановит отключенный драйвер
3. Сообщение я обязательно добавлю
-------
С выравниванием и вылезанием за границу текста я проверю, вполне возможны глюки.
to Scitalec
Какой-то похожий файл приходил, но ничего опасного в нем не нашлось (его или KAV вылечил, или подозрение было ложное). Если KAV продолжает на него ругаться, можно еще раз прислать - на [email protected] (если посылать файл через страничку, то его заберет на анализ автоматика)
-
-
Уже в который раз предлагаю убрать проверку на открытые порты. Время старых добрых троянцев-listener'ов прошло :-) А сообщения о потенциальных угрозах, бывает, только пугают юзеров.
-
У меня Dial Up. Пассворд очень сложный. Для дозвона я использую Dialer 2000. Он определяется как вирус. Что делать? Вводить пассворд каждый раз мне лень. В принципе у меня ума хватит самому написать программу дозвона только подскажите как, или можно испльзовать эту Dialer 2000.(cамая старая что нашел). Спасибо
-
-
Сообщение от
Poul
Для дозвона я использую Dialer 2000. Он определяется как вирус.
Кем? Если AVZ, то посетите http://virusinfo.info/index.php?page=upload_clean.
-
-
Junior Member
- Вес репутации
- 66
В процессе работы AVZ обнаружил перехваченные функции
Функция ZwTerminateProcess (101) перехвачена (80591C32->EDBE0330), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8058FF6C->EDBE0290), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 2, восстановлено: 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\ocmapihk.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\ocmapihk.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Все эти фуекции не опасны - это всего лишь модули файрвола Agnitum Outpost 3.5
Странно не это, такое бывает - файрволл действительно перехватывает некоторые процессы, дабы взять под контроль все уязвиимые места системы.
Но... AVZ восстанавливает эти процессы, а Outpost не выдает никаких сообщений, более того, если сразу запустить тестирование заново, снова AVZ найдет и исправит эти перехваты. А это означает, что AVZ не может восстановить систему в этом случае. А что может "хорошая программа, то сможет и вредоносная... Более того, если запустить AVZGuard, то AVZ сначала зависает, а затем просто вылетает. Причем в списке процессов остается ее процесс. При попытки принудительного завершения работы вся система виснет... Вот так...
На всякий случай, я отправил сегодня вам на исследование все собранные в карантин файлы и отчет о сканировании.
-
Если это так, что по всей видимости FILTNT.SYS стал восстанавливать свой перехват по таймеру ... по принципу "или я, или синий экран" В этом случае причина глюков с AVZGuard вполне понятна.
Уточнение:
А о какой версии AVZ и Outpost идет речь ? В версии 3.51 AVZ спокойно снимает перехваты, они не восстанавливаются и Guard совместо с Outpost нормально работают.
Последний раз редактировалось Зайцев Олег; 16.08.2006 в 13:58.
-
-
Junior Member
- Вес репутации
- 69
Зайцев Олег
Раньше не было необходимости, так и не обращал внимания...
Но не запоминаются установки для прокси при обновлении, а именно точно проверил, что не запоминается не прокси, ни порт, ни режим работы. Все время сбрасывается на "настройки IE"
Версия сабжа 4.19.0.10 Рус и 4.19.0.11 Анг
-
Писал выше:
“Драйвера устройств не Plug in Play”
( - это есть в диспетчере устройств)
Scitalec:
В ранних версиях FILTNT.SYS детектировался дис. устройств
- если он там есть отключите драйвер
и проверте работу AVZ
у меня стояли v5.51 (3 разных сборки)
таких проблем ненаблюдалось
???
скорее всего это v4.0
так как он там. говорят навароченный...
там и проактивка и тд.
-
-
Junior Member
- Вес репутации
- 66
У меня AVZ последней версии с вчерашним обнавалением баз, а Outpost4.0.916.6727
Да, и теперь Kaspersky Antivirus 2006 детектит AVZ как руткит
-
[censored]
Я ошибся
НЕ
стояли v5.51 (3 разных сборки)
А
стояли v3.51 (3 разных сборки)
Scitalec:
1. отключи Outpost
2. отключи автозапуск службы Outpost
3. удали драйвер FILTNT.SYS
путь:\Program Files\Agnitum\Outpost Firewall\Kernel
в корзину
(потом есле надо востановиш из корзины)
4. ocmapihk.dll тоже удали
5. Перезагрузка системы
6. Проверь работу AVZ
Если всё ОК то конфликт с Outpost
-
-
Сегодня поступило сообщение, что DrWeb опять начал детектить AVZ. На сей раз русскую версию, детект пошел после обновления от 20.08, детектирует AVZ.EXE в архиве как DLOADER.Trojan ... У кого есть DrWeb с ежедневным обновлением, прошу проверить - так ли это. Если так, то это уже не смешно ...
-
-
Сообщение от
Зайцев Олег
Сегодня поступило сообщение, что DrWeb опять начал детектить AVZ.
Нет, на 4.19.0.10ru/4.19.0.11enu эвристик не срабатывает (база 136345 в.з.).
-
-
У меня не детектирует. Русская версия AVZ, скачана 28 июля в 17:59
-
-
4.19.0.10 RUS у меня не детектируется.
Последнее обновление баз вэба 2006-08-21 (18:14).
-
-
Спасибо за проверку. Я тоже проверил на virustotal и свежим CureIt - не детектируется. Мне сообщали, что детект появился 20.08, видимо в базе от 21.08 он был уже устренен.
-