В такой ситуации поможет протокол, сохраненный их окна "Модули пространста ядра" + сообщение о маскировке, выдаваемое в этом сеансе. Есть предположение, что у них базовые адреса различаются.Сообщение от IgorA
В такой ситуации поможет протокол, сохраненный их окна "Модули пространста ядра" + сообщение о маскировке, выдаваемое в этом сеансе. Есть предположение, что у них базовые адреса различаются.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу
Можно поподробнее?
Опыт — это слово, которым люди называют свои ошибки.
Так какая все-таки у вас ошибка, вот эта:
или же проблема с загрузкой базы? Если сообщение об ошибке AVZGuard, то, боюсь, понадобится более детальное расследование. Приведите в точности то сообщение, которое выдает вам AVZ и объясните, в каком месте это происходит. А иначе, полагаю, никто вам ничего не ответит!
Такая ошибка возникает по статистике в двух случаях:
1. Если запустить AVZ прямо из архива, не распаковывая его
2. Если распаковать avz.zip частично, вытащив только avz.exe, или распаковать архив каким-либо кривым архиватором, который извлечет все файлы в отну папку.
скачала ещё раз-архиватор вин рар-не кривой.при запуске программы появляется сообщение о котором я писала и появляется на рабочем столе папка BAZE.хорошая программка хотелось бы чтоб работала)всем спасибо!
Так откуда запускаете-то? Прямо из архива?
Программу нужно сначала извлечь из архива (все файлы), получится папка AVZ4, а затем нужно запускать avz.exe из этой папки на диске... а не наоброт.
На сайте http://www.rku.xell.ru/ нашел Тестовый руткит проекта Rootkit Unhooker (Скрытый процесс+скрытый драйвер). AVZ его видет, но не может завершить процесс. Почему?
Завершает (убивает) без проблем, вроде...
А у меня после убивания сразу воскресает.
Тогда давайте подробнее. Какая именно ОС? Какая именно версия руткита? Что значит "воскресает"? Типа убивается, но тут же воскресает, или же совсем не убивается AVZ? Как вы определяете, что воскресает? Процесс руткита снова появляется в "Диспетчере процессов" AVZ или еще как-то?
Запускаю RKSTART.EXE (это RkUnhooker test rootkit 1.2).
Далее запускаю AVZ. В "Параметры поиска" ставлю все возможные галочки (кроме "расширенный анализ"). Нажимаю "Пуск". Работа... Ради проверки нажимаю опять "пуск"... (кстати, перехваты Касперского умерли):
----------------------------
Протокол антивирусной утилиты AVZ версии 4.22
Сканирование запущено в 29.12.2006 0:48:01
Загружена база: 73605 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 26.12.2006 12:51
Загружены микропрограммы эвристики: 365
Загружены цифровые подписи системных файлов: 54459
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора
.......................................
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=1788, имя = "RKSTART.EXE", полное имя = "\Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE"
>> обнаружена подмена PID (текущий PID=4, реальный = 178
>> обнаружена подмена имени, новое имя = ""
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"
Поиск маскировки процессов и драйверов завершен
.........................................
----------------------------
Захожу в "Диспетчер процессов":
----------------------------
Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788 ?? ?,ошибка получения информации о файле
Командная строка:
----------------------------
Нажимаю "ЗАВЕРШИТЬ ПРОЦЕСС"! И опять:
-----------------------------
\Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788 ?? ?,ошибка получения информации о файле
Командная строка:
----------------------------
Сколько не нажимаю, а он все есть.
Захожу в "Модули пространства ядра":
\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys F9FD3000 002000 (8192)
Никак не удаляется из памяти. Если бы добавить автозагрузкой (тоже не удаляемой на таком же уровне), то фиг избавишься.
Да, интересное поведение, есть над чем подумать... Возможно, баг/недоработка в AVZ. Дайте, пожалуйста, более подробную информацию о том, какая у вас файловая система на диске C: (где находится каталог Downloads), а также пришлите журналы работы AVZ в соответствии с Правилами форума (для этого вам придется зарегистрироваться).
Драйвер не удаляется, такой функциональности в AVZ нет. По сути, информация о драйвере в "Модулях пространства ядра" в текущий момент нужна для того, чтобы, с одной стороны, показать пользователю цветом, что есть "скрытые" драйверы, а с другой - дать возможность провести дополнительный анализ (к примеру, получить адрес его загрузки, размер, местоположение, скопировать в карантин, сделать дамп в файл и т.д.). В дальнейшем, возможно, будут средства для динамической нейтрализации скрытых драйверов.
Давайте не будем валить все в одну кучу. "Избавление от автозагрузки" чего-то там и терминирование скрытого процесса - это разные вещи, хотя зачастую и взаимосвязанные. Нужно ясно понимать, что во многих случаях можно не терминировать/нейтрализовывать процесс и/или драйвер, и в то же время спокойно удалить все эти компоненты из последующей "автозагрузки". Последнее - значительно важнее, на самом деле...
Последний раз редактировалось aintrust; 29.12.2006 в 09:14. Причина: Добавил кое-что...
Так... разобрались вроде.Дело в том, что у меня оказался прототип версии 4.23, так что пока ничего присылать не надо. Ждите выхода версии 4.23 (сегодня, видимо).
Уже вышла - я создал тему для 4.23 - http://virusinfo.info/showthread.php?p=89402Так... разобрались вроде.
Ваши права в разделе
