зеленым.Значит можно считать что AVZ перестраховывается? Я имею ввиду сообщение" подозрение на keylogger или троянскую DLL." В любом случае это делаетAVZ честь.
зеленым.Значит можно считать что AVZ перестраховывается? Я имею ввиду сообщение" подозрение на keylogger или троянскую DLL." В любом случае это делаетAVZ честь.
Последний раз редактировалось barsukRed; 14.01.2007 в 15:29.
Ниже сообщение из фидошной конференции AVP.SUPPORT.
Serg Ageev в борьбе с вирусами, безусловно, чайник и многого попросту не представляет. Хотя, думаю, это тоже интересно - как новичок воспринимает AVZ.
Привожу сообщение тут, поскольку сообщаемые им проблемы - имхо, не просто подземный стук, имеют место быть.
У меня тоже не отключаемый по полгода NT4 server после запуска AVZ (без работы в нем, запускал лишь для проверки синтаксиса скриптов) через неделю после его запуска благополучно помер.
Началось это так: при очередном запуске AVZ окно не появилось, в процессах он висел. Попробовал убить виндовым таскменеджером - вроде убился (исчез из списка процессов). Через неделю сообщение винды о нехватке памяти. Программы выгрузил - память освободилась, всего мегабайт на 70 больше обычного. Стал запускать опять - тормозят жутко, виснут.
Перезагружаться винда отказалась - потребовала сначала завершить выполняемый с debug привилегиями программу, а завершать было нечего.
Пришлось жать ресет.
Была мысль о червяке, но уже полторы недели после того машина работает нормально. AVZ там больше не запускал.
У Сержа Win2k, у меня NT4. Он грешит на расширенный драйвер, а я его не ставил, просто запускал AVZ.exe и проверял скрипты.
Возможно, драйвера AVZ не слишком дружат со старыми виндами.
Сооб: 1000 из 1000 -996 AVP.SUPPORT
От : Serg Ageev 2:6056/1 Sun 14 Jan 07 17:17
Кому: Alexey Podtoptalow
Тема: KAV6 - бpед с огpаничениями по ОС
TID: ParToss 1.10.069/HSH/W32 devel
REPLY: 2:6056/1 459fa7cd
MSGID: 2:6056/1 45aa43cf
RealName : Сергей Викторович Агеев
Location : г.Камышин Волгоградской обл., Поволжье.
E-Mail : [email protected] : DEL - вырезать!
ICQ : 141198428
Fingerprint: B2CF 1A49 19FF 3F3B BCD1 FC1E 7F62 78C4
Привет Alexey!
06 января 2007 16:39, Serg Ageev писал Alexey Podtoptalow:
SA>> avz ещё не пробовал, пошёл про него читать...
...
SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ!
не хотел я его без крайней необходимости больше трогать, да...
принёс клиент убитый (электрически) ноут.
после оживления, решил я посмотреть - чего там внутри водится.
ноут этот инсталлировал я, по своим правилам с инструктированием клиента.
в частности - HЕ работать под админом. для клиента там создан обрезанный юзер.
разумеется, клиент меня так и послушал... ;-)
для начала я стал руками удалять всё из разного рода ТЕМПов.
один файлик удаляться не желает... ;-)
смотрю в процессах - а он запущен. из темпа! ;-)
ну, это явный признак "не земного происхождения"... ;-)
лезу в реестр - нахожу его в РАHе.
ага.
стало интересно, чего ж это такое, что моя версия кава не видит его?
ну, вздохнул, перекрестился и запустил авз.
включил его драйвер, он потребовал перезагрузиться.
перезагрузился.
запустил авз.
попытался повыключать службы - дохлый номер, не в том порядке... надо было СHАЧАЛА всё подготовить, а потом запускать авз.
да и чёрт с ними, от интернета ноут изолирован - и ладно.
запустил проверку.
через полчаса, примерно, ноут выпадает в бсод (ХППро) с ругательством на... ;-) на NTFS.sys!
а обалдел.
потом вспомнил, что на первой, рабочей машине, на которой я пробовал запускать авз, юзеры несколько раз мне говорили, что машина стала "падучей, ругаясь на файловую систему". я сначала решил, что юзеры чего-то напутали - сроду вин2к при мне на разных машинах не ругалась на ФС.
ага.
ладно, загружаю ноут, выгружаю всё "своё": касперского, фаервол и проч..., а затем запустил авз.
