» AVZ - Anti-SpyWare, Anti-AdWare

Blitzstok

Отослать логи автору. Или не обращать внимания если точно знаешь что стоит в системе. Но тщательно проверить стоит. Возможно, что какие-то из драйверов (особенно шифрующие либо других антивирусов) неверно идентифицируются AVZ. В таком случае проверка не помеха.

Просканировал и получил во это:

Цитата:

D:\WINDOWS\Installer\7da8eda.msi/{MS-OLE}/\44 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
D:\WINDOWS\Installer\7da8eda.msi/{MS-OLE}/\72 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)

Что с этим делать?

Цитата:

Lev10

Посмотреть на вируслисте и отослать логи Олегу,он оперативно даст ответ.

Цитата:

D:\WINDOWS\Installer\7da8eda.msi/{MS-OLE}/\44 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
D:\WINDOWS\Installer\7da8eda.msi/{MS-OLE}/\72 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)

По виду фолс, но vv07 прав, посмотри от чего инсталлер

Меня смущает только одно.В
Цитата:

D:\WINDOWS\Installer\7da8eda.msi/{MS-OLE}/\44 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
D:\WINDOWS\Installer\7da8eda.msi/{MS-OLE}/\72 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)

Вот эта часть
Цитата:

7da8eda.msi

являеться прямой ссылкой на сайт.По крайней мере в FF,она именно так и отображаеться,как линк.При клике на нее,тебя перекидывает на какой то сайт.Либо автор поста,что то не так сделал,при выставлении новости,либо эжто специально сделано.Вы
Цитата:

Lev10

не пояснили бы сей нюанс.

Цитата:

являеться прямой ссылкой на сайт

Не понял вас Уточните в Опере просто D:\WINDOWS\Installer\7da8eda.msi/ и т.п.
ИМХО это инсталлер чего-то если готовы, то можно с ограниченными попробовать стартовать, у меня так на совершенно чистые проги ругалось

Что за херня у меня! После запуска этой прооги нихрена не хочет работать.IE ,центр справки,winRar - вылетает окошко с надписью что у вас нет прав доступа.Нужно перезагружать компьютер.После перезагрузки еще вылетел в синий экран

CKAHEP
внимательно читаем что пишет программа, да и доки не забываем читать.
после противодействия Rootkit Kernel-Mode рекомендуется пергрузить машину.
этот режим несовместим со многими приложениями. не включай его и всё будет ок.

Какой режим не включать?

redwhiterus
vv07
В папке винды вообще нет папки Installer. Скрытые папки есть но вышеуказанной не наблюдается.

Цитата:

7da8eda.msi

Однажды меня смутило окончание msi но мне подсказали что это майкрософтинсталлер.

Цитата:

Либо автор поста,что то не так сделал,при выставлении новости,

Я только скопировал инфу как она есть.

Цитата:

По крайней мере в FF,она именно так и отображаеться,как линк

Здесь я не понял. FF ???



Добавлено:
vv07

Цитата:

Посмотреть на вируслисте и отослать логи

Поиск файла 7da8eda.msi тоже не дал результатов.

Насчет ссылки проехали.FF это Mozilla Firefox.У меня стоит расширение,которое отображает скрытые ссылки,но видимо в вашем случае,случайно так вышло.Я врубил все,что у меня стоит на машине и рискнул кликнуть по этой ссылке.Она никуда не привела.Если при сканировании,у вас стояла галочка на удалении вирусов,то ищите теперь этот файл в папке инфект,что рядышком с AVZ лежит.А вот куда сама папка исчезла
Окончание msi ничего не значит.Частенько,вирусы маскируються под нормальные файлы,особенно это относиться к системным библиотекам.
В любом случае,если лог сканирования сохранился,отправьте его Зайцеву.

Добавлено:

Цитата:

CKAHEP

Блин,да сколько же можно говорить,что если пользователеь ранее не работал с AVZ,то перед первым запуском,ОБЯЗАТЕЛЬНО И ВНИМАТЕЛЬНО прочитать справку о работе.AVZ очень серьезная и могу заверить вас,опасная программа.Малейшее несоблюдение инструкций,может привести к падению вашей системы даже.В Вашем случае,думаю откат вам в руки,хотя если честно,то сомневаюсь,что вам поможет,если у вас стояла галочка на блокировке Root или автоматическом исправлении ISP\LSP.Ну а если вы,еще и уровень эвристики при этом,сменили,да автоматику исправления системных ошибок врубили,То тогда вам поможет,только переустановка системы.

Дело в том что я ничего не сканировал.Только посмотрел диспетчер процессов,менеджер автозапуска и запустил AVZ Guard и все!

