» AVZ - Anti-SpyWare, Anti-AdWare

Pitersky
Понятно, Каспера, действительно не отключила, т.к включила скан раньше.
Ситуация, кстати у меня подобная, проблемы с сетью, для чего собственно и были предприняты попытки скана разными средствами.
P.s. Голова не варит, температура, спать спокойно можно?
Да. Еще выявил потенциально опасное ПО, которое кажись утилита ноута. On Screen Display.

Цитата:

Да. Еще выявил потенциально опасное ПО, которое кажись утилита ноута. On Screen Display.

Большая? На вирустотал её на вирустотал Если ничего значимого то фолс, можешь Олегу написать..

Hydrus

Цитата:

У меня и папки такой нет, не говоря уже о файле

Мне здесь уже подсказали как зайти в эту папку:

Цитата:

redwhiterus

Цитата:для этого зайди через адресную строку проводника в эту папку C:\WINDOWS\Installer

Даже в интернет эксплорере впечатай C:\WINDOWS\Installer и убедишься что такая папка есть.



Добавлено:
После удаления Google Earth удалился и злополучный 7da8eda из папки D:\Windows\Installer .
При случае поставлю заново и просканирую AVZ.

redwhiterus
Проверила на вирустотал, ничего не находит. Написать что ли?

redwhiterus
Может так оно и есть, я не буду спорить, что это возможно часть имени файла, но в Installer нет конкретно файла 7da8eda.msi (речь шла именно о нем, и если это лишь часть имени, то банальное частичное совпадение в имени должно быть. Да и к тому же с именами {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - идут папки) , а тот что относится к "Google Earth" у меня имеет имя d27f92a.msi - размер его 7 641 088 байт (как кто-то писал там ранее,- обычный инсталятор, на мой взгляд можно спокойно снести и хуже не станет).

Lev10
Папка Instaler имеется, я писал про отсутствие конкретно этой {5058B085-AA79-41E5-A726-681B4C4B846E}.

И повторюсь еще раз - не ругается у меня AVZ (обновляюсь регулярно) ни на один файл "Google Earth".

Hydrus

Цитата:

но в Installer нет конкретно файла 7da8eda.msi

Думаю так и должно быть. Его имя случайно генерируется. Но файл от
Цитата:

"Google Earth"

у тебя есть.
И ещё вопрос. В ProgramFiles в папке Google у тебя даты папок и файлов совпадают?
У меня были файлы датированы 13.11.2007 а папки 25.12.2007 .

Lev10

Цитата:

И ещё вопрос. В ProgramFiles в папке Google у тебя даты папок и файлов совпадают?
У меня были файлы датированы 13.11.2007 а папки 25.12.2007 .

Дата файлов тоже от 13.11.2007, а у папок дата установки программы - 2008 год.

Hydrus

Цитата:

Lev10
Папка Instaler имеется, я писал про отсутствие конкретно этой {5058B085-AA79-41E5-A726-681B4C4B846E}.

Сорри, это моя ошибка. Это я открыл папку Instaler автоматически на другом системном диске.

Сегодня обновил базы и как всегда,сразу же провел проверку.Я в шоке и не знаю,что сказать по этому поводу.Отошлю конечно файлы,но нонсен,признал расширение flashgot для лисы,трояном и зарубил самую любимую прогу,без которой я не представляю свой комп.Фаервол NetLimiter2.0.1
Блин,воть Что я терь без качалки в лисе делать буду?Да фаер незаменим.А удалять придеться,если подтвердиться.AVZ ни разу не ошибся и не подвел меня.

vv07

\Application Data\Mozilla\Profiles\default\ps7z6vkd.slt\chrome\flashgot.jar/{ZIP}/content/flashgot/FlashGot.exe >>> подозрение на Trojan.Win32.Vapsup.evt ( 0068E5C3 08CD5FC5 0023B66F 002A7BFE 159744) - не понял, надо у Олега спросить. Плюс к тому в подозрении и Process Explorer 11.13.

vv07
Victor_VG

Цитата:

Фаервол NetLimiter2.0.1

Ругается на какойто из установленных файлов?

Цитата:

А удалять придеться,если подтвердиться.AVZ ни разу не ошибся и не подвел меня.

Думаю фолс, а если нет то для меня будет маленькая сенсация..

Цитата:

не понял, надо у Олега спросить

Самое верное решение...

