Перейти к содержанию
Сергей Ильин

5 основных причин в пользу Panda

Recommended Posts

Mr. Justice
Про проактивку, а как на счет Panda TruPrevent?

Такая же проактивка, как и в КАВ/KIS 6.0.

Сейчас встроена уже во все продукты Panda Software. :wink:

Да это классический вариант проактивной защиты. Вот только в отличии от KAV там нет возмождности выбора варианта проактивной защиты.

Добавлено спустя 51 секунду:

Путаница изрядная, согласен. Проактивная защита на самом деле наиболее широкий термин в противоположность реактивной; в нее входят четыре типа средств - статический, динамический, поведенческий эвристик и HIPS. Они могут использоваться в разных сочетаниях, отсюда и путаница.

Полностью согласен.

Добавлено спустя 2 минуты 11 секунд:

Ну, такая же или нет... Но не идентичная - это точно.

Согласен, не идентичная, но похожа на ее базовый вариант.

А если абсолютно такая же, а КАВ сейчас ставит в основном на проактивку, то почему бы пользователям КАВ на Панду не перейти? :)

В Pande нет возмжности выора между проактивной защитой "для начинающих пользователей" и для "продвинутых" :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad
Это не так - именно KIS-6.0.300 сносится только с помощью спецутилиты скаченой с сервера ЛК и запущенной в безопастном режими!

Если это повышает безапостность, то у меня притензий нет, но на поставленный не мною вопрос -"как быть если нет интернета и незнаешь, что такое безопастный режим" - пусть ответит интеллектуальное большенство! :lol:

KAV/KIS 6.0 в подавляющем большинстве случаев "сносится" корректно.

Добавлено спустя 2 минуты 20 секунд:

А я не разу не мог без нее снести KIS-6, вот ЧЕСТНОЕ слово!

Да и чего тогда эта утилита на сервере ЛК обретается??? Наверное это для хакеров интеллектуальная западня!? :lol:

Странно, я никогда не использовал эту утилиту. Да и вообще она используется крайне редко.

Добавлено спустя 2 минуты 15 секунд:

Так ведь я потому и "негодую", что как мог тестировал и PIS-2007 оказался ЛУЧШЕ чем KIS-6.0.300!!! :roll:

Установил KIS и прогнал машину по интернету - "где можно и не можно"! :oops: :shock: :D После этого онлайн проверка на Panda нашла в компьютере 2 шпионские программы(не куки!) :(

В другой раз после такого-же прогона снес KIS и установил PIS - результат - обнаружено 2 шпиона и 1 вирус :?:

Да и разговорчевые "куки" мне тоже не очень нравятся, а Panda их удаляет :twisted: - меня это устраивает :)

Если есть другие тесты доступные простому пользователю то пожалуйста научите :roll: Заранее спасибо!!!

Ваши исследования всеръез воспринимать нельзя.

-------------------------------------------------------------------------------------

А, Вы собственно, кто такой?

Если Вы такой-же простой пользователь, как и я то нам с Вами делить нечего!!! У Вас так, а у меня так.....что делим не понятно? Наоборот нам надо подстегивать производителя, чтобы пошевеливался! Поэтому в данной позиции я вас не понимаю :twisted:

А если Вы разработчик то видно, что весьма упертый :dash: и фанатичный специалист не как не хочите услышать голос ползователя и даже препираетесь сним :row: Чего Вы добиваетесь не понятно???

Если Вы мне не верите - то мне до лампочки :idea: Можете свой не доделанный продукт оставить себе и "молится" на него :pray: :lol:

Пока Вы будите еще препиратся :row: я пока Panda :rotate:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Это не так - именно KIS-6.0.300 сносится только с помощью спецутилиты скаченой с сервера ЛК и запущенной в безопастном режими!

Если это повышает безапостность, то у меня притензий нет, но на поставленный не мною вопрос -"как быть если нет интернета и незнаешь, что такое безопастный режим" - пусть ответит интеллектуальное большенство! :lol:

KAV/KIS 6.0 в подавляющем большинстве случаев "сносится" корректно.

Добавлено спустя 2 минуты 20 секунд:

А я не разу не мог без нее снести KIS-6, вот ЧЕСТНОЕ слово!