"долго дело делается, да недолго сказка сказывается": в итоге был найдет ТОТ самый файл, и "определена его национальность": он оказался... всего-лишь адваре-гатором. ;-(
стоило столько часов мучать машинку... ;-(
попутно я запускал его на своей домашней машине, там тот же кав, но вин2К.
разумеется, я забыл выключить кава, посколько он работает службой и его не видно просто-напросто, потому, что он "без морды".
в результате - авз, с запущенным предварительно драйвером и перезагруженной машиной, просто ПРОПАЛ! исчезло его окно!
я думал, что он банально умер, завершившись.
ан нет, повторно запускаться он отказался...
перезагрузился, также тщательно поостанавливал всё, что можно, запустил авз.
итог: HИЧЕГО не было найдено HОВОГО, то есть того, что HЕ нашёл КАВ.
то, что лежало в ловушке у кав и в специальной вирусной коллекции
(обнаруживаемое кавом) - авз опознал.
после выключения обоих машин и перезагрузки - машины повторно через какое-то время умирают в бсод с ругательством на HТФС.СИС.
;-(
вспоминаю, что забыл Деинсталлировать драйвер авз.
сделал. перезагрузил.
всё заработало стабильно.
пришёл СЮДА ( на /1), запустил авз, посмотрел - точно. драйвер я забыл деинсталлировать.
деинсталлировал, ибо с ним машины HЕ стабильны.
на тех двух машинах я прошёл проверку до конца, на ноутбуке ещё и ревизора запускал.
думаю - надо и первую машину доделать до конца...
запустил авз БЕЗ драйвера.
он сказал, что за пару часов управится.
ну, да ладно, у меня смена двенадцать часов.
итог - через часов семь-восемь авз стал жутко грести.
типа - "беру файл такой-то, но проверить его не могу, ибо не могу создать временный файл." причём место под файл указывает верное, то есть, в существующей темповой папке.
потом тормоза на машине резко пропали - пошёл я глянуть, неужели авз закончил?
ан нет.
в его экранный лог на КАЖДЫЙ файл он стал ругаться "внутренняя ошибка
avz.exe по адресу...".
ну, я не стал его дальше мучать, остановил.
он благополучно остановлися, хотя я опасался, что он помрёт от натуги...
полазил я в его настройках - ЗАРАHЕЕ включить ведение лога, похоже, нельзя.
но есть кнопка - "сохранить лог".
нажимаю.
вижу радостное окно винды, Пристрелившей АВЗ! типа "программа не может... и будет..." ;-)
так что, умирающий авз и следов после себя не оставил, в смысле, всю историю с фактами унёс с собой в могилу... ;-))
для окончательной честности скажу, что на последней машине HИЧЕГО из безопасности HЕ выключалось, ибо машина ОHЛАЙHОВАЯ.
поскольку авз при запуске радостно собщил, что "работающие фаерволы и антивирусы, скорее всего, будут повреждены, не забудьте перезагрузиться ПОТОМ", то все эти семь-восемь часов меня "терзали смутные сомнения" - если авз ЗHАЛ, что он ПОЛОМАЕТ антивирус и фаервол, то почему он HЕ СКАЗАЛ СРАЗУ и ЯВHО, что ВЫКЛЮЧИТЕ ИHТЕРHЕТ! ? ;-)
я, например, не понял - после предупреждения машина была "голая" в сети или нет? :-(
после финальной перезагрузки, кажись, всё работает правильно... ;-))
к чему я всё ЭТО?
а вот к чему - инструмент, конечно, интересный, HО.
но использовать его можно ТОЛЬКО в Крайних случаях, и ТОЛЬКО при ЛИЧHОМ присутствии.
тот же КАВ Инспектор - не в пример стабильнее и надёжнее.
от него у меня HИ разу не умирала машина, причём, как правило, пользуюсь я
им удалённо.
SA> короче, инструмент, вроде, интересный, но Оч-ч-ч-чень опасный.
SA> кроме того, у меня сильно вызвало подозрение то, что он пообещал
SA> проверить ВЕСЬ раздел за полтора часа, когда Касперскому Сканеру на
SA> это потребовалось ДВА ДHЯ (двое суток). ну не бывает чудес, не бывает.
SA> либо это проверка "по списку", либо фиг его знает...
действительно, проверилось довольно быстро, не за два часа, но и не за сутки, а быстрее.
хотя я включал максимальную строгость.
так шта (c) - вызывает подозрения...
SA> отложим пока в сторону инструмент, дабы восстановить душевное
SA> равновесие...
а КАВ - молодець - не позволил себя отстрелить.
да и работать "врагам" не позволил. ;-)))
С уважением Serg.
