Сергей Ильин

5 основных причин в пользу Panda

В этой теме 136 сообщений

Про проактивку, а как на счет Panda TruPrevent?

Такая же проактивка, как и в КАВ/KIS 6.0.

Сейчас встроена уже во все продукты Panda Software. :wink:

Да это классический вариант проактивной защиты. Вот только в отличии от KAV там нет возмождности выбора варианта проактивной защиты.

Добавлено спустя 51 секунду:

Путаница изрядная, согласен. Проактивная защита на самом деле наиболее широкий термин в противоположность реактивной; в нее входят четыре типа средств - статический, динамический, поведенческий эвристик и HIPS. Они могут использоваться в разных сочетаниях, отсюда и путаница.

Полностью согласен.

Добавлено спустя 2 минуты 11 секунд:

Ну, такая же или нет... Но не идентичная - это точно.

Согласен, не идентичная, но похожа на ее базовый вариант.

А если абсолютно такая же, а КАВ сейчас ставит в основном на проактивку, то почему бы пользователям КАВ на Панду не перейти? :)

В Pande нет возмжности выора между проактивной защитой "для начинающих пользователей" и для "продвинутых" :).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это не так - именно KIS-6.0.300 сносится только с помощью спецутилиты скаченой с сервера ЛК и запущенной в безопастном режими!

Если это повышает безапостность, то у меня притензий нет, но на поставленный не мною вопрос -"как быть если нет интернета и незнаешь, что такое безопастный режим" - пусть ответит интеллектуальное большенство! :lol:

KAV/KIS 6.0 в подавляющем большинстве случаев "сносится" корректно.

Добавлено спустя 2 минуты 20 секунд:

А я не разу не мог без нее снести KIS-6, вот ЧЕСТНОЕ слово!

Да и чего тогда эта утилита на сервере ЛК обретается??? Наверное это для хакеров интеллектуальная западня!? :lol:

Странно, я никогда не использовал эту утилиту. Да и вообще она используется крайне редко.

Добавлено спустя 2 минуты 15 секунд:

Так ведь я потому и "негодую", что как мог тестировал и PIS-2007 оказался ЛУЧШЕ чем KIS-6.0.300!!! :roll:

Установил KIS и прогнал машину по интернету - "где можно и не можно"! :oops: :shock: :D После этого онлайн проверка на Panda нашла в компьютере 2 шпионские программы(не куки!) :(

В другой раз после такого-же прогона снес KIS и установил PIS - результат - обнаружено 2 шпиона и 1 вирус :?:

Да и разговорчевые "куки" мне тоже не очень нравятся, а Panda их удаляет :twisted: - меня это устраивает :)

Если есть другие тесты доступные простому пользователю то пожалуйста научите :roll: Заранее спасибо!!!

Ваши исследования всеръез воспринимать нельзя.

-------------------------------------------------------------------------------------

А, Вы собственно, кто такой?

Если Вы такой-же простой пользователь, как и я то нам с Вами делить нечего!!! У Вас так, а у меня так.....что делим не понятно? Наоборот нам надо подстегивать производителя, чтобы пошевеливался! Поэтому в данной позиции я вас не понимаю :twisted:

А если Вы разработчик то видно, что весьма упертый :dash: и фанатичный специалист не как не хочите услышать голос ползователя и даже препираетесь сним :row: Чего Вы добиваетесь не понятно???

Если Вы мне не верите - то мне до лампочки :idea: Можете свой не доделанный продукт оставить себе и "молится" на него :pray: :lol:

Пока Вы будите еще препиратся :row: я пока Panda :rotate:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это не так - именно KIS-6.0.300 сносится только с помощью спецутилиты скаченой с сервера ЛК и запущенной в безопастном режими!

Если это повышает безапостность, то у меня притензий нет, но на поставленный не мною вопрос -"как быть если нет интернета и незнаешь, что такое безопастный режим" - пусть ответит интеллектуальное большенство! :lol:

KAV/KIS 6.0 в подавляющем большинстве случаев "сносится" корректно.