Да и чего тогда эта утилита на сервере ЛК обретается??? Наверное это для хакеров интеллектуальная западня!? :lol:

Странно, я никогда не использовал эту утилиту. Да и вообще она используется крайне редко.

Добавлено спустя 2 минуты 15 секунд:

Так ведь я потому и "негодую", что как мог тестировал и PIS-2007 оказался ЛУЧШЕ чем KIS-6.0.300!!! :roll:

Установил KIS и прогнал машину по интернету - "где можно и не можно"! :oops: :shock: :D После этого онлайн проверка на Panda нашла в компьютере 2 шпионские программы(не куки!) :(

В другой раз после такого-же прогона снес KIS и установил PIS - результат - обнаружено 2 шпиона и 1 вирус :?:

Да и разговорчевые "куки" мне тоже не очень нравятся, а Panda их удаляет :twisted: - меня это устраивает :)

Если есть другие тесты доступные простому пользователю то пожалуйста научите :roll: Заранее спасибо!!!

Ваши исследования всеръез воспринимать нельзя.

-------------------------------------------------------------------------------------

А, Вы собственно, кто такой?

Если Вы такой-же простой пользователь, как и я то нам с Вами делить нечего!!! У Вас так, а у меня так.....что делим не понятно? Наоборот нам надо подстегивать производителя, чтобы пошевеливался! Поэтому в данной позиции я вас не понимаю :twisted:

А если Вы разработчик то видно, что весьма упертый :dash: и фанатичный специалист не как не хочите услышать голос ползователя и даже препираетесь сним :row: Чего Вы добиваетесь не понятно???

Если Вы мне не верите - то мне до лампочки :idea: Можете свой не доделанный продукт оставить себе и "молится" на него :pray: :lol:

Пока Вы будите еще препиратся :row: я пока Panda :rotate:

Ведите себя прилично, тут не детский сад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad

Я опять Вас не понял :puzzled: - и это уже ШЕСТАЯ причина в пользу Panda :yes: Я рад, что я не ошибся в выборе Антивируса :applause:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я опять Вас не понял :puzzled: - и это уже ШЕСТАЯ причина в пользу Panda :yes: Я рад, что я не ошибся в выборе Антивируса :applause:

Уважаемый grandad, я предлагаю Вам приводить аргументы, оспаривая мои. Я всегда был против того что бы переходить на личности. Я лишь пока вижу бурю эмоций и попытки дать характеристику моей личности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

grandad, если вы так уверены в Panda, где ваши отчеты?

Правила

Мы все ждем. :twisted:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad
grandad, если вы так уверены в Panda, где ваши отчеты?

Правила

Мы все ждем. :twisted:

------------------------------------------------------------------------------------

Я пока простой начинающий пользователь. И мой первый убогий отчет о проведенных "эксперементах" находится у меня в компьютере, он очень краток - Panda Internet Security 2007!!!

Мне даже в голову не приходило составлять отчеты о "проведенных эспытаниях". Поэтому все свидетельства "опытов" были утеряны в результате форматирования диска! Сейчас все уложено на диске вчистовую и я на компьютере РАБОТАЮ! Устраивать новые "катаклизы" у меня хотя желание и есть но здравый смысл пока не позволяет :twisted: Поэтому желательные отчеты теперь могут появится только в процессе работы - нужно только подождать!

И если Вам будет интересно то я их обязательно пришлю!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вы понимаете речь, обращенную к вам? :wink:

Ваша задача - посетить http://helpme.virusinfo.info и выполнить изложенные там указания (HijackThis можно не делать), после чего прикрепить здесь полученные протоколы. А уж я погляжу, что понапропускала ваша Панда. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

СС 2......

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
а как на счет Panda TruPrevent?

Такая же проактивка, как и в КАВ/KIS 6.0.

Ну, такая же или нет... Но не идентичная - это точно.

А если абсолютно такая же, а КАВ сейчас ставит в основном на проактивку, то почему бы пользователям КАВ на Панду не перейти? :)

В 4 пункте вашего ответа _Stout, очень хорошо показано почему кав, а не панда =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
В 4 пункте вашего ответа _Stout, очень хорошо показано почему кав, а не панда =))

Т.е. у КАВ лучшее окружение?

Ваше мнение имеет право на существование, но оно весьма субъективно.

