» AVZ - Anti-SpyWare, Anti-AdWare

Цитата:

Это что за приблуда? У меня такой нет. WinVista Ultimate x86.

И на XP SP2 тоже ненашел
j001n
Конкретизируй плиз что имел ввиду?

Да,в Винде ХР тоже нет этого файла.В папке system32 лежит файл ntoskrnl.exe...

j001n

Цитата:

тоже столкнулся с этим
глянь с:\windows\system32\ntos.exe,

Это самая что ни есть приблуда. Удалять непременно - если даст себя в обиду. Насколько помню, были проблемы с его удалением (вроде хорошо справлялся Spybot S&D) и даже физическим отысканием на диске (надо было именно "искать" и с большой буквы).
Лучше всего обратитесь на www.virusinfo.info в раздел "Помогите".

Хе!Вот и у меня,вроде старого пользователя,этой прекрасной утилиты появились вопросы
Мастер поиска и устранения проблем выдал интересную картинку.Жалко что нет поддержки разьяснения.Надо бы Олегу продумать эту возможность,а то непонятно совершенно,что это за проблемки такие,а исправлять незная,сами товарисчи понимаете,авзухой нельзя.Не та прога,чт о бы ее вслепую использовать.Гляньте плиз,может у кого мысли есть,по этому поводу,али сам Олег заглянет сюда.
http://i040.radikal.ru/0804/26/97800ac320c1.png

Добавлено:
ntos.exe Очень опасный и трудноудалимый вирус.Вот его описание и способы удаления.

Цитата:

Процесс, который использует вредоносная программа, шифрующая файлы пользователя на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в пакованом виде — 58368 байт.
После запуска вирус формирует уникальный ключ, предназначенный для шифрования файлов, и сохраняет его в системном реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<ключ шифрования>"
Также вредоносная программа добавляет себя в ключ автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"
Значение данного ключа периодически проверяется из системных процессов, в которые внедрился вредоносный код (например, «Winlogon.exe»). В случае если значение ключа меняется (удаляется «%System%\ntos.exe»), то оно автоматически восстанавливается из системного процесса.
Кроме того, внедренный код защищает от модификации, переименования и копирования файл, инсталлированный в системный каталог — «%System%\ntos.exe».
Далее, если текущая дата находится в диапазоне с 10 по 15 июля 2007 года включительно, вирус приступает к шифрованию всех найденных пользовательских файлов со следующими расширениями:
.12m
.3ds
.3dx
.4ge
.4gl
.7z
.a
.a86
.abc
.acd
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff
.ain
.aio
.ais
.akf
.alv
.amp
.ans
.ap
.apa
.apo
.app
.arc
.arh
.arj
.arx
.asc
.asm
.ask
.au
.bak
.bas
.bb
.bcb
.bcp
.bdb
.bh
.bib
.bpr
.bsa
.btr
.bup
.bwb
.bz
.bz2
.c
.c86
.cac
.cbl
.cc
.cdb
.cdr
.cgi
.cmd
.cnt
.cob
.col
.cpp
.cpt
.crp
.cru
.csc
.css
.csv
.ctx
.cvs
.cwb
.cwk
.cxe
.cxx
.cyp
.d
.db
.db0
.db1
.db2
.db3
.db4
.dba
.dbb
.dbc
.dbd
.dbe
.dbf
.dbk
.dbm
.dbo
.dbq
.dbt
.dbx
.dfm
.djvu
.dic
.dif
.dm
.dmd
.doc
.dok
.dot
.dox
.dsc
.dwg
.dxf
.dxr
.eps
.exp
.f
.fas
.fax
.fdb
.fla
.flb
.frm
.fm
.fox
.frm
.frt
.frx
.fsl
.gtd
.gif
.gz
.gzip
.h
.ha
.hh
.hjt
.hog
.hpp
.htm
.html
.htx
.ice
.icf
.inc
.ish
.iso
.jar
.jad
.java
.jpg
.jpeg
.js
.jsp
.key
.kwm
.lst
.lwp
.lzh
.lzs
.lzw
.ma
.mak
.man
.maq
.mar
.mbx
.mdb
.mdf
.mid
.mo
.myd
.obj
.old
.p12
.pak
.pas
.pdf
.pem
.pfx
.php
.php3
.php4
.pgp
.pkr
.pl
.pm3
.pm4
.pm5
.pm6
.png
.ppt
.pps
.prf
.prx
.ps
.psd
.pst
.pw
.pwa
.pwl
.pwm
.pwp
.pxl
.py
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif
.tiff
.txt
.vb
.vp
.wps
.xcr
.xls
.xml
.zip
В каждый каталог, файлы которого были зашифрованы, вредоносная программа помещает файл «read_me.txt» следующего содержания:
Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team
Также вирус создает в системном каталоге Windows скрытый каталог с именем «wsnpoem», в котором находятся два пустых файла — «video.dll» и «audio.dll».
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
1. Путем добавления любого символа в конец имени вредоносного модуля изменить значение ключа системного реестра. Например:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
2. Перезагрузить компьютер.
3. Вручную удалить следующий файл из системного каталога Windows:
ntos.exe
4. Для расшифровки файлов, зашифрованных в результате деятельности данной вредоносной программы, вы можете вопспользоваться бесплатной утилитой. Ознакомиться с информацией по ее использованию и скачать утилиту вы можете на сайте технической поддежки «Лаборатории Касперского».

