Перейти к содержанию

Recommended Posts

Mr. Justice
outpocst + Kav 6.0 не ужились вместе, после установки антивируса.. напрочь пропал доступ в Интернет :)..

Если проблема все еще актуальна, попробуйте при инсталяции KAV, временно отключить сервис Outpost Firewall, как это делал vaber. Не уверен, что поможет, но думаю, что стоит попробовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Все проще - создайте в оутпосте правило для avp.exe разрешающее любую активность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Все проще - создайте в оутпосте правило для avp.exe разрешающее любую активность.

Это само собой разумеется. Вот только у brokera блокируется выход в Интернет даже при выключенном межсетевом экране.

P.S. Кстати этого правила будет недостаточно, необходимо создать еще, указанное мною выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Да, Господа. Тут произошел случай, заставивший меня изречь громкий возглас умиления от увиденного (см. скрин) В него все не поместилось, разрешения 1280*1024 не хватило =)

Вообщем все что можно было снести руками до установки каспера, я снес. Осталось тройка exe в system32 и пара DLL'ок, смотрящих в winlogon/notify.... :) Время поджимало, на даче друзья ждали в бане, а троянов нужно было добивать... Решил поставить KIS 6.0, но перед установкой все таки решил провериться AVZ напоследок, а тот такие страсти в USER и KERNEL mode отобразил, что мама не горюй... :? :shock: Лог сохранить не удалось, все повисло нафиг при открытии NOTEPAD. Пришлось перезагрузиться и только потом ставить KIS. Заодно сделал восстановление системы через AVZ перед установкой.

Да и не до логов мне тогда было :) Скрин то кое-как удалось сделать и то хорошо. Ну ладно, думаю, с руткитами мы бороться умеем, если верить рекламным обещаниям ЛК - так что прорвемся как-нить... Запустил Autoruns и решил там поискать драйверы, что осуществляли перехваты - удалось найти бескопирайтный ключ только на один из них. Я его задисэйблил, правда в тщетности выполненного почти не сомневался. Второй драйвер, который перехватывал Kernel модные функциии, так и не увидел через Autoruns. Почему - тоже понятно.

Ладно, поставил KIS - встало без происшествий. Перезагружаюсь и выхожу на BSOD. Загружаюсь в сэйф моде и выхожу только на фон рабочего стола. Ну типа как со Scano и неудаленным Debugger'ом в реестре картина. Делаю Last Good configuration boot - никакого эффекта. В нормальном режиме = BSOD, в сэйф моде только фон десктопа. Чувствую, баня накрылась :( Пришлось прибегать к дедовскому методу с переустановкой ХП.

Других антивирусов в системе не стояло, проработать в интернете люди успели лишь 5 дней...с момента подключения к нему.

fxdxt.exe маскировался руткитом и не удалялся, естественно. Возможно, он KIS вместе с ХП и прикончил.

1.jpg

post-88-1150835678.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Классная коллекция..

Если средин ее был Haxdoor (a311) то в бсоде винить его Ж) Ибо он от страха что его снесут падает в обмарок и конфликтует по крупному... Не я так никто Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dyatell

Шестёрка каспера - есть весчь самая лучшая из всех мною опробованных антивирей, а их было очень много. При всём этом меняю антивирусы почти каждые недели две/месяц. Ну вот такие вот у меня приколы. Кажется мне, что враг следит. :lol:

Ну а теперьо самой-то сути. На фороуме аутпоста есть пост о том, как подружить этих двух замечательных зверьков. Вроде бы как там выпустили патчик...

Обсуждение идёт в этой ветке форума

З.Ы:

Сейчас юзаю 6 каспера в связке с Safe'n'Sec Personal 2.0(благо халявный ключ выиграл), проблем нет всё - супер, единственное, что я сразу сделал - так это вырубил проактивную защиту частично(проверка вба макросов и целостность).

Добавлено спустя 7 минут 15 секунд:

Добавлено спустя 4 минуты 51 секунду:

2XL красиво, конечно же... Но есть тут оиднь нюанс. Прошу прощеня за оишбки, если будут(вчера родилась дочка, так что соображаю вроде бы нормаьно но...) В общем, когда у юзверя наподобие такой ерундовины, тоя делаю так: иди у в ДОСю и там уже с диска начинаю скан. сейчас хороршо, чт окаспер может сохдавать лайв сиди.... :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сейчас юзаю 6 каспера в связке с Safe'n'Sec Personal 2.0(благо халявный ключ выиграл), проблем нет всё - супер, единственное,

А какой смысл в Safe'n'Sec, если у 6-ки Каспера своя очень неплохая проактивка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
В общем, когда у юзверя наподобие такой ерундовины, тоя делаю так: иди у в ДОСю и там уже с диска начинаю скан. сейчас хороршо, чт окаспер может сохдавать лайв сиди.... :wink:

Симантек вообще рекомендует через Recovery консоль файлы перехватчиков удалять. Но это чревато длительной муторной процедурой. Я бы, может быть, так и поступил, но время поджимало, да и очередной тест драйв шестерки в нестандартной ситуации хотелось провести.