А AVZ Guard вы правильно запустили?Ну совсем ничего не делали однако
Перед его запуском вы справочку читали или нет?.Он же вам заблокировал все запущенные процессы в системе.
К вашему сведению,вы запустили самый серьезный модуль программы.Его вообще то,рекомендовано использовать,в самых крайних случаях .

Цитата:

Рекомендации:

·    Перед включением системы необходимо закрыть все приложения кроме AVZ. Это важный момент, поскольку все запущенные приложения в момент запуска начнут считаться недоверенными и это может заблокировать их работу. На самом деле экспериментально установлено, что большинство приложений сохраняют свою функциональность, так как не совершают блокируемых системой действий. В частности, Internet Explorer, Outlook Express, TheBat продолжают нормально работать в качестве недоверенных приложений;

·    Особенностью блокировки операций с реестром является то, что операция блокируется, но приложение получает статус успешного выполнения и считает, что реестр был изменен. Это сделано специально для совместимости с рядом программ, которые в случае ошибки записи в реестр начинают работать неадекватно. Логику этой блокировки легко изучить при помощи Regedit - его необходимо запустить до включения AVZGuard, далее включить AVZGuard, и c помощью RegEdit изменить значение какого-либо ключа реестра. С точки зрения regedit операция пройдет успешно, но если обновить данный при помощи F5, то можно убедиться, что реестр не изменился.

·    В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские потоки и т.п.
·    Управление AVZGuard идет из контекста утилиты AVZ, в случае завершения работы AVZ контроль над AVZGuard будет потерян и он будет функционировать автономно до перезагрузки.
·    Система AVZGuard может многократно включаться/отключаться в процессе работы с AVZ по мере необходимости в ограничении работы запущенных процессов

Особенности выключения ПК при включенном AVZGuard

·    Процесс выключения и перезагрузки при активной системе AVZGuard может занять до 2-3 минут. Это связано с тем, что система не может принудительно закрыть процессы.
·    Некоторые приложение в момент завершения могут выдавать сообщение о ошибках, связанные с ограничением их деятельности
·    Сам AVZ невозможно закрыть по Alt-F4 или при помощи кнопки в заголовке окна. Для завершения работы AVZ при активном AVZGuard необходимо применить пункт меню "Файл/Выход"

Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после лечение с его использованием. Важно отметить, что AVZGuard не является системой проактивной защиты или антивирусным монитором - активировать его нужно только на время борьбы с трудноудаляемыми malware.

AVZ, (C) Зайцев О.В., http:

Перечитал все и на сайте тоже.Не думал что все так запутано.

Сканер
Поверьте мне.Запутанного ничего нет,но к такого рода программам,нужно относиться очень и очень серьезно.Я фактически,использую эту прогу,чуть ли не с первых версий и то не могу назвать себя,Гуру.
Когда появился AVZGuard,я лично,включал его,один только раз,когда поймал серьезного зловреда,с которым даже касперский не мог справиться.Вы же,судя по всему новичек в работе с ней,сразу запустили
самую серьезную функцию этой программы,даже,как я понял,толком не прочитав инструкцию.Попробуйте отключить AVZGuard и перезагрузить систему.

Прогнал по гуглю 7da8eda и вот:
Цитата:

Не найдено ни одного документа, соответствующего запросу 7da8eda

Lev10

Цитата:

Скрытые папки есть но вышеуказанной не наблюдается.

Папка еще имет атрибут системный, FAR видит на ура!
Размер файла можешь сообщить, и еще издателя, для этого зайди через адресную строку проводника в эту папку C:\WINDOWS\Installer и наведи курсор на файл(если файл не удалил конечно)

redwhiterus

Цитата:

зайди через адресную строку проводника в эту папку C:\WINDOWS\Installer

Точно! Зашёл. C:\WINDOWS\Installer\{5058B085-AA79-41E5-A726-681B4C4B846E}.
Внутри 2 ярлыка интернета.NewShortcut2 и NewShortcut3.

Добавлено:
Внутри папки инсталлер есть файлы msi(7штук), но отмеченного
Цитата:

7da8eda

нет.

Lev10

И не будет. Это часть его имени полное будет похоже {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}, где вместо х могут бы любые шестнадцатеричные цифры от 0 до F. Если например воспользоваться моей сборкой Far Manager, то с её помощью в такой файл можно и войти как в архив. Я это специально делал. Но сначала стоит глянуть именно в чём-то типа Far Manager, MC - именно текстовых программах заголовок подозрительного файла - у файлов .MSI/.MSP очень характерный заголовок 0xD0CF11E0A1B11AE1 (Hex) его сразу видно, а не MZP как у PE/ELF файлов. И только потом можно осторожно попробовать войти в него как в архив. Ну а коли не получиться, ни в коем случае подозрительный не запускать! Для таких файлов есть иные средства работы, например Microsoft Orca. Но, это уже выходит за пределы темы.

redwhiterus

Цитата:

для этого зайди через адресную строку проводника в эту папку C:\WINDOWS\Installer

Victor_VG

Цитата:

И не будет.

Сорри. Всех ввёл в заблуждение.Автоматом скопировал и зашёл на С:\. .... Но на С:\ у меня другая операционка.

Уже на D:\WINDOWS\Installer навожу на файл мышкой и получаю:

Цитата:

Тип: Пакет "Windows Installer" Автор: Google Заголовок: Installation Database Тема: Google Earth

Цитата:

Тип: Пакет "Windows Installer" Автор: Google Заголовок: Installation Database Тема: Google Earth

обнаружено: троянская программа Trojan-Downloader.JS.IESlice.s    
Вот результат проверки этого Google Earth.Я правда не утверждаю,что именно это у вас.Вы бы выложили куда нить свой файлик.

Цитата:

Тип: Пакет "Windows Installer" Автор: Google Заголовок: Installation Database Тема: Google Earth

А размеры, теоритически могли поклеить подделать но скорее всего проблема решена, то кто отпишет Олегу, хотя надо было делать это в начале
Лучше перебдеть чем недобдеть

redwhiterus

Поддерживаю. Сам ещё лет семь назад встречался с тем, что сервер crack.am использовал JavaScript для установки порнозвонилок и троянов. Тогда об этом мало было известно, и технологию использовали JavaScript редко. Сейчас её вредители "освоили".

Ну логи должен сам Lev10,отослать,да файлик приложить тоже.

Отправил файл на http://www.virustotal.com/ru/
Файл 7da8eda.msi получен 2008.04.24 20:11:05 (CET)


Результат: 1/32 (3.13%)

Только один написал

Цитата:

Prevx1 V2 2008.04.24 Heuristic: Suspicious File With Bad Child Associations

Остальные прочерки.


Добавлено:
А также проверил на странице "Онлайн проверка на вирусы" на сайте компании «ДиалогНаука». http://dials.ru/main.phtml?/online_check

Версия антивирусного ядра: 4.44.0.9170
Размер файла: 7462.0K

7da8eda.msi - archive OLE
>7da8eda.msi/stream000 packed by UPX
>>7da8eda.msi/stream000 - OK
>7da8eda.msi/stream001 - OK
>7da8eda.msi/stream002 - OK
>7da8eda.msi/stream003 - OK
>7da8eda.msi/stream004 - OK
>7da8eda.msi/stream005 - OK
>7da8eda.msi/stream006 - OK
>7da8eda.msi/stream007 packed by PECOMPACT
>>7da8eda.msi/stream007 packed by BINARYRES
>>>7da8eda.msi/stream007 - OK
>7da8eda.msi/stream008 - OK
>7da8eda.msi/stream009 - OK
>7da8eda.msi/stream010 - OK
>7da8eda.msi/stream011 - OK
>7da8eda.msi/stream012 - OK
7da8eda.msi - OK

To All
Думаю что не я один пользуюсь
Цитата:

Google Earth

.
Ни у кого AVZ не находит этот файл подозрительным?

Цитата:

Точно! Зашёл. C:\WINDOWS\Installer\{5058B085-AA79-41E5-A726-681B4C4B846E}.

У меня и папки такой нет, не говоря уже о файле. Файла так же нет внутри Installer.
Но имеется вот такая папка {1E04F83B-2AB9-4301-9EF7-E86307F79C72}, в которой всякая ерунда от Google, но и там ничего плохого нет.

Цитата:

Ни у кого AVZ не находит этот файл подозрительным?

На Google у меня не ругался с самого начала.

Hydrus

Цитата:

У меня и папки такой нет, не говоря уже о файле. Файла так же нет внутри Installer.

Почитай пост Victor_VG на этой странице и поймешь

а знатоки программы здесь есть?
Просканировала систему, вирусов вроде как нет, но обнаружилось такое:
[more]1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (572) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D8B4->77ED6FC4
Функция kernel32.dll:LoadLibraryExA (573) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D894->77ED6FD3
Функция kernel32.dll:LoadLibraryExW (574) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7D78C->77ED6FF1
Функция kernel32.dll:LoadLibraryW (575) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E73B63->77ED6FE2
Детектирована модификация IAT: LoadLibraryA - 77ED6FC4<>77E7D8B4[/more]
И еще включена служба разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP), которая естественно прослушивает порт 5000, справку почитала. Я конечно могу ее отключить, но данная возможность включена в торренте. (utorrent).
Торрентами сейчас многие пользуются, может подскажете, как это повлияет? И надо ли отключать данную службу.

Vivien
Касперским пользуешься?
http://forum.kaspersky.com/lofiversion/index.php/t427.html