Последний раз редактировалось Alexey P.; 15.01.2007 в 02:25.
Скорее всего.Возможно, драйвера AVZ не слишком дружат со старыми виндами
Интересно,какие такие правила создал AVZ ? Я, правда с фаером не запускал AVZ, но с NOD он не конфликтовал.SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ!
Неуместное сравнение. Это что - показатель крутизны KAV по сравнениию с AVZ или что?перезагрузился, также тщательно поостанавливал всё, что можно, запустил авз.
итог: HИЧЕГО не было найдено HОВОГО, то есть того, что HЕ нашёл КАВ.
то, что лежало в ловушке у кав и в специальной вирусной коллекции
(обнаруживаемое кавом) - авз опознал.
Абсолютно не согласен.Скорость сканирования и его время может меняться от разных причин( от настройки сканера,типа и количества файлов,железа, ну и мало ли чего).SA> короче, инструмент, вроде, интересный, но Оч-ч-ч-чень опасный.
SA> кроме того, у меня сильно вызвало подозрение то, что он пообещал
SA> проверить ВЕСЬ раздел за полтора часа, когда Касперскому Сканеру на
SA> это потребовалось ДВА ДHЯ (двое суток). ну не бывает чудес, не бывает.
SA> либо это проверка "по списку", либо фиг его знает...
действительно, проверилось довольно быстро, не за два часа, но и не за сутки, а быстрее.
хотя я включал максимальную строгость.
так шта (c) - вызывает подозрения
Помню, когда у меня была засорена папка документы и особенно темповая,то время сканирования было долгим.Стоило мне удалить мусор оттуда, AVZ (да и не только) сразу же уменьшил время сканирования на 30-40%.
А про опасность вообще странно слышать, пользовался 1 раз и такие выводы сразу.Про AVZ Guard ясно сказано, что нельзя запускать вместе с другими приложениями.А обычный режим настроен только на анализ , а не лечение или удалениe.
Как обычно - товарищ решил, что все знает без справки, и ринулся в бой, а теперь еще жалуется. Однако, вероятно, стоило бы изучить поведение AVZPM на старых системах
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Какая глупость. АВЗ не создаёт правила.SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ!
Угу. Но не только AVZPM, но и обычного драйвера, который он ставит при запуске. Думаю, у меня NT4.0 server sp6a неслабо повис как раз из-за него, расширенный драйвер я не устанавливал.
Машина чистая, в корпоративной локалке. Троянов там отродясь не было и не предвидятся.
Железо старое, но очень качественное. PII-266, 256 RAM, диск 4 Гб сказевый.
Нет, давайте не валить все в одну кучу. Проблема, описанная вами с Windows NT4, может быть никак не связана с тем, что вы сюда запостили из Фидо (про тот случай я не буду говорить - ибо кроме улыбки он ничего не вызывает).
Начнем с того, что при запуске AVZ не ставит драйверов (никаких!), и если вы запускали AVZ только с целью проверки скриптов, то грешить на драйвер(-ы) просто бессмысленно. Свой основной драйвер (тот, что раньше звался avz.sys) AVZ ставит только тогда, когда вы нажимаете кнопку "Пуск" и дело доходит до проверки перехватов в SSDT, о чем свидетельствует сообщение:
Вот и надо сначала прояснить, у вас драйвер устанавливался или нет. Более того, по окончании своей работы AVZ динамически выгружает драйвер, поэтому при каждом последующем запуске все происходит как с чистого листа.Код:1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен
Поэтому к вам вопрос: так все-таки драйвер у вас загружен (т.е. вы нажимали кнопку "Пуск") или нет?
Не совсем так. В той куче наивной ерунды всё же есть тревожные моменты, и мне они здорово напомнили мой случай. Потому и написал.
Я уже и сам сомневаюсь - может, и запустил разок. Но пробовать повторить на той машине боязно, мне и так в тот раз на рождество пришлось ехать на работу поднимать эту машину.Начнем с того, что при запуске AVZ не ставит драйверов (никаких!), и если вы запускали AVZ только с целью проверки скриптов, то грешить на драйвер(-ы) просто бессмысленно. Свой основной драйвер (тот, что раньше звался avz.sys) AVZ ставит только тогда, когда вы нажимаете кнопку "Пуск" и дело доходит до проверки перехватов в SSDT, о чем свидетельствует сообщение:
Вот и надо сначала прояснить, у вас драйвер устанавливался или нет. Более того, по окончании своей работы AVZ динамически выгружает драйвер, поэтому при каждом последующем запуске все происходит как с чистого листа.Код:1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен
Поэтому к вам вопрос: так все-таки драйвер у вас загружен (т.е. вы нажимали кнопку "Пуск") или нет?
