» AVZ - Anti-SpyWare, Anti-AdWare

opt_step
Версия последняя, с сайта слил. Нет, у меня он тоже показывается через менеджер нормально, тот hosts файл который лежит в drivers/etc.
Но если запустить исследование системы, то в отчете, в блоке hosts, какие-то левые записи (от вируса). Вот я не могу понять, откуда он их в отчете взял.
Но записи рабочие, система их воспринимает.
Victor_VG
Честно говоря по диску C: не искал и в System Volume Information не смотрел, но всегда полагал, что единственное место где система просматривает соотношение имен-адресов, перед запросом к DNS, это hosts файл, который в винде лежит в drivers/etc. Но AVZ в отчете берет информацию еще где-то.

Объясню вкратце проблему которая вызвала такие вопросы.
Недавно (как по мне) появился зловред, который добавляет в автозагрузку (не помню точно где, помоему в реестр в RUN) команду:
Код: copy c:\path\to\temp\JUjnf89if c:\path\to\hosts\hosts /Y && attr +H +S c:\path\to\hosts\hosts

freewood

Ну, я так и предполагал - наличие динамической подмены файла HOSTS (в UNIX системах он располагается так же в ./etc/). Давайте попробуем так его поискать в Реестре - откуда он зовётся?

Victor_VG
В реестре прописан стандартный путь где его система должна искать drivers/etc/
Динамически его должен подгружать какой-то процесс, но зловредных процессов нет, все убиты.

freewood

Не думаю, раз он подгружается каким-то процессом. Можно воспользоваться Process Hacker 2.29 STABLE (http://sourceforge.net/projects/processhacker/) поставив его в качестве штатного менеджера задач и установив драйвер KProcess.sys идущий с ним в комплекте. Если использовать портативный (архивный вариант), то тот будет ограничен по своим возможностям. И с помощью РН проследить лог запускаемых в системе процессов (доступен в меню Help, команда Ctrl+L), а там посмотреть хендлы и стек вызовов подозрительных процессов. И заодно поискать скрытые процессы в системе - РН и это умеет.

Victor_VG
Нет, бинарник убит, это факт. Я с помощью AVZ выполняю восстановление системы с опцией очистить hosts и все становится ок, эта дрянь не появляется и записи не появляются. Но я не могу понять где же они все таки хранились.

freewood

Теоретически возможна подстановка в ОЗУ при исполнении какого-то бинарника....

Victor_VG
Ну как это возможно, если все выполняющиеся бинарники 100% валидны, чуть ли не каждый проверял, да и комп ребутали (на всякий случай поясняю).

freewood

руткит к примеру - скрытый вредоносный процесс. В ОС он не виден, процессорное время использует.

freewood система x64 ?

Добавлено:
Victor_VG то что описывает freewood это очень популярный и примитивный вирус, если посмотереть темы на сайтах с лечением то он чуть ли не в каждой третьей теме. Там действительно просто копируется с заменой файл из темпа на место чистого файла hosts.

Victor_VG
Всякое повидал, но процессы абсолютно нивидимые для всех утилит не встречал. Спорить на эту тему не буду, опыт и знания не позволяют, но конкретно в данном случае, я уверен, что процессов зловредных нет. Косвенно по той причине, что после лечения первой тачки путем очищения hosts через AVZ уже пару недель на ней ничего не проявлялось.
regist123
Лично лечил на системах: XP 32, Vista 32, 7 32. Всего три тачки.

freewood

А мы с ребятами такую "публику" не раз лавливали. Хорошо коли ерунда окажется, а не кокой свежевыпеченный глюк.

freewood 22:37 21-12-2012
Цитата:

Лично лечил на системах: XP 32, Vista 32, 7 32. Всего три тачки.

и на всех трёх системах не зловредное содержимое было видно только в логе AVZ
Victor_VG 00:33 22-12-2012
Цитата:

Хорошо коли ерунда окажется, а не кокой свежевыпеченный глюк.

вот и я об этом думаю, если менеджер AVZ не видит, а в логе видно это уже на глюк похоже.

regist123
Да, на всех трех тачках, во всяком случае когда я их смотрел, уже были прибиты все зловредные бинарники, если они вообще были. Думаю все таки работа антивируса. Хотя с другой стороны, на одной из них стоял каспер и пользователь уверял, что он ни на что не ругался, да и в логах каспера все последние угрозы были датированы достаточно давно.
Нет, что-то я попутал, сейчас забрался на ту машину с каспером, там действительно от 17-го числа запись в журнале о прибитие "Trojan-Spy.Win32.Carber.twy"

P.S. Почитал про этого трояна, вообще никакого упоминания о изменении hosts.

freewood

А если это не его работа? Любой AV создаётся с учётом вирусной статистики конкретного региона, а в другом месте он может и пропустить иную дрянь. Лучшая защита это человек и его знания и опыт, а роботы это всё же подспорье просто облегчающие его труд.

Будет ли исправлен баг Ревизора диска с файлами размером более 4 гигабайт? Кто знает?

Сделайте современным интерфейс

BlackFox
Через лет пять - десять может что и сделают.

BlackFox
Nilslis

А вам шашечки или ехать?

Это же каспероид теперь. А каспероиды только копирайты вовремя меняют.
UVS рулит, потому что не продался какому-то еврейчику, как AVZ, которому уже пипец.

Цитата:

Это же каспероид теперь. А каспероиды только копирайты вовремя меняют.

каспероидам нет желания развивать *беcплатную* утилиту и нет желания чтобы их сотрудник этим занимался. то, что они продают за бабло, они технически хорошо развивают. т.е. kis для безопасности рядового пользователя (т.е. не IT специалиста) - лучшее решение.
=> #

программа умерла.
как бы не хотели доброжелатели или злопыхатели.

тут можно читать траурные речи.
складировать венки.
монтировать монументы.
и это не будет оффтопом. по теме, на данный момент, выбор породы древесины скорбного ящика, самое злободневное и актуальное.

мои личные впечатления. дай волю "каспероидоподобным", они выкорчуют всё красивое. выжгут поля, леса, сроют горы. лишь бы платили им за их продукты жизнедеятельности.
сидит такой махровый "каспероид" на табурете и зыркает по окрестностям. не дай божечки василёк сапфировый засияет над пожухлой, однотонной травой.
бежит паску.. соглядатай, чтобы выдрать с корнями цвет или оградку сваять вокруг, с большими буквами МАЁ. а потом не поливать, не ухаживать, чтобы оно зачахло.
и опять слюнявить волосатые пальцы, считая доход от блеклой травы

folta


Цитата:

с большими буквами МАЁ. а потом не поливать, не ухаживать, чтобы оно зачахло.
и опять слюнявить волосатые пальцы, считая доход от блеклой травы

Черта одной известной нации. Хапнуть - а не ухаживать.

folta
lucky_Luk

какие злые/мрачные у вас фантазии кста, что за нация ? евреи что-ли ? если да, то вообще-то они рулят миром - они сейчас на вершине пирамиды и все хотят быть похожими на них. а остальные, по тупым законам современного мира, - лузеры. даже китайцы(те, которые наверху, не те, что рабочая сила) сейчас стараются стать крутыми евреями
так что почёт дяде жене, что смотрится на их уровне. а путин разве тоже не из ихних ? любой воротила современного бизнеса/мира - это хищная акула, поедающая конкурентов и слабаков. злой естественный отбор. это я про политически-пиарно-поведенческую часть.
насчет технической: технически kis самый крутой антивирус. кто-то может конечно поспорить насчет "самый крутой", но то, что он в мировом топе и по продажам и по пиару и по !качеству! это факт.
так что может будет гордится за соотечественника, который начал с нуля и добился успеха ? или у нас уже принято всех, кто добился успеха (в жестком современном мире) охаивать ?

ps зайцева, я думаю, не рекет заставил к дчде жене работать пойти, кста

DrakonHaSh


Цитата:

даже китайцы(те, которые наверху, не те, что рабочая сила) сейчас стараются стать крутыми евреями

Евреи еще у китайцев кредит брать будут. Китаец умеет и наживаться, и пахать, т.е. "дважды еврей".

Цитата:

насчет технической: технически kis самый крутой антивирус. кто-то может конечно поспорить насчет "самый крутой", но то, что он в мировом топе и по продажам и по пиару и по !качеству! это факт.

Госпадя, да кому он нафиг нужен, если бы не вопли про "вирусы" на андроиде и про ботнеты? Очередной перепиаренный антивирус. Который ТОЖЕ пропускает винлоки и пр. мусор. Эпоха "крутых антивирусов" прошла. Сейчас это ширпотреб, работающий кое-как, защищающий кое-как и стоящий по-разному - это касается ЛЮБОГО антивируса. А Женя еще засел в рашнбизнесе. Скоро его халявные АВ уделают.
Ну не цирк ли? Его спрашивают, мол фигли у вас для русских такая цена дорогая и т.д.? Ответ: я не я, хата не моя, региональный офис независимо цену ставит.
Свадебный генерал, которым по жизни, видимо, жена рулила. А сейчас рулят некому не известные "инвесторы" из Лондона, которым реально принадлежит "российский производитель антивирусов". Женя - лицо, селебрити, в Антарктиду кататься да лохов пугать несуществующими "угрозами" для Маков. Судя по манере общения с юзерами, он - Пэрис Хилтон с бородой, а не Патриарх бизнеса. О путешествиях он гутарит намного лучше, чем в шаблонных статьях о ботнетах и "интернет-паспортах".



Добавлено:

Цитата:

ps зайцева, я думаю, не рекет заставил к дчде жене работать пойти, кста

Зайцев ИМХО сунулся туда за идею, разрабатывать Кибер и развивать Вирусинфо. Но где это все сейчас? Вирусинфо слили, а от автоматических вердиктов "аналитиков" уши вянут. Один байт модификация - уже "новый вирус". Доктор Вэб или MSE эту парашу берет одной сигнатурой, а у Каспера - на каждую модификацию вируса своя запись - и вой "как страшно жить, базы дорогие, дайте денег". И дешевый пиар "бесплатные АВ - говно, а мы - круты". Да всем это давно пофиг, кроме дебильных блондинок.

DrakonHaSh
Про топ - это сильно. Только за пределами СНГ другой топ, и каспера там в лидерах нет. Далеко нет. В тех же штатах его продукт не первый год бесплатно с любой покупкой в компьютерном магазине. Крутой пиар. Хоть как-то попасть на слух юзерам... В СНГ рубить бабло по полной, сея в головы домохозяек инфу о крутизне своих поделок, чтоб спокойно раздавать пиндосам. Т.е. соотечественники оплачивают и продукт и убытки.
И не надо думать, что кэгэбешники начинают с нуля, пашут как китайцы и всего добиваются сами. Не те это люди..., хотя очень многие сидят на верху.
Для общего развития ознакомься с историей фирмы КАМИ.

oabox


Цитата:

Для общего развития ознакомься с историей фирмы КАМИ.

Или для ленивых: ознакомиться с текстами "лицензий" KSN на русском языке и на английском. На русском только воняет большим братом ("персональный идентификатор"), а на английском уже тысячи извинений "мы таки инфу собираем и каждого идентифицируем, но никому не покажем, мамой клянус"

Добавлено:
oabox


Цитата:

Т.е. соотечественники оплачивают и продукт и убытки.

А у "них" где бабла больше - там и родина, а вообще все - гои, которые им должны. И особой нелюбовью пользуются нации, у которых есть своя история, а не кишло эмигрантское и не перекати-поле.

ALL - Вы еще тут Горбачева, и Брежнева забыли упомянуть

Цитата:

они рулят миром - они сейчас на вершине пирамиды и все хотят быть похожими на них

DrakonHaSh
Не смешите, на них нормальный человек никогда даже и не подумает быть похожим, лучше быть обычным крестьянином (гоем) чем жидом да при полной машне.
Жаль АВ Зайцева.

господа, было интересно читать Ваше мнение. вспомнил одну из своих любимых цитат/мыслей "логика приводит туда где назначаешь ей свидание" у каждого свои привычные места, куда они приводят свою логику и ее выводы [ибо сначала возникает тезис/идея/мнение, а потом человек ищет подтверждение этому *своему* тезису/мнению] если Вам нравится то место, куда приводит Вас Ваша логика, то Вы, наверное счастливый человек, который обрел гармонию со своим внутренним миром.

по теме: зайцев самостоятельно ушел к дяде жене. если бы он обманулся в своих ожиданиях, то что ему мешает уйти и вновь заняться своим бесплатным AVZ, вновь начать писать книги ? видимо у дяди жени лучше кормят и создают удобные ему условия
хотя, возможно, он подписал контакт кровью, по которому он всю оставшуюся жизнь обязан работать на дядю женю и никогда не заниматься тем, чем занимался раньше, без одобрения дяди жени

ps буду стараться более не отписываться в развитии темы "дяди жени и зайцева", дабы не порождать флеймовость в теме. сейчас не смог сдержаться от ответа - слишком много отписавшихся на мое пред сообщение было. сорри.