Цитата:

Ronin666

Цитата:

redwhiterus

Это возникает после обновления системы с оффсайта мягких.Востанавливаються настройки по умолчанию.Как отключить вам уже дали регфайл,или вручную любым твикером.

Цитата:

Как отключить вам уже дали регфайл,или вручную любым твикером.

Это я давно сделал, спасибо Просто вникал в суть того, что j001n написал

Вышла новая версия 4.30 от 6.04.2008.

Цитата:

--- 2.04.2007 --- ver 4.30
[+++] Добавлена дополнительная функция в эвристической чистке системы - помимо стандартной чистки добавлен вызов микропрограмм из обновляемой базы, что позволит автоматически удалять следы вредоносных программ в сложных и нестандартных случаях, а также исправлять критические повреждения системы
[++] Антируткит - поиск перехватов IRP в основных драйверах
[++] Добавлен ряд новых команд в скрипт-язык
[+] В AVZGuard добавлена блокировка создания файлов autorun.*, что упрощает борьбу с рядом типов червей
[+] Добавлен переключатель в настройках, активирующий автоматическое устранение системных проблем и ошибок, найденных на шаге 9 анализа
[+] Автокарантин NTFS потоков и EXE файлов из CHM (выполняется, если включен автокарантин)
[+] Сортировка по любому столбцу в окнах Infected и Quarantine
[+/-] Автоматическая перезагрузка всех AV баз после успешного обновления AVZ (в частности базы локализатора)
[-] Устранены ошибки в работе ревизора
[-] Устранен ряд мелких недочетов в локализации и ряд мелких ошибок

abz

Цитата:

Вышла новая версия 4.30 от 6.04.2008.

По ссылке выдает ошибку 403. Переложите куда-нибудь сабж.

lucky_Luk

Цитата:

По ссылке выдает ошибку 403. Переложите куда-нибудь сабж.

Попробуйте в новом окне открыть, если просто кликнуть то да а так все качается

redwhiterus
А всё-равно старая версия качается по ссылке

Цитата:

А всё-равно старая версия качается по ссылке

Сам не качал не знаю, но судя по тому что ничего про 4.30 не написано не обновили

The_Utilizator
redwhiterus

Новая, но с забавной ошибкой в структуре VERSION_INFO - вместо номера версии "продукт/файл" 4.30/4.30.0.66 там стоит номер 4.28/4.28.0.66. Как раз сборку с ней делал, глянул версию и увидел. У меня скрипт установки версию проверяет что бы случайно старой версией не "обновить".