Каждый выбирает то окружение, которое ему по душе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
В 4 пункте вашего ответа _Stout, очень хорошо показано почему кав, а не панда =))

Т.е. у КАВ лучшее окружение?

Ваше мнение имеет право на существование, но оно весьма субъективно.

Каждый выбирает то окружение, которое ему по душе.

Не спорю, я за себя и отвечаю, не один человек на данном форуме не может говорить за всех..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Да как минимум пандавская проактивка (как и Safe n Sec) обходится проще... Они оба испоьзуют user-mode хуки против kernel mode каспа.

ЮзерМод хуки снимаются элементарно.. (см АВЗ)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis
Да как минимум пандавская проактивка (как и Safe n Sec) обходится проще... Они оба испоьзуют user-mode хуки против kernel mode каспа.

ЮзерМод хуки снимаются элементарно.. (см АВЗ)

Респект за однозначный ответ!

И кто там говорил про то что у Каспа всё на уровне пользователя???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad
Вы понимаете речь, обращенную к вам? :wink:

Ваша задача - посетить http://helpme.virusinfo.info и выполнить изложенные там указания (HijackThis можно не делать), после чего прикрепить здесь полученные протоколы. А уж я погляжу, что понапропускала ваша Панда. :D

-------------------------------------------------------------------------------------

К Вам вопрос - а Spaybot-Search & Destroy 1.4 RS2 вместо AVZ - не пойдет??? А то я этой утилитой регулярно сканирую диск (контралирую Panda) :D !!!

Хотя ладно - заинтриговали - сейчас проверю AVZ :shock:

Добавлено спустя 23 минуты 5 секунд:

Вы понимаете речь, обращенную к вам? :wink:

Ваша задача - посетить http://helpme.virusinfo.info и выполнить изложенные там указания (HijackThis можно не делать), после чего прикрепить здесь полученные протоколы. А уж я погляжу, что понапропускала ваша Панда. :D

-------------------------------------------------------------------------------------

К Вам вопрос - а Spaybot-Search & Destroy 1.4 RS2 вместо AVZ - не пойдет??? А то я этой утилитой регулярно сканирую диск (контралирую Panda) :D !!!

Хотя ладно - заинтриговали - сейчас проверю AVZ :shock:

------------------------------------------------------------------------------------

Вот, что дол AVZ -

Протокол антивирусной утилиты AVZ версии 4.21

Сканирование запущено в 12.11.2006 10:59:27

Загружена база: 59081 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 11.11.2006 14:25

Загружены микропрограммы эвристики: 364

Загружены цифровые подписи системных файлов: 53423

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: выключено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:CopyFileExW (66) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:CreateFileMappingW (82) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:MoveFileWithProgressW (611) перехвачена, метод CodeHijack (метод не определен)

Функция kernel32.dll:TerminateProcess (839) перехвачена, метод CodeHijack (метод не определен)

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtClose (111) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtCreateFile (123) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtCreateKey (127) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDeleteFile (150) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDeleteKey (151) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtDuplicateObject (156) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtEnumerateKey (159) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtOpenFile (204) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtQueryMultipleValueKey (250) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtQueryValueKey (267) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtReadFile (273) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtSetInformationFile (315) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtUnloadKey (354) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtWriteFile (366) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwClose (921) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwCreateFile (933) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwCreateKey (937) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDeleteFile (959) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDeleteKey (960) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDeleteValueKey (962) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwDuplicateObject (965) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwEnumerateKey (968) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwOpenFile (1013) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwQueryMultipleValueKey (1059) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwQueryValueKey (1076) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwReadFile (1082) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwSetInformationFile (1124) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwUnloadKey (1163) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:ZwWriteFile (1175) перехвачена, метод CodeHijack (метод не определен)

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:AttachThreadInput (12) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:BeginDeferWindowPos (13) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:CreateAcceleratorTableW (78) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:DispatchMessageA (162) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:DispatchMessageW (163) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:GetAsyncKeyState (243) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:GetKeyState (290) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:GetKeyboardState (295) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:TranslateMessage (683) перехвачена, метод CodeHijack (метод не определен)

