Avallon
Цитата:
источник обновления поменяйте
Цитата:
Программа не обновляется, сайт программы не открывается. Это у всех так?
источник обновления поменяйте
» AVZ - Anti-SpyWare, Anti-AdWare
Avallon 13:11 13-08-2012
Цитата:
вы случайно не из казахстана ? http://forum.kaspersky.com/index.php?showtopic=242663
Цитата:
Программа не обновляется, сайт программы не открывается. Это у всех так?
вы случайно не из казахстана ? http://forum.kaspersky.com/index.php?showtopic=242663
Avallon
У меня прога каждый день обновляется без проблем. На сайт тоже свободно захожу.
Проверьте версию проги - если она старая, то обновляться не будет.
У меня прога каждый день обновляется без проблем. На сайт тоже свободно захожу.
Проверьте версию проги - если она старая, то обновляться не будет.
KOHTPAKT 19:10 16-09-2012
Цитата:
если она старая, то при попытке обновления сама об этом сообщит
Цитата:
Проверьте версию проги - если она старая, то обновляться не будет.
если она старая, то при попытке обновления сама об этом сообщит
просветите, пожалуйста, чисто из спортивного интереса
что значит при сканирование avz надписи перехватчик не определен
и второй вопрос тоже для моего развития.
Почему когда avz'ом сканишь в обычном режиме виндовс, он сканить часа 2-3 и показывает в своем окне весь отчет, а когда сканишь в безопасном режиме , то он сканит всего 15 мин, а сразу исчезает даже не показав окно отчета.
что значит при сканирование avz надписи перехватчик не определен
и второй вопрос тоже для моего развития.
Почему когда avz'ом сканишь в обычном режиме виндовс, он сканить часа 2-3 и показывает в своем окне весь отчет, а когда сканишь в безопасном режиме , то он сканит всего 15 мин, а сразу исчезает даже не показав окно отчета.
Futurism
Ради спортивного интереса, у тебя похоже заражение шпионским буткитом Sinowal, так как установлен перехватчик обращений к MBR.
Ради спортивного интереса, у тебя похоже заражение шпионским буткитом Sinowal, так как установлен перехватчик обращений к MBR.
Ry
так а вообще что значит, перехватчик не определен?
так а вообще что значит, перехватчик не определен?
Цитата:
так как установлен перехватчик обращений к MBR
как вы разглядели?
Цитата:
что значит, перехватчик не определен?
Хук есть, а драйвера-виновника не нашел(так как скрыт).
Цитата:
как вы разглядели?
На скрине IRP перехватчик: IRP_MJ_DEVICE_CONTROL. Этот перехватчик перехватывает обращения на прямой(или низкоуровневый, кому как нравится) доступ к диску.
Винда и аверы никогда не ставят IRP хуков, максимум перехватчики на ядерные API(С префиксом Zw).
Ry
Как от этого дерьма можно избавиться????
Как от этого дерьма можно избавиться????
Цитата:
Как от этого дерьма можно избавиться????
LiveCD.
Ry
прикольно Вы так сечёте в вирусах. Можно Вас попросить. хотя бы вкратце сказать что такое хук, и все таки один из вопросов был почему АВЗ после сканирования сам отключается и закрывается не показывая отчет. он его показывает, если я его остановлю на каком то месте.
прикольно Вы так сечёте в вирусах. Можно Вас попросить. хотя бы вкратце сказать что такое хук, и все таки один из вопросов был почему АВЗ после сканирования сам отключается и закрывается не показывая отчет. он его показывает, если я его остановлю на каком то месте.
Цитата:
LiveCD.
краткость сестра таланта
подскажите что значит эта запись после проверки?
это опасно?
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805D65FE->88D17C90), перехватчик не определен
Функция NtDebugActiveProcess (39) перехвачена (80642F58->88D18200), перехватчик не определен
и т. д. .....................................
Проверено функций: 284, перехвачено: 15, восстановлено: 0
это опасно?
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805D65FE->88D17C90), перехватчик не определен
Функция NtDebugActiveProcess (39) перехвачена (80642F58->88D18200), перехватчик не определен
и т. д. .....................................
Проверено функций: 284, перехвачено: 15, восстановлено: 0
Цитата:
что такое хук?