Прошу прощения, если я пишу не в эту тему, но, вроде бы пошла новая эпидемия червей - я выслал образец. Когда примерно планируется обновление базы - я только что проверял - вроде до сих пор не определяет...
И сюда ли я пишу?
Спасибо!
[email protected] Отправлять в .zip-архиве, пароль virus.
Опыт — это слово, которым люди называют свои ошибки.
Речь видимо идет о новом Email-Worm.Win32.Warezov - он добавлен в базу, завтра утром он станет детектироваться.
Среди всех этих эмоций вашего знакомого постоянно проскальзывает одно и то же: упоминание о каком-то драйвере AVZ, который он все время или включает, или же потом забывает выключить, и который, по его словам, провоцирует падение системы в синьку с ругательствами на ntfs.sys (может, он сам сюда придет и запостит хотя бы минидамп?). О каком именно из драйверов AVZ идет речь, ведь их у него четыре? Вы-то сами, прочитав весь этот "поток сознания" в Фидо, сможете мне ответить на этот простой вопрос?
Кстати, если честно, я совершенно не понимаю вашего знакомого, который вместо того, чтобы об этом рассказать тут, на форуме, или непосредственно Олегу, все написал только в Фидо. Смысл-то какой был?
AVZ - это некоммерческий продукт, и использовать его в ответственных случаях можно только на свой страх и риск, об этом много раз уже говорилось и писалось. Хотя база пользователей у продукта большая, тем не менее есть конфигурации (типа вашей - старый компьютер + старая операционка), на которой он не так уж сильно проверялся. Вполне вероятно, что там действительно есть проблемы! И надо их искать, кто же спорит. А вы, как инициатор разговора, готовы взяться за это - все проверить в разных вариантах работы, в различных конфигурацих драйверов и потом отписаться тут? =)
Олег, в скриптах не может быть переменных в адресе на DeleteFile? У нас неуловимый драйвер, который постоянно переименовывается, и все, что о нем известно, - его имя начинается с а и в нем восемь, что ли, знаков. DeleteFile('C:\Windows\system32\drivers\a???????.s ys') не прокатит?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Это чревато, под раздачу могут попасть вполне легитимные драйвера. У себя насчитал парочку с семью знаками, парочку с десятью, и штуки четыре покороче.
Прямо déja-vu... =) А, случаем, последний Алкоголь там не установлен? Вот он точно ставит в динамике мини-порт драйвер SCSI со случайным именем, начинающимся на букву 'a', а потом стирает и его файл, и запись в реестре. Кстати, тут же, на Virusinfo, это и обсуждалось (смотрите здесь: Неуловимый руткит). Если нет Алкоголя, то пришлите сюда дамп этого драйвера (AVZ умеет это делать), посмотрим на него. Правда, если внутри дампа найдете строку vaxscsi.sys или dtscsi.sys - можете не присылать.
PS. Если ситуация более сложная - шлите сюда логи, а лучше и самого товарища, у которого проблемы. Я уважаю ваше стремление "практиковать" с помощью AVZ на стороне =), но все-ж таки именно здесь находится форум с официальной поддержкой продукта и множество спецов (в т.ч. и сам автор утилиты), которые имеют серьезную практику в вопросах лечения компьютеров. А иначе количество "проблем" типа той, о которой писал вчера Alexey P., будет расти до бесконечности.
Последний раз редактировалось aintrust; 16.01.2007 в 08:56.
OK, попробуем Если уж народ приходит на KL Forum - можно лечить и там (как правило, один скрипт, и все готово ), ну, а если что-то серьезное, переадресовать товарища всегда можно Пробовали пока закарантинить, если не выйдет - будем дампировать.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
ОК, делайте дамп и постите его сюда. Я понял правильно, что Алкоголь там не установлен?
Что касается форума ЛК, то, на мой взгляд, довольно забавно, что на форуме компании, выпускающий коммерческие продукты как раз для борьбы с компьютерной заразой, диагностика и лечение зачастую осуществляется бесплатными утилитами со стороны. =)
А частично даже посредством утилиты прямого конкурента
Насчет Alcohol не помню. Сейчас я не на компьютере - когда смогу, гляну в лог. Ну, а насчет форума - что поделаешь, Касперский тоже не всесилен Кстати, на форуме уже звучали предложения к ЛК - купить AVZ
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]