Добавлено спустя 2 минуты 20 секунд:

А я не разу не мог без нее снести KIS-6, вот ЧЕСТНОЕ слово!

Да и чего тогда эта утилита на сервере ЛК обретается??? Наверное это для хакеров интеллектуальная западня!? :lol:

Странно, я никогда не использовал эту утилиту. Да и вообще она используется крайне редко.

Добавлено спустя 2 минуты 15 секунд:

Так ведь я потому и "негодую", что как мог тестировал и PIS-2007 оказался ЛУЧШЕ чем KIS-6.0.300!!! :roll:

Установил KIS и прогнал машину по интернету - "где можно и не можно"! :oops: :shock: :D После этого онлайн проверка на Panda нашла в компьютере 2 шпионские программы(не куки!) :(

В другой раз после такого-же прогона снес KIS и установил PIS - результат - обнаружено 2 шпиона и 1 вирус :?:

Да и разговорчевые "куки" мне тоже не очень нравятся, а Panda их удаляет :twisted: - меня это устраивает :)

Если есть другие тесты доступные простому пользователю то пожалуйста научите :roll: Заранее спасибо!!!

Ваши исследования всеръез воспринимать нельзя.

-------------------------------------------------------------------------------------

А, Вы собственно, кто такой?

Если Вы такой-же простой пользователь, как и я то нам с Вами делить нечего!!! У Вас так, а у меня так.....что делим не понятно? Наоборот нам надо подстегивать производителя, чтобы пошевеливался! Поэтому в данной позиции я вас не понимаю :twisted:

А если Вы разработчик то видно, что весьма упертый :dash: и фанатичный специалист не как не хочите услышать голос ползователя и даже препираетесь сним :row: Чего Вы добиваетесь не понятно???

Если Вы мне не верите - то мне до лампочки :idea: Можете свой не доделанный продукт оставить себе и "молится" на него :pray: :lol:

Пока Вы будите еще препиратся :row: я пока Panda :rotate:

Ведите себя прилично, тут не детский сад.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я опять Вас не понял :puzzled: - и это уже ШЕСТАЯ причина в пользу Panda :yes: Я рад, что я не ошибся в выборе Антивируса :applause:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я опять Вас не понял :puzzled: - и это уже ШЕСТАЯ причина в пользу Panda :yes: Я рад, что я не ошибся в выборе Антивируса :applause:

Уважаемый grandad, я предлагаю Вам приводить аргументы, оспаривая мои. Я всегда был против того что бы переходить на личности. Я лишь пока вижу бурю эмоций и попытки дать характеристику моей личности.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad, если вы так уверены в Panda, где ваши отчеты?

Правила

Мы все ждем. :twisted:

------------------------------------------------------------------------------------

Я пока простой начинающий пользователь. И мой первый убогий отчет о проведенных "эксперементах" находится у меня в компьютере, он очень краток - Panda Internet Security 2007!!!

Мне даже в голову не приходило составлять отчеты о "проведенных эспытаниях". Поэтому все свидетельства "опытов" были утеряны в результате форматирования диска! Сейчас все уложено на диске вчистовую и я на компьютере РАБОТАЮ! Устраивать новые "катаклизы" у меня хотя желание и есть но здравый смысл пока не позволяет :twisted: Поэтому желательные отчеты теперь могут появится только в процессе работы - нужно только подождать!

И если Вам будет интересно то я их обязательно пришлю!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы понимаете речь, обращенную к вам? :wink:

Ваша задача - посетить http://helpme.virusinfo.info и выполнить изложенные там указания (HijackThis можно не делать), после чего прикрепить здесь полученные протоколы. А уж я погляжу, что понапропускала ваша Панда. :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а как на счет Panda TruPrevent?

Такая же проактивка, как и в КАВ/KIS 6.0.

Ну, такая же или нет... Но не идентичная - это точно.