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:ChangeServiceConfig2A (54) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ChangeServiceConfig2W (55) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:CloseServiceHandle (64) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:ControlService (68) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:CreateServiceA (102) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:CreateServiceW (103) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:DeleteService (177) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:LsaAddAccountRights (338) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:LsaRemoveAccountRights (385) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:OpenServiceA (430) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:OpenServiceW (431) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:StartServiceA (576) перехвачена, метод CodeHijack (метод не определен)

Функция advapi32.dll:StartServiceW (579) перехвачена, метод CodeHijack (метод не определен)

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B180)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552180

KiST = 80501030 (284)

Функция ZwCreateKey (29) перехвачена (80618BDA->F89D61BA), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwDeleteKey (3F) перехвачена (8061906A->F89D62D6), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwDeleteValueKey (41) перехвачена (8061923A->F89D642A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwEnumerateKey (47) перехвачена (8061941A->F89D63B2), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwEnumerateValueKey (49) перехвачена (80619684->F89D658A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwOpenKey (77) перехвачена (80619F70->F89D6264), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwQueryKey (A0) перехвачена (8061A294->F89D633E), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwQueryValueKey (B1) перехвачена (80616C94->F89D6512), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwSetValueKey (F7) перехвачена (8061729A->F89D6498), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

Функция ZwTerminateProcess (101) перехвачена (805C74A6->ECB664E8), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

Функция ZwTerminateThread (102) перехвачена (805C76A0->ECB65D72), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

Функция ZwWriteVirtualMemory (115) перехвачена (805A82DA->F8A454E8), перехватчик C:WINDOWSsystem32PavSRK.sys

Проверено функций: 284, перехвачено: 12, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

2. Проверка памяти

Количество найденных процессов: 44

Количество загруженных модулей: 371

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:WINDOWSSYSTEM32PAVSHOOK.DLL --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSSYSTEM32PAVSHOOK.DLL>>> Поведенческий анализ:

1. Реагирует на события: клавиатура

2. Определяет PID текущего процесса

C:WINDOWSSYSTEM32PAVSHOOK.DLL>>> Нейросеть: файл с вероятностью 1.01% похож на типовой перехватчик событий клавиатуры/мыши

C:WINDOWSsystem32pavipc.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32pavipc.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32TpUtil.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32TpUtil.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32systools.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32systools.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll --> Подозрение на Keylogger или троянскую DLL

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура, оконные события

2. Определяет имя файла для модуля: avz.exe

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши

c:program filespanda softwarepanda internet security 2007pavlsp.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007pavlsp.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

c:program filespanda softwarepanda internet security 2007icl_cfg.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007icl_cfg.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 415, извлечено из архивов: 0, найдено вредоносных программ 0

Сканирование завершено в 12.11.2006 10:59:41

Сканирование длилось 00:00:14

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad

Уважаемый NickGolovko !

Почему-то у меня не как не получается с помощью Вашей утилиты (AVZ) проверить диск С с включенной функций "проверить все архивы"??? Доходит до драйвера cab - и процесс резко замерает.

Движение становится очень медленным. С двух попыток я более 25 минут не выдерживал - выключал проверку - потому-что начинал разогреватся процессор. Или так и должно быть и стоит подождать - уточните пожалуйста :puzzled:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Ясно. AVZ - Файл - Стандартные скрипты - Скрипт лечения и сбора информации - Выполнить. После этого перезагружаетесь и прикрепляете к вашему следующему сообщению файл virusinfo_syscure.zip из папки LOG в папке с AVZ.

Добавлено спустя 3 минуты 13 секунд:

P.S. Не надо проверять архивы более мегабайта. Это трудоемкий процесс для любой программы. Сделайте, пожалуйста, описанное постом выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

grandad, выполняй, пожалуйста, по этим правилам. Тебе будет проще. HijackThis можешь пропустить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad

Я прошу пршения за "объемы", просто по другому не могу (пока) :oops:

Вот результаты при включеной функции - "не проверять архивы более 1 мега"

Просьба пояснить мне, что все здесь написанное ЗНАЧИТ -

Протокол антивирусной утилиты AVZ версии 4.21

Сканирование запущено в 12.11.2006 15:31:03

Загружена база: 59081 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 11.11.2006 14:25

Загружены микропрограммы эвристики: 364

Загружены цифровые подписи системных файлов: 53423

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:CopyFileExW (66) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CopyFileExW нейтрализован