Чисто теоритический вопрос к специалистам: в сэйф моде файлы перехватчиков функций ядра видны на диске или нет (драйверы соответствующие запускаются)? И есть ли руткиты, способные работать с сэйф моде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
И есть ли руткиты, способные работать с сэйф моде?

Есть.

В Dr.Web, например, который в бете лежит, шилд уже умеет работать в сэйф-моде специально для этого.

Это так, в качестве примера.

Интересно, в других антивирусах, которые используют антируткит-технологии, это реализовано (работа в безопасном режиме)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
В Dr.Web, например, который в бете лежит, шилд уже умеет работать в сэйф-моде специально для этого.

Это так, в качестве примера.

Как выяснилось - умение продукта работать против конкретного вида угроз еще не является достаточным условием для победы над угрозами :P Так что по возможности и шилд проверю на прочность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
В общем, когда у юзверя наподобие такой ерундовины, тоя делаю так: иди у в ДОСю и там уже с диска начинаю скан. сейчас хороршо, чт окаспер может сохдавать лайв сиди.... :wink:

Симантек вообще рекомендует через Recovery консоль файлы перехватчиков удалять. Но это чревато длительной муторной процедурой. Я бы, может быть, так и поступил, но время поджимало, да и очередной тест драйв шестерки в нестандартной ситуации хотелось провести.

Чисто теоретический вопрос к специалистам: в сэйф моде файлы перехватчиков функций ядра видны на диске или нет (драйверы соответствующие запускаются)? И есть ли руткиты, способные работать с сэйф моде?

Не всегда. У тех кто неопытен - видны. У крутых руткитов - невидны (a311 - Haxdoor)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вышли Антивирус Касперского 6.0 и Kaspersky Internet Security 6.0 - билд 6.0.0.303 (Critical Fix 2).

Исправлены следующие ошибки версии 6.0.0.300:

1. Невозможность скачать обновление модулей на Windows XP 64 bit.

2. Падение во время проверки почты при включенном DEP на Windows XP 64 bit.

3. Наличие уязвимостей при обработке данных, принимаемых по протоколам HTTP, POP3, IMAP.

4. Наличие набора опубликованных ранее уязвимостей в klif.sys.

5. Ошибка с многократными повторами символов в строке хот-фиксов.

6. Невозможность обновления программных модулей при работе продукта под пользователем без прав администратора.

Скачать обновления можно тут

http://www.kaspersky.ru/productupdates?chapter=186544995 - Kaspersky Internet Security 6.0

http://www.kaspersky.ru/productupdates?chapter=186544972 - Антивирус Касперского 6.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Сергей, вы что-то поздновато. Этот билд 2-го августа вышел! =) Уже на носу MP1...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Сергей, вы что-то поздновато. Этот билд 2-го августа вышел! =) Уже на носу MP1...

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Кстати. Интересна связка kav6.0+Outpost 4.0, особенно в борьбе с пинчем. При запуске пинч пытается получить контроль над окном Касперского (т.н. атака на GUI управляющей оболочки). Так вот оутпост при запуске пинча выдает сообщение, что pinch.exe (к примеру)пытается получить контроль над Касперычем. И енто можно заблокировать. Т.е. решается известная проблема Касперского с пинчем :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Т.е. решается известная проблема Касперского с пинчем

Скоро ее и касп решит Ж)

ПС - эта защита обходится очень просто ;)

Как? Пока буду молчать.. но Оочень просто Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
>Т.е. решается известная проблема Касперского с пинчем

Скоро ее и касп решит Ж)

ПС - эта защита обходится очень просто ;)

Как? Пока буду молчать.. но Оочень просто Ж)

Енто решение будет в MP1??(так вродь она очень скоро будет эта MP1!?)

З.ы. Что-то у Вас вся защита у оутпоста легко обходится :) (и хуки в юзер мод и защита от атаки на gui). Написали бы разработчикам :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Енто решение будет в MP1??(так вродь она очень скоро будет эта MP1!?)

Незнаю.

>. Что-то у Вас вся защита у оутпоста легко обходится (и хуки в юзер мод и защита от атаки на gui). Написали бы разработчикам

Это ничего не поменяет т.к изначально выбран неправельный метод :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Dmitry Perets, просто для порядка решил закинуть инфу в эту ветку, чтобы было :-) Обновление это вышло действительно "не вчера".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×