А если абсолютно такая же, а КАВ сейчас ставит в основном на проактивку, то почему бы пользователям КАВ на Панду не перейти? :)

В 4 пункте вашего ответа _Stout, очень хорошо показано почему кав, а не панда =))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 4 пункте вашего ответа _Stout, очень хорошо показано почему кав, а не панда =))

Т.е. у КАВ лучшее окружение?

Ваше мнение имеет право на существование, но оно весьма субъективно.

Каждый выбирает то окружение, которое ему по душе.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 4 пункте вашего ответа _Stout, очень хорошо показано почему кав, а не панда =))

Т.е. у КАВ лучшее окружение?

Ваше мнение имеет право на существование, но оно весьма субъективно.

Каждый выбирает то окружение, которое ему по душе.

Не спорю, я за себя и отвечаю, не один человек на данном форуме не может говорить за всех..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да как минимум пандавская проактивка (как и Safe n Sec) обходится проще... Они оба испоьзуют user-mode хуки против kernel mode каспа.

ЮзерМод хуки снимаются элементарно.. (см АВЗ)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да как минимум пандавская проактивка (как и Safe n Sec) обходится проще... Они оба испоьзуют user-mode хуки против kernel mode каспа.

ЮзерМод хуки снимаются элементарно.. (см АВЗ)

Респект за однозначный ответ!

И кто там говорил про то что у Каспа всё на уровне пользователя???

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы понимаете речь, обращенную к вам? :wink:

Ваша задача - посетить http://helpme.virusinfo.info и выполнить изложенные там указания (HijackThis можно не делать), после чего прикрепить здесь полученные протоколы. А уж я погляжу, что понапропускала ваша Панда. :D

-------------------------------------------------------------------------------------

К Вам вопрос - а Spaybot-Search & Destroy 1.4 RS2 вместо AVZ - не пойдет??? А то я этой утилитой регулярно сканирую диск (контралирую Panda) :D !!!

Хотя ладно - заинтриговали - сейчас проверю AVZ :shock:

Добавлено спустя 23 минуты 5 секунд:

Вы понимаете речь, обращенную к вам? :wink:

Ваша задача - посетить http://helpme.virusinfo.info и выполнить изложенные там указания (HijackThis можно не делать), после чего прикрепить здесь полученные протоколы. А уж я погляжу, что понапропускала ваша Панда. :D

-------------------------------------------------------------------------------------

К Вам вопрос - а Spaybot-Search & Destroy 1.4 RS2 вместо AVZ - не пойдет??? А то я этой утилитой регулярно сканирую диск (контралирую Panda) :D !!!

Хотя ладно - заинтриговали - сейчас проверю AVZ :shock:

------------------------------------------------------------------------------------

Вот, что дол AVZ -

Протокол антивирусной утилиты AVZ версии 4.21

Сканирование запущено в 12.11.2006 10:59:27

Загружена база: 59081 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 11.11.2006 14:25

Загружены микропрограммы эвристики: 364

Загружены цифровые подписи системных файлов: 53423

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:CopyFileExW (66) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:CreateFileMappingW (82) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:MoveFileWithProgressW (611) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:TerminateProcess (839) перехвачена, метод CodeHijack (метод не определен)

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtClose (111) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtCreateFile (123) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtCreateKey (127) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDeleteFile (150) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDeleteKey (151) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDuplicateObject (156) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtEnumerateKey (159) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtOpenFile (204) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtQueryMultipleValueKey (250) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtQueryValueKey (267) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtReadFile (273) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtSetInformationFile (315) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtUnloadKey (354) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtWriteFile (366) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwClose (921) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwCreateFile (933) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwCreateKey (937) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDeleteFile (959) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDeleteKey (960) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDeleteValueKey (962) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDuplicateObject (965) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwEnumerateKey (968) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwOpenFile (1013) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwQueryMultipleValueKey (1059) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwQueryValueKey (1076) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwReadFile (1082) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwSetInformationFile (1124) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwUnloadKey (1163) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwWriteFile (1175) перехвачена, метод CodeHijack (метод не определен)