Функция kernel32.dll:CreateFileMappingW (82) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateFileMappingW нейтрализован

Функция kernel32.dll:CreateProcessInternalW (101) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateProcessInternalW нейтрализован

Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateRemoteThread нейтрализован

Функция kernel32.dll:MoveFileWithProgressW (611) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции MoveFileWithProgressW нейтрализован

Функция kernel32.dll:TerminateProcess (839) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции TerminateProcess нейтрализован

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции LdrLoadDll нейтрализован

Функция ntdll.dll:NtClose (111) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtClose нейтрализован

Функция ntdll.dll:NtCreateFile (123) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtCreateFile нейтрализован

Функция ntdll.dll:NtCreateKey (127) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtCreateKey нейтрализован

Функция ntdll.dll:NtDeleteFile (150) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDeleteFile нейтрализован

Функция ntdll.dll:NtDeleteKey (151) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDeleteKey нейтрализован

Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDeleteValueKey нейтрализован

Функция ntdll.dll:NtDuplicateObject (156) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtDuplicateObject нейтрализован

Функция ntdll.dll:NtEnumerateKey (159) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtEnumerateKey нейтрализован

Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtEnumerateValueKey нейтрализован

Функция ntdll.dll:NtOpenFile (204) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtOpenFile нейтрализован

Функция ntdll.dll:NtQueryMultipleValueKey (250) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtQueryMultipleValueKey нейтрализован

Функция ntdll.dll:NtQueryValueKey (267) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtQueryValueKey нейтрализован

Функция ntdll.dll:NtReadFile (273) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtReadFile нейтрализован

Функция ntdll.dll:NtSetInformationFile (315) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtSetInformationFile нейтрализован

Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtSetValueKey нейтрализован

Функция ntdll.dll:NtUnloadKey (354) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtUnloadKey нейтрализован

Функция ntdll.dll:NtWriteFile (366) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции NtWriteFile нейтрализован

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:AttachThreadInput (12) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции AttachThreadInput нейтрализован

Функция user32.dll:BeginDeferWindowPos (13) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции BeginDeferWindowPos нейтрализован

Функция user32.dll:CreateAcceleratorTableW (78) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateAcceleratorTableW нейтрализован

Функция user32.dll:DispatchMessageA (162) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции DispatchMessageA нейтрализован

Функция user32.dll:DispatchMessageW (163) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции DispatchMessageW нейтрализован

Функция user32.dll:GetAsyncKeyState (243) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции GetAsyncKeyState нейтрализован

Функция user32.dll:GetKeyState (290) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции GetKeyState нейтрализован

Функция user32.dll:GetKeyboardState (295) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции GetKeyboardState нейтрализован

Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции SetWindowsHookExA нейтрализован

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции SetWindowsHookExW нейтрализован

Функция user32.dll:TranslateMessage (683) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции TranslateMessage нейтрализован

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:ChangeServiceConfig2A (54) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfig2A нейтрализован

Функция advapi32.dll:ChangeServiceConfig2W (55) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfig2W нейтрализован

Функция advapi32.dll:ChangeServiceConfigA (56) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfigA нейтрализован

Функция advapi32.dll:ChangeServiceConfigW (57) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ChangeServiceConfigW нейтрализован

Функция advapi32.dll:CloseServiceHandle (64) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CloseServiceHandle нейтрализован

Функция advapi32.dll:ControlService (68) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции ControlService нейтрализован

Функция advapi32.dll:CreateServiceA (102) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateServiceA нейтрализован

Функция advapi32.dll:CreateServiceW (103) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции CreateServiceW нейтрализован

Функция advapi32.dll:DeleteService (177) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции DeleteService нейтрализован

Функция advapi32.dll:LsaAddAccountRights (338) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции LsaAddAccountRights нейтрализован

Функция advapi32.dll:LsaRemoveAccountRights (385) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции LsaRemoveAccountRights нейтрализован

Функция advapi32.dll:OpenServiceA (430) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции OpenServiceA нейтрализован

Функция advapi32.dll:OpenServiceW (431) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции OpenServiceW нейтрализован

Функция advapi32.dll:StartServiceA (576) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции StartServiceA нейтрализован