Это тоже самое что перехватчик, хуки служат для перехвата событий системы до того как событие дойдет до приложения.
Например: руткит заразил MBR и что бы никто не увидел зараженного MBR, руткит ставит перехватчик IRP_MJ_DEVICE_CONTROL(или аналогичный перехват на WinAPI) и без выноса хука, при обращении к MBR, MBR всегда будет чистым.
Правда такое было актуальным лет 5 назад, сейчас используются возможности драйвера atapi.sys. Он системный, он обеспечивает работу системы, а значит система печется о нем так, что о восстановлении перехватчиков установленных им или от его имени и речи не идет. Именно это поставило в тупик практически все аверы перед такими руткитами как Sinowal, TDL3, TDL4, SST.b.
Ry
Где вы так научились шарить в вирусняках?))
Вообще , я не ставил себе цель полечить ноутбук ,но коли пошла такая пьянка, у меня есть лайв цд. Каким антивирем надо сканить диск?
Где вы так научились шарить в вирусняках?))
Вообще , я не ставил себе цель полечить ноутбук ,но коли пошла такая пьянка, у меня есть лайв цд. Каким антивирем надо сканить диск?
Не могу запустить AVZ 4.39 сканирование Windows XP SP3. AVZ нормально обновляется.Часть утилит работает. Система подвергалась, а может и сейчас воздействию вирусов (часть программ на компе не работает).
выскакивает ошибка :
RichEdit line insertion error
Основной антивирус Касперский.
Не смог найти нормального ответа.Прошу помощи.
Вроде нашел проблему: в папке C:\WINDOWS\system32\ тупо отсутствовал файл - riched32.dll
выскакивает ошибка :
RichEdit line insertion error
Основной антивирус Касперский.
Не смог найти нормального ответа.Прошу помощи.
Вроде нашел проблему: в папке C:\WINDOWS\system32\ тупо отсутствовал файл - riched32.dll
ww1ww
Цитата:
где сабж находиться ?
Цитата:
Не могу запустить AVZ 4.39
где сабж находиться ?
Сабж,находится в корне диска С:
в папке C:\WINDOWS\system32\ тупо отсутствовал файл - riched32.dll а на резервной копии папки Windows такой файл был. Я скопировал и вот только жду результатов первого сканирования.
Спасибо коллеги!
в папке C:\WINDOWS\system32\ тупо отсутствовал файл - riched32.dll а на резервной копии папки Windows такой файл был. Я скопировал и вот только жду результатов первого сканирования.
Спасибо коллеги!
А нет ли у кого анализатора логов AVZ ...называется "кибер",если не ошибаюсь
individymJunior Member 08:44 07-12-2012
Цитата:
Есть, он находится у Олега Зайцева
Не подскажете можно ли по XML логу определить логи сделаны из терминальной сессии или нет ? В некоторых случаях там есть запись вида Session="RDP-Tcp#5", Session="RDP-Tcp#7" а в некоторых нет. Когда это не указано можно ли определить сделан лог из локальной сессии или нет ?
Спасибо.
Цитата:
А нет ли у кого анализатора логов AVZ ...называется "кибер",если не ошибаюсь
Есть, он находится у Олега Зайцева
Не подскажете можно ли по XML логу определить логи сделаны из терминальной сессии или нет ? В некоторых случаях там есть запись вида Session="RDP-Tcp#5", Session="RDP-Tcp#7" а в некоторых нет. Когда это не указано можно ли определить сделан лог из локальной сессии или нет ?
Спасибо.
\FileSystem\FastFat[IRP_MJ_WRITE] = 89B7A2D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89DD5AD0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89CFFBC0 -> перехватчик не определен
На сколько страшно?
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89DD5AD0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89CFFBC0 -> перехватчик не определен
На сколько страшно?
duHA
Трудно сказать, но часто это драйвера низкого уровня. Можно посмотреть например в Process Hacker кто именно использует данные адреса ОЗУ и тогда решить что делать.
Трудно сказать, но часто это драйвера низкого уровня. Можно посмотреть например в Process Hacker кто именно использует данные адреса ОЗУ и тогда решить что делать.
duHA
У меня таких море Зачем искать. Проще посмотреть в стороннем брандмауере или AnVir-е. Вначале при отключенной сети, потом при включенной, что и когда выходит в сеть и выходит ли. Если в списках сетевых соединений всё чисто, то не всё-ли равно какой и чей там перехватчик? На компе много прог и процессов которым перехват необходим.
У меня таких море
Зачем искать. Проще посмотреть в стороннем брандмауере или AnVir-е. Вначале при отключенной сети, потом при включенной, что и когда выходит в сеть и выходит ли. Если в списках сетевых соединений всё чисто, то не всё-ли равно какой и чей там перехватчик? На компе много прог и процессов которым перехват необходим. thelamb
Тот же РН позволяет просматривать и сетевые соединения процессов. Это одна из его стандартных функций. А с тем, что таких перехватчиков в любой системе море я полностью согласен. Если он не отображается в РН на вкладке Network и не записывает на диск содержимое чужой памяти (это легко проследить в РН по стеку вызовов и активности I/O для исследуемого процесса), то обычно процесс безвреден.
Тот же РН позволяет просматривать и сетевые соединения процессов. Это одна из его стандартных функций. А с тем, что таких перехватчиков в любой системе море я полностью согласен. Если он не отображается в РН на вкладке Network и не записывает на диск содержимое чужой памяти (это легко проследить в РН по стеку вызовов и активности I/O для исследуемого процесса), то обычно процесс безвреден.
Друзья, подскажите такую вещь.
В AVZ есть менеджер hosts файлов. Если я его открываю, то там обычный пустой hosts. Так же если открыть сам hosts файл, не через avz, он тоже пустой.
Но если провести с помощью AVZ исследование системы, то он в отчете, в разделе hosts, выведет совершенно другой hosts файл с дополнительными записями (работа вируса) которые используются системой.
Так вот вопрос, откуда он взял эти записи? Напомню, что сам hosts файл пустой (локалхост прописан) и даже если его открыть через менеджер в авз он тоже пустой.
В AVZ есть менеджер hosts файлов. Если я его открываю, то там обычный пустой hosts. Так же если открыть сам hosts файл, не через avz, он тоже пустой.
Но если провести с помощью AVZ исследование системы, то он в отчете, в разделе hosts, выведет совершенно другой hosts файл с дополнительными записями (работа вируса) которые используются системой.
Так вот вопрос, откуда он взял эти записи? Напомню, что сам hosts файл пустой (локалхост прописан) и даже если его открыть через менеджер в авз он тоже пустой.
freewood
сабж какой версии ?
4.39 все нормально показывает
сабж какой версии ?
4.39 все нормально показывает
freewood
Попробуйте поискать его по имени, например используя Far Manager v3.0 (версия 3.0 если использовать тот набор что идёт в стандартной поставке ничего не пишет в Реестр - настройки программы хранятся в профиле в БД SQLite, поиск осуществляется по клавишной комбинации Alt+F7) включив в нём отображение невидимых файлов и в настройках Параметры - Системные параметры поставив флажок Использовать дополнительные привилегии. Это позволит Вам при необходимости войти в каталоги куда доступ обычными средствами запрещён, например в каталог System Volume Information стандартные права доступа на который Local System - Full control, а для всех остальных пользователей записи в списках контроля доступа (ACL) отсутствуют что интерпретируется системой как Disabled (Запрещено). Я частенько отыскивал заразу которая прячется в этом каталоге и запускается с правами доступа Local System.
Попробуйте поискать его по имени, например используя Far Manager v3.0 (версия 3.0 если использовать тот набор что идёт в стандартной поставке ничего не пишет в Реестр - настройки программы хранятся в профиле в БД SQLite, поиск осуществляется по клавишной комбинации Alt+F7) включив в нём отображение невидимых файлов и в настройках Параметры - Системные параметры поставив флажок Использовать дополнительные привилегии. Это позволит Вам при необходимости войти в каталоги куда доступ обычными средствами запрещён, например в каталог System Volume Information стандартные права доступа на который Local System - Full control, а для всех остальных пользователей записи в списках контроля доступа (ACL) отсутствуют что интерпретируется системой как Disabled (Запрещено). Я частенько отыскивал заразу которая прячется в этом каталоге и запускается с правами доступа Local System.
замечательная прага
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657
Предыдущая тема: Программы для учета потраченного времени
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.