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:AttachThreadInput (12) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:BeginDeferWindowPos (13) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:CreateAcceleratorTableW (78) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:DispatchMessageA (162) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:DispatchMessageW (163) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:GetAsyncKeyState (243) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:GetKeyState (290) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:GetKeyboardState (295) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:TranslateMessage (683) перехвачена, метод CodeHijack (метод не определен)

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:ChangeServiceConfig2A (54) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ChangeServiceConfig2W (55) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:CloseServiceHandle (64) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ControlService (68) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:CreateServiceA (102) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:CreateServiceW (103) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:DeleteService (177) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:LsaAddAccountRights (338) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:LsaRemoveAccountRights (385) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:OpenServiceA (430) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:OpenServiceW (431) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:StartServiceA (576) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:StartServiceW (579) перехвачена, метод CodeHijack (метод не определен)

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B180)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552180

KiST = 80501030 (284)

Функция ZwCreateKey (29) перехвачена (80618BDA->F89D61BA), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwDeleteKey (3F) перехвачена (8061906A->F89D62D6), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwDeleteValueKey (41) перехвачена (8061923A->F89D642A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwEnumerateKey (47) перехвачена (8061941A->F89D63B2), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwEnumerateValueKey (49) перехвачена (80619684->F89D658A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwOpenKey (77) перехвачена (80619F70->F89D6264), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwQueryKey (A0) перехвачена (8061A294->F89D633E), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwQueryValueKey (B1) перехвачена (80616C94->F89D6512), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwSetValueKey (F7) перехвачена (8061729A->F89D6498), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwTerminateProcess (101) перехвачена (805C74A6->ECB664E8), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

Функция ZwTerminateThread (102) перехвачена (805C76A0->ECB65D72), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

Функция ZwWriteVirtualMemory (115) перехвачена (805A82DA->F8A454E8), перехватчик C:WINDOWSsystem32PavSRK.sys

Проверено функций: 284, перехвачено: 12, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

2. Проверка памяти

Количество найденных процессов: 44

Количество загруженных модулей: 371

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:WINDOWSSYSTEM32PAVSHOOK.DLL --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSSYSTEM32PAVSHOOK.DLL>>> Поведенческий анализ:

1. Реагирует на события: клавиатура

2. Определяет PID текущего процесса

C:WINDOWSSYSTEM32PAVSHOOK.DLL>>> Нейросеть: файл с вероятностью 1.01% похож на типовой перехватчик событий клавиатуры/мыши

C:WINDOWSsystem32pavipc.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32pavipc.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32TpUtil.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32TpUtil.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32systools.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32systools.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll --> Подозрение на Keylogger или троянскую DLL

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура, оконные события

2. Определяет имя файла для модуля: avz.exe

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши

c:program filespanda softwarepanda internet security 2007pavlsp.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007pavlsp.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

c:program filespanda softwarepanda internet security 2007icl_cfg.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007icl_cfg.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 415, извлечено из архивов: 0, найдено вредоносных программ 0

Сканирование завершено в 12.11.2006 10:59:41

Сканирование длилось 00:00:14

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уважаемый NickGolovko !

Почему-то у меня не как не получается с помощью Вашей утилиты (AVZ) проверить диск С с включенной функций "проверить все архивы"??? Доходит до драйвера cab - и процесс резко замерает.

Движение становится очень медленным. С двух попыток я более 25 минут не выдерживал - выключал проверку - потому-что начинал разогреватся процессор. Или так и должно быть и стоит подождать - уточните пожалуйста :puzzled:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ясно. AVZ - Файл - Стандартные скрипты - Скрипт лечения и сбора информации - Выполнить. После этого перезагружаетесь и прикрепляете к вашему следующему сообщению файл virusinfo_syscure.zip из папки LOG в папке с AVZ.