Функция advapi32.dll:StartServiceW (579) перехвачена, метод CodeHijack (метод не определен)

>>> Код руткита в функции StartServiceW нейтрализован

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=07B180)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 80552180

KiST = 80501030 (284)

Функция ZwCreateKey (29) перехвачена (80618BDA->F89CE1BA), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwDeleteKey (3F) перехвачена (8061906A->F89CE2D6), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwDeleteValueKey (41) перехвачена (8061923A->F89CE42A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwEnumerateKey (47) перехвачена (8061941A->F89CE3B2), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwEnumerateValueKey (49) перехвачена (80619684->F89CE58A), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwOpenKey (77) перехвачена (80619F70->F89CE264), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwQueryKey (A0) перехвачена (8061A294->F89CE33E), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwQueryValueKey (B1) перехвачена (80616C94->F89CE512), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwSetValueKey (F7) перехвачена (8061729A->F89CE498), перехватчик C:WINDOWSSystem32DriversShldDrv.SYS

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwTerminateProcess (101) перехвачена (805C74A6->ED1034E8), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwTerminateThread (102) перехвачена (805C76A0->ED102D72), перехватчик C:WINDOWSsystem32DRIVERSPavProc.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция ZwWriteVirtualMemory (115) перехвачена (805A82DA->F8A2D4E8), перехватчик C:WINDOWSsystem32PavSRK.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 284, перехвачено: 12, восстановлено: 12

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Проверка IDT и SYSENTER завершена

2. Проверка памяти

Количество найденных процессов: 44

Количество загруженных модулей: 367

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:Program FilesCommon FilesSymantec SharedCCPD-LCsymlcrst.dll

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:WINDOWSSYSTEM32PAVSHOOK.DLL --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSSYSTEM32PAVSHOOK.DLL>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32pavipc.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32pavipc.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32TpUtil.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32TpUtil.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:WINDOWSsystem32systools.dll --> Подозрение на Keylogger или троянскую DLL

C:WINDOWSsystem32systools.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll --> Подозрение на Keylogger или троянскую DLL

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура, оконные события

2. Определяет имя файла для модуля: avz.exe

C:Program FilesPanda SoftwarePanda Internet Security 2007pavoepl.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши

c:program filespanda softwarepanda internet security 2007pavlsp.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007pavlsp.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

c:program filespanda softwarepanda internet security 2007icl_cfg.dll --> Подозрение на Keylogger или троянскую DLL

c:program filespanda softwarepanda internet security 2007icl_cfg.dll>>> Поведенческий анализ:

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

Просканировано файлов: 66548, извлечено из архивов: 53124, найдено вредоносных программ 0

Сканирование завершено в 12.11.2006 15:41:02

!!! Внимание !!! Восстановлено 12 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:09:59

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Создание архива с файлами из карантина

Создание архива с файлами из карантина завершено

Выполняется исследование системы

Исследование системы завершено

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Создание архива с файлами из карантина завершено

Вот и выложи его, пожалуйста. А выше приведенный текст - просто отчет работы AVZ. Из него видно, что он временно отключил Panda и известных зловредов не нашел. Почему я так упорно прошу файл прислать? Нам нужен отчет о возможных неизвестных зловредах. Тебе же будет спокойней, если мы их не найдем. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grandad
Создание архива с файлами из карантина завершено

Вот и выложи его, пожалуйста. А выше приведенный текст - просто отчет работы AVZ. Из него видно, что он временно отключил Panda и известных зловредов не нашел. Почему я так упорно прошу файл прислать? Нам нужен отчет о возможных неизвестных зловредах. Тебе же будет спокойней, если мы их не найдем. ;)

-------------------------------------------------------------------------------------

Папка с копиями подозрительных объектов - пуста!? Почему - не знаю?

Может не туда смотрю? Поясните пожалуйста!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Да вы издеваетесь, друг мой ;) Я вам давно сказал, какой файл искать и где :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Да вы издеваетесь, друг мой ;) Я вам давно сказал, какой файл искать и где :)

Может уже стоит игнорировать посты, пандиста наглеца grandad :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Похоже, TiX прав насчет СС 2 :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Пит это не очень удачная шутка. Старайтесь придерживаться правил форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×