Наверняка большинство этих klif-ов - от различных бета-версий продукта, т.е. по сути бесполезный хлам. Был бы реальный смысл оставить только то, что являлось компонентом официальных релизов KAV6/KIS6, благо их было не так уж много, думаю не более 5-ти или 6-ти, включая MP1.Сообщение от Зайцев Олег
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Так я практически только из официальных и беру - то, что найдено на реальных ПК, на оф. версиях. Тем не менее разновидностей много ... но 43 штуки - это за три года ведения базы. Распространенных - штук 5/7.
Нужно добавить в лог ссылки для
1. Установка бут драйвета
2. Удаление файла через бут драйвер.
Нужно отмечать в логе файлы не найденные на диске. При чем всегда сначала пробовать считать файл через прямое чтение.
Очень нужно согранять лог с результатами выполнения скрипта.
Да, еще не плохо бы помещать копии всех файлоф удаляемых бут драйвером в карантин, для последующего исследования.
Последний раз редактировалось Geser; 30.12.2006 в 21:30.
http://virusinfo.info/showthread.php?t=7332
Лог BootCleaner пустой. Стрим не удаляется никаким образом...
ХМ.. почему-то опять нелечиться ошибки протоколов(tcp, lsp) http://forum.kaspersky.com/index.php...dpost&p=252541
или я что-то недоганяю?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Не удаляется потому что скрипт написан не правильно...
2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
В скрипте ошибка ... - нужно сначала настроить BC, а потом активировать. В скрипте - наоборот - т.е. он активируется без настроек, поэтому и логи пустые. Т.е. для той темы правильно:
Код:begin BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe'); BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Странно - я запустил у себя AVZ из PF - отработало все нормально. Я предлагаю три опыта:2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто.
1. Выполнить скрипт и посмотреть, что вернет GetAVZDirectory
2. Скопировать папку AVZ4 в корень диска и повторить запуск скрипта сбора информации, и посмотреть, сохранить он лог или нетКод:begin AddToLog(GetAVZDirectory); end.
3. Запустить AVZ из PF, а параллельно FileMon - и посмотреть, фильтр по имени файла "virusinfo" - пытается сохраняет ли он создать файл
Похоже, у человека rsvp32_2.dll восстанавливается. Поэтому AVZ и не видит ошибков в LSP ... AVZ увидит ошибку, если удалить файл и после перезагрузки его не будет. Тормоза после очередного удаления говорят именно о успешном удалении ... но AVZ поможет, если нужно почистить запись от левого LSP провайдера, но не поможет, если левый провайдер заменил собой нормального
rsvp32_2.dll во вторых логах его уже нету.. непонятно отсутствие интернета тогда..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Только что имел похожую проблему с rsvp32_2.dll
(тот, вирус, что из аськи кидал ссылку на зараженный сайт www.counter-pr.info).
Для чистки использовал AVZ.
Менеджер Winsock на второй вкладке увидел нестандартные строки (около 5), подкрасил красным, и на вкладке "Поиск ошибок" все удалилось нормально.
Однако, строчка MSADF Tcpip TCP/IP при новом сканировании отсутствует. (на рабочем компе рядом- она есть)
Меня выручила программа ftp://ftp.widomaker.com/pub/winsock/utils/WinsockxpFix.exe
Она восстановила необходимую строчку. Сеть пришлось настроить заново.
Интернет появился. Happy END.
_________________
Возможно, раз такое случается, подобную опцию восстановления настроек в AVZ можно подправить?
Зачем AVZ убивает перехваты касперского (и ругается на них)?
Вот, вы были не довольны, когда некоторые антивирусы детектировали эвр. анализатором AVZ как возможного зловреда. Но, то что AVZ вмешивается в работу касперского, думаю, тоже создателей AVP немного заставляет быть не довольными.
И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.
Так её попросили найти и снять все перехваты - она это и делает, о чём отчитывается. Всё по-честному.
С Outpost -аналогичная проблема.
Но, как я понял, файл заносится в "безопасные" не по названию, а по названию и сигнатуре. И подверсий у Касперского и Outpost-а довольно много. Надо присылать файлы- добавят.
_________________
У меня другой вопрос, может стоит для подобных случаев создать
"Игнор-лист",
куда пользователь заносил бы доверенные приложения самостоятельно. Тогда бы подобные вопросы не возникали.
Туда можно занести кроме Каспера и Outpost драйвера Daemon Tools, оболочку RunPad Shell и прочие.
Вот тогда можно было бы чистить почти "не глядя".
2 Олег: снял хуки - создалось. Опять, похоже, надо переустанавливать Tiny - конфиг глючит. Perdoname за беспокойство.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Alex5, перечитайте мой предыдущий пост в этой теме (за 30.12.2006 19:06) - вам, надеюсь, станет ясно, зачем и почему AVZ так делает! И, пожалуйста, будьте внимательнее к тому, что тут пишется - люди ведь не зря сотрясают воздух!
PS. На самом деле AVZ не "ругается" на перехваты, а лишь констатирует факт перехвата, и это абсолютно правильно! Однако, чтобы не смущать пользователей, нужно показывать перехваты "безопасных" модулей зеленым цветом (это потребует некоторой переделки главного окна AVZ, точнее - использования другого контрола для отображения окна отчета) или же как-то дополнительно говорить об этом в отчете в главном окне AVZ. Этот функционал надо реализовать как можно скорее, т.к., я смотрю, количество вопросов подобного плана последнее время растет, причем даже от людей, которые знают AVZ уже довольно давно...
Последний раз редактировалось aintrust; 01.01.2007 в 11:36. Причина: PS...
Неправильно. Но это и не важно - вам, как пользователю, как разница?
А вот это абсолютно верно!
В этом случае помимо игнор-листа надо будет еще реализовать функционал, не позволяющий "трогать" (к примеру, не давать снимать их перехваты) модули из безопасного списка + модули из игнор-листа. Может быть это и правильно, не знаю... хотя мне, к примеру, это не нужно - ведь понять, безопасный это модуль или нет, можно по списку процессов, dll и модулей ядра.
Не мешало бы описать что значит каждый номер ошибки.failed (0xNNNNNNN)- в ходе выполнения операции возникли ошибки, в скобках указывается код ошибки
Код, который выводится в журнале BootCleaner-а - это код NTSTATUS после выполнения команды скрипта. Скачайте набор утилит KmdKit, распакуйте его. Там внутри найдете утилиту StatusToError - это то, что вам нужно, чтобы определить, что означает этот код.
Ваши права в разделе