Добавлено спустя 3 минуты 13 секунд:

P.S. Не надо проверять архивы более мегабайта. Это трудоемкий процесс для любой программы. Сделайте, пожалуйста, описанное постом выше.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я прошу пршения за "объемы", просто по другому не могу (пока) :oops:

Вот результаты при включеной функции - "не проверять архивы более 1 мега"

Просьба пояснить мне, что все здесь написанное ЗНАЧИТ -

Протокол антивирусной утилиты AVZ версии 4.21

Сканирование запущено в 12.11.2006 15:31:03

Загружена база: 59081 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 11.11.2006 14:25

Загружены микропрограммы эвристики: 364

Загружены цифровые подписи системных файлов: 53423

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:CopyFileExW (66) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CopyFileExW нейтрализован

Функция kernel32.dll:CreateFileMappingW (82) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateFileMappingW нейтрализован

Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateProcessInternalW нейтрализован

Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateRemoteThread нейтрализован

Функция kernel32.dll:MoveFileWithProgressW (611) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции MoveFileWithProgressW нейтрализован

Функция kernel32.dll:TerminateProcess (839) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции TerminateProcess нейтрализован

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции LdrLoadDll нейтрализован

Функция ntdll.dll:NtClose (111) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtClose нейтрализован

Функция ntdll.dll:NtCreateFile (123) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtCreateFile нейтрализован

Функция ntdll.dll:NtCreateKey (127) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtCreateKey нейтрализован

Функция ntdll.dll:NtDeleteFile (150) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDeleteFile нейтрализован

Функция ntdll.dll:NtDeleteKey (151) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDeleteKey нейтрализован

Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDeleteValueKey нейтрализован

Функция ntdll.dll:NtDuplicateObject (156) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDuplicateObject нейтрализован

Функция ntdll.dll:NtEnumerateKey (159) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtEnumerateKey нейтрализован

Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtEnumerateValueKey нейтрализован

Функция ntdll.dll:NtOpenFile (204) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtOpenFile нейтрализован

Функция ntdll.dll:NtQueryMultipleValueKey (250) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtQueryMultipleValueKey нейтрализован

Функция ntdll.dll:NtQueryValueKey (267) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtQueryValueKey нейтрализован

Функция ntdll.dll:NtReadFile (273) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtReadFile нейтрализован

Функция ntdll.dll:NtSetInformationFile (315) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtSetInformationFile нейтрализован

Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtSetValueKey нейтрализован

Функция ntdll.dll:NtUnloadKey (354) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtUnloadKey нейтрализован

Функция ntdll.dll:NtWriteFile (366) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtWriteFile нейтрализован

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:AttachThreadInput (12) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции AttachThreadInput нейтрализован

Функция user32.dll:BeginDeferWindowPos (13) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции BeginDeferWindowPos нейтрализован

Функция user32.dll:CreateAcceleratorTableW (78) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateAcceleratorTableW нейтрализован

Функция user32.dll:DispatchMessageA (162) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции DispatchMessageA нейтрализован

Функция user32.dll:DispatchMessageW (163) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции DispatchMessageW нейтрализован

Функция user32.dll:GetAsyncKeyState (243) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции GetAsyncKeyState нейтрализован

Функция user32.dll:GetKeyState (290) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции GetKeyState нейтрализован

Функция user32.dll:GetKeyboardState (295) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции GetKeyboardState нейтрализован

Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции SetWindowsHookExA нейтрализован

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции SetWindowsHookExW нейтрализован

Функция user32.dll:TranslateMessage (683) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции TranslateMessage нейтрализован

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:ChangeServiceConfig2A (54) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfig2A нейтрализован

Функция advapi32.dll:ChangeServiceConfig2W (55) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfig2W нейтрализован

Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfigA нейтрализован

Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfigW нейтрализован

Функция advapi32.dll:CloseServiceHandle (64) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CloseServiceHandle нейтрализован

Функция advapi32.dll:ControlService (68) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ControlService нейтрализован

Функция advapi32.dll:CreateServiceA (102) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateServiceA нейтрализован

Функция advapi32.dll:CreateServiceW (103) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateServiceW нейтрализован