А что, касается доступности сайта тут всё понятно - АГАВА в "репертуаре" - "сайт перегружен"... Это у них сервера или скорее роутеры не тянут, да и рекламу надо показать. Не первый раз у них с этим фокусом сталкиваюсь. Они уже по моему года два - три это делают. Похоже специально, поскольку сайт на старой работе тоже вечно был "перегружен", хотя к нему никто не обращался неделями. В конце концов когда сменили хостинг на РБК, "проблема" пропала. Хотя сайт стоял не на их серверах, а на сервере заказчика. У АГАВЫ они только место в серверной арендовали и выход через их канал. А сервер там стоял мощный, с десятикраным наверное запасом по нагрузке...

Вот перезалил. Версия без каких-либо, придуманных Victor_VG, ошибок: Новая версия AVZ 4.30 от 6.04.2008
Версия без паролей, блокировок архива и информации для восстановления.

Добавлено:
Victor_VG

И когда тебе надоест умничать по поводу и без?! Ну, сил нет уже читать околонаучную ахинею...

abz

Смотрим, ВНИМАТЕЛЬНО, убеждаемся и делаем выводы. Скачано с сайта Олега (MD5SUM 688bb086c934f6a0086c12b3fa5062ee *avz4.zip) только что. Иногда стоит и версию файла посмотреть, а не "спорить" не имея фактов:



Модераторам

Прошу простить меня за то, что я специально вставил именно такой скриншот - постоянные бездоказательные и беспочвенные нападки уже достали. Решил "расставить точки на i" и выложить абсолютно не оспоримый факт.

Victor_VG

Ты бы ещё декомпилировал её! Чем ты вообще занимаешься?! Не пробовал по человечески зайти в Справка - О программе и прочесть:



И какая разница какая версия файла, если автор решил, что это версия 4.30! Этого мало? Или ты опять бежишь впереди паровоза?

Кажеться Олег поторопился с 4,3.При сканировании системы,даже в обычном режиме.Средний уровень.Почему с половины,происходит обрыв и закрытие программы.Надо отписать Олегу.

vv07
у меня всё ок. качал сегодня утром.

vv07
Да вроде тоже все нормально работает (скачивал вчера).
Никаких обрывов и закрытий нет.

vv07
И у меня работает,ставил сегодня...

Черт,ничего не понимаю.Наблюдаеться баг,как в более старых версиях.Сильная загрузка процессора и обрывы.Прочитал ваши коменты и еще несколько раз запускал,для проверки.Может думаю,я все таки ошибся.Нет,та же история,примерно на 70 %,программа зависает капитально.После чего слетает.
Скачивал по ссылке
Цитата:

abz

Вышла новая версия 4.30 от 6.04.2008. Версия действительно 4,3.Я отписал Олегу,буду ждать ответ.Все таки,Уважаемые пользователи,думаю я не ошибаюсь.Что то не так с этой версией.

vv07

Любопытно, погляжу. Пока я переписал программу установки - народу нужнее комплексный пакет с инсталляцией и возможностью обновлений "достали" такими просьбами. Да и вроде выходит удобнее - всё в одном наборе: AVZ + редактор скриптов + плугин для The Bat! + документация + скрипт для автообновления. Ну, последнее (запуск этого скрипта по расписанию) у меня nnCron делает. Скрипт в сборке, полностью самодокументирован. Ссылки на страницы загрузки:

Скачать
Зеркало 1 | Зеркало 2 | Зеркало 3

Добавлено:
abz

Смотри внимательно! Скрин выложен специально для тебя!

Цитата:

Victor_VG

Небольшое уточнение.Данный баг проявляеться,если AVZ свернуть в трей.При открытом окне,сканирование доходит до конца,но периодически обрывы есть,если при этом запускаешь еще какие то окна.
Что касаеться инсталлятора,то это кому как.Я сторонник портабле
Редактор скриптов для меня удобнее,в отдельном варианте.Плугом для бата не пользуюсь вообще.С давних пор использую непробиваемую MailBoxSentry,а вот автообновление конечно интересно,но его можно и вручную запустить.Это уж совсем обленился народ.Для них собрали суперпрогу,так все равно недовольны.Больше давай

vv07

Есть такое дело. Ситуация с повышенной загрузкой ЦПУ свёрнутой в трей программой мне знакома. И приостановку сканирования я считаю нормальным явлением - ситуация в системе при запуске ещё одного процесса изменилась, прежние настройки стали некорректны. Так что с этой точки зрения это решение Олега абсолютно правильное. В этом я с ним согласен.

Ну до инсталлятора - он же и мне кучу времени экономит - пришёл, поставил, быстро накидал cron-задачи и забыл о ней до следующей версии. Зато дёргать по пустякам перестали практически полностью. Ради этого можно и программу установки написать... Я то для себя могу всё что под руки попадётся использовать, да вот беда - бежать в Тьмутаракань по любой ерунде - староват я для таких "подвигов". Вот если там всерьёз нужно вмешаться и местные мальчики не справляются с проблемой, тогда да. А так? - только в людях лень тешить...

Цитата:

Ситуация с повышенной загрузкой ЦПУ свёрнутой в трей программой

Проблема в том,что я запус кал и держал открытым окно.Происходит абсолютно аналогичная ситуация.Примерно через 70% сканирования,программа,просто закрываеться и все тут.На предыдущей версии такого небыло.

Сделал зеркала для тех кому не нравится Рапида
Скачать avz4.rar (3,46 Мб)
Скачать avz4.rar (3,46 Мб)

Скачал сейчас с офсайта 4,3.Вес всего 4,13 с обновленными базами.Несколько раз запускал,вроде все нормально работает.

vv07

Правда Agava "в репертуаре" - "сайт временно не доступен, ошибка 503", но если обратится напрямую к странице закачки всё прекрасно работает. Стоит это учесть.

Victor_VG
Незнаю.Я заходил через прогу и все нормально скачал.

BakLAN
19:57 12-04-2008
Цитата:

Что такое АВЗ? Да и не уверен, что заражение, ещё и сильное. Проблем в работе компьютера, за исключением этой, нет.

Еще раз запусти AVZ, затем "AVZPM" --> "Установить драйвер расширенного мониторинга процессов", все это из-под админа - должен получить в ответ окошко об успешности установления драйвера, затем перезагрузка.
После этого снова ее запускаешь, в дереве каталогов выбери только папку винды (можно и не выбирать ничего...), на вкладке "Типы файлов" выбери "Все файлы", на вкладке "Параметры поиска" поставь бегунок в верхнее положение "Максимальный уровень эвристики" там же галку на "Расширенный анализ", поставь галку на "Поиск портов TCP/UDP троянских программ", больше ничего не изменяй, нажимай "Пуск".
Когда закончит, тут же выбери "Файл" --> "Исследование системы".
В окошке "Протокол исследования системы" сними галку с "Исключить из протокола файлы, опознанные как безопасные", и можешь поставить галку на "Создать ZIP архив с протоколом исследования системы", жми "Пуск" выбери имя файла в котором будет протокол (и запомни его и где лежит ) и по окончании найди этот файл и выложи его где-нибудь что бы можно было посмотреть.

обновил avz до 4.30 и теперь всегда получаю:
\FileSystem\ntfs[IRP_MJ_CREATE] = 898731D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 898731D8 -> перехватчик не определен
...
(еще штук 20 таких же)
Параметры поиска все по максимуму включал. Драйвер расшир. мониторинга установлен.
Как бороться? И надо ли?)