Я уже отправил ему лог и файлы.
Цитата:

Victor_VG

Именно на этот файл.У вас тоже?

Цитата:

Ругается на какойто из установленных файлов?

dllку удалил из папки,обозвав трояном.Нет,впервые у меня сомнение появилось однако.Я фаерволом этим пользуюсь,давно и постоянно.Никогда проблем не было.Да качалку,чем ему помешала то?Пипец короче.Жду ответа от Олега,что он скажет.

Добавлено:
Забыл.У меня тоже стал ругаться на Process Explorer 11.13.

на висту я смогу ё поставить ?

newbies
на оф сайте пишут, что под vista работает, но Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista

Хорошая прога. жаль что давно нет обновлений. нашла у меня в фаерволе аутпосте файлы которые автоматически стучали на меня поизводителю аутпоста.. и опции которых нельзя было отключить обычным способом. поудалял их на..ер. фаер как работал так и работает все веб тесты проходит. а вот "антишпион" умер. пользование нескололько лет этим антишпионом меня убедило что это реально бесполезное приложение аутпроста. многие даже бесплатные утилиты во много раз лучше этого антишпиона и не "стучат".
на мой взгляд такие программы "деревянные" которые говорят на "официальных" стукачей что они стукачи скоро вымрут. как пример ни нод ни каспер ни дрвеб никогда даже не ругнулись на этих моих официальных троянов..

sergey1325
обновляются базы почти каждый день а прога по мере необходимости и возможности автором

А что означает это значение:
"3. Сканирование дисков
Прямое чтение C:\Temp\~DF8C54.tmp"
Что ещё за прямое чтение?Это плохо или это не приносит вреда системе?

Ronin666

Файлы с расширением .tmp - это временные файлы создаваемые при работе различных программ. Просто AVZ проверяет их обходя средства системы для контроля возможного заражения. Всё в порядке. Вреда системе эта процедура не принесёт.

Victor_VG
Благодарю за ответ!Вчера написал ещё и Олегу,т.к. утилита подозревает один из файлов Punto Switcher в том,что он кейлоггер.

Ronin666
она его правильно подозревает, т.к. функция кейлоггера прямо заложена в пунту (ведение дневника)

LeaF_AVF

Цитата:

она его правильно подозревает, т.к. функция кейлоггера прямо заложена в пунту

Я это понимаю,но можно же как-то эту программу поставить в исключения,а то нервирует...

Ronin666

Ну, например отписать автору с просьбой проанализировать и добавить в базу безопасных. Да только хватит до следующей версии. Он часто и сильно для антивирусов меняется. Придётся часто писать.

А по большому счёту AVZ всё правильно делает. Punto - это абсолютно легальный "шпион со стажем" и троян вдогонку в красивой упаковке. Задумано не плохо - исправление ошибок ввода с клавиатуры на основе анализа статистики ввода оператора и сравнения её с эталонным словарём. Да вот словарь большой получился, ажо слишком большой, и пришлось для него огромное место выделять. И разместили оный на далёком-предалёком Большом сервере. И естественно за каждым словом туда лазить надо. Дорого, надо подешевле. Тогда можно пересылать туда введённый текст блоками, там проверять правописание, возвращать исправленным, а всё интересное отлавливать. А дабы дурак-юзер не смел шуметь - повесить ему лапшу на уши, а шпиона в его машину - государству шпионить можно, а мы что рыжие? Мы тоже много знать хотим.

Лично я давно сего поганца в своих системах внёс в "чёрный" список не допустимых к установке и подлежащих немедленному удалению программ - шпионская функция в нём не отключаетcя в принципе - она реализована как основная и скрытая функция программы.

P.S.

Поможем бедным авторам Punto не умереть со скуки и с голоду - дадим им возможность развеяться чтением нашей переписки с друзьями и заработать на наших секретах! Дружно поставим себе легального шпиона и оплатим его услуги по слежке за нами!

Victor_VG

Вот ты бред несёшь. А это вообще паранойя:

Цитата:

Задумано не плохо - исправление ошибок ввода с клавиатуры на основе анализа статистики ввода оператора и сравнения её с эталонным словарём. Да вот словарь большой получился, ажо слишком большой, и пришлось для него огромное место выделять. И разместили оный на далёком-предалёком Большом сервере. И естественно за каждым словом туда лазить надо. Дорого, надо подешевле. Тогда можно пересылать туда введённый текст блоками, там проверять правописание, возвращать исправленным, а всё интересное отлавливать. А дабы дурак-юзер не смел шуметь - повесить ему лапшу на уши, а шпиона в его машину - государству шпионить можно, а мы что рыжие? Мы тоже много знать хотим.

Кто куда кому что шлёт? На какой такой большой сервер? У тебя Punto без интернета ничего не переводит? А если переводит, то про какой сервер ты ведёшь речь?

Цитата:

исправление ошибок ввода с клавиатуры на основе анализа статистики ввода оператора и сравнения её с эталонным словарём.

На каких анализах? Какой статистике и какого оператора? Ну, погугли хоть - не позорься...

Скажите, плиз, вот есть такой скрипт Отключение автозапуска с разных носителей. Как сделать, чтобы отключить еще и авторан с физического диска D?

Victor_VG
Ващет abz прав. Да, Пунта это "шпийон", как в принципе и ЛЮБОЙ (!!!) другой переключатель клавиатуры. Про посылку на сервер - тут ты не прав. Никуда, ничего, ни зачем он не посылает. У него помоему даже функции Автоапдейта нету. Кароч написал ты конечно много, но всё, кроме того, что он "шпийон" - не к месту и не к делу.
П.С. я уже отправлял библиотеки Олегу, но как я понял ему надоело вносить одни и те-же библиотеки в базу много раз (в связи со сменой версии). Его бы по этому поводу услышать, но он вроде только на вирусинфо описывается.

Vivien

Цитата:

Скажите, плиз, вот есть такой скрипт Отключение автозапуска с разных носителей. Как сделать, чтобы отключить еще и авторан с физического диска D?

Там отключается всё, кроме CD-ROM.

Цитата:

Ващет abz прав. Да, Пунта это "шпийон", как в принципе и ЛЮБОЙ (!!!) другой переключатель клавиатуры. Про посылку на сервер - тут ты не прав. Никуда, ничего, ни зачем он не посылает. У него помоему даже функции Автоапдейта нету. Кароч написал ты конечно много, но всё, кроме того, что он "шпийон" - не к месту и не к делу.
П.С. я уже отправлял библиотеки Олегу, но как я понял ему надоело вносить одни и те-же библиотеки в базу много раз (в связи со сменой версии). Его бы по этому поводу услышать, но он вроде только на вирусинфо описывается.

Ну, мнение то простое
1. Punto не передает ничего никуда, у него бортовая база данных для опознания ввода слов не в той раскладке.
2. Подозрение на его DLL-ку было, есть и будет - библиотека эта "легальный шпион", т.е. поведенческий анализатор AVZ четко показывает, что на каждый вводимый символ она посылает информацию своему родительскому приложению (выясненное поведение описывается в логе AVZ). Судить о полезности или вреде подобной DLL может только человек ... так как выяснить, что конкретно делает некое приложение X с полученными данными практически нереально
3. За счет опции "Дневник" Пунто может логгировать ввод, становясь кейлоггером - об этом нужно помнить, особенно вводя что-то на компьютерах с публичным доступом
Я по мере возможности вношу эти DLL от Punto в базу чистых, детект после этого подавляется (т.е. за кадром он все равно есть, но для известных объектов информация отфильтровывается из лога как неинформативные данные), но автор постоянно меняет ее - и все повторяется снова ...

Oleg_Zaitsev

Цитата:

За счет опции "Дневник" Пунто может логгировать ввод, становясь кейлоггером - об этом нужно помнить, особенно вводя что-то на компьютерах с публичным доступом

Вобщем в бочке меда ложка дегтя.....

Привет всем в этой ветке!

Решил опробовать ещё и AVZ. Вроде пока интересно. Но есть небольшое замечание: драйвера Comodo и Duplex SPTD-драйвер рассматриваются стандартным скриптом детектирования руткитов как злонамеренный код (правда, всё равно ничего удалено в итоге не было). Вероятно, есть смысл исправить это, если такое, конечно, возможно.

Прошу прощения, если это уже упоминалось - пока ещё в этой ветке я новичок.

gjf

Duplex SPTD драйвер действительно не самый лучший - на их сайте багрепорт уже давно переполнен. А Comodo - пиши Oleg_Zaitsev о ложном детекте. Он добавит их в базу безопасных.