Функция advapi32.dll:DeleteService (177) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции DeleteService нейтрализован

Функция advapi32.dll:LsaAddAccountRights (338) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции LsaAddAccountRights нейтрализован

Функция advapi32.dll:LsaRemoveAccountRights (385) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции LsaRemoveAccountRights нейтрализован

Функция advapi32.dll:OpenServiceA (430) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции OpenServiceA нейтрализован

Функция advapi32.dll:OpenServiceW (431) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции OpenServiceW нейтрализован

Функция advapi32.dll:StartServiceA (576) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции StartServiceA нейтрализован

Функция advapi32.dll:StartServiceW (579) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции StartServiceW нейтрализован

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B180)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552180

KiST = 80501030 (284)

Функция ZwCreateKey (29) перехвачена (80618BDA->F89CE1BA), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwDeleteKey (3F) перехвачена (8061906A->F89CE2D6), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwDeleteValueKey (41) перехвачена (8061923A->F89CE42A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwEnumerateKey (47) перехвачена (8061941A->F89CE3B2), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwEnumerateValueKey (49) перехвачена (80619684->F89CE58A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwOpenKey (77) перехвачена (80619F70->F89CE264), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwQueryKey (A0) перехвачена (8061A294->F89CE33E), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwQueryValueKey (B1) перехвачена (80616C94->F89CE512), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwSetValueKey (F7) перехвачена (8061729A->F89CE498), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwTerminateProcess (101) перехвачена (805C74A6->ED1034E8), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwTerminateThread (102) перехвачена (805C76A0->ED102D72), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwWriteVirtualMemory (115) перехвачена (805A82DA->F8A2D4E8), перехватчик C:WINDOWSsystem32PavSRK.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 284, перехвачено: 12, восстановлено: 12

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

2. Проверка памяти

Количество найденных процессов: 44

Количество загруженных модулей: 367

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:Program FilesCommon FilesSymantec SharedCCPD-LCsymlcrst.dll

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:WINDOWSSYSTEM32PAVSHOOK.DLL --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSSYSTEM32PAVSHOOK.DLL>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32pavipc.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32pavipc.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32TpUtil.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32TpUtil.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32systools.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32systools.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll --> Подозрение на Keylogger или троянскую DLL

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура, оконные события

2. Определяет имя файла для модуля: avz.exe

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши

c:program filespanda softwarepanda internet security 2007pavlsp.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007pavlsp.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

c:program filespanda softwarepanda internet security 2007icl_cfg.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007icl_cfg.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 66548, извлечено из архивов: 53124, найдено вредоносных программ 0

Сканирование завершено в 12.11.2006 15:41:02

!!! Внимание !!! Восстановлено 12 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:09:59

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Создание архива с файлами из карантина

Создание архива с файлами из карантина завершено

Выполняется исследование системы

Исследование системы завершено

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Создание архива с файлами из карантина завершено

Вот и выложи его, пожалуйста. А выше приведенный текст - просто отчет работы AVZ. Из него видно, что он временно отключил Panda и известных зловредов не нашел. Почему я так упорно прошу файл прислать? Нам нужен отчет о возможных неизвестных зловредах. Тебе же будет спокойней, если мы их не найдем. ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Создание архива с файлами из карантина завершено

Вот и выложи его, пожалуйста. А выше приведенный текст - просто отчет работы AVZ. Из него видно, что он временно отключил Panda и известных зловредов не нашел. Почему я так упорно прошу файл прислать? Нам нужен отчет о возможных неизвестных зловредах. Тебе же будет спокойней, если мы их не найдем. ;)

-------------------------------------------------------------------------------------

Папка с копиями подозрительных объектов - пуста!? Почему - не знаю?

Может не туда смотрю? Поясните пожалуйста!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да вы издеваетесь, друг мой ;) Я вам давно сказал, какой файл искать и где :)

Может уже стоит игнорировать посты, пандиста наглеца grandad :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пит это не очень удачная шутка. Старайтесь придерживаться правил форума.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS