Erekle
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Цитата: Выходит, эта база имеет суженный ареал применения Нет, не выходит. Вам, как Чайнику, полезно задавать вопросы, но рано делать такие выводы. | Сказано - выходит! Автор изложил вполне понятно и полезно вчитываться в смысл сказанного. Цитата: (покажите кусок лога AVZ где сказано, что эти файлы чистые) | Я-то не эксперт, конечно, но вещи попроще понимаю лучше. К чему лог, в котором положительного результата на "прививку" нет? "Чистые" логи не храню - не вижу смысла. (Пинать и бить можно долго и болезненно, сколько душе угодно, чайник из железа, всё стерпит; а в суд за клевету, надеюсь, не потащите.) Так как есть совесть, вношу ясность. Автору - отдельное извинение, что с опозданием, не с чем и немного не по делу. Два дня я искал "живого" примера из бывшего ассортимента, сначала у себя, включая - с восстановлением недавно удалённых файлов, потом по страницам, где обогатился в своё время, в надежде подцепить снова (в т. ч. одно из "вэб-колец", 100 сайтов, заражёнными тогда попались две, но точно какие, не помню). Чистоты рады, чтобы иметь именно те, которые у меня были, а не копии, которых можно найти в сети. Не повезло. Во-первых, в архиве целым найден только winres.dll (с Trojan.Win32.Ideach.g), которого ни AVZ, ни другие тогда не детектировали, сейчас же видят все; но этот файл я уже отсылал два года назад. Остальные из того периода - только в урезанном виде, которые я тогда искромсал в Блокноте, по ходу пойска "улик", да и опасаясь, чтобы не ожили (winres проходил как подозрительный). Их тоже никто не обнаруживал (их тоже отослал). В прошлом году было несколько файлов - продукты по части незаконного взлома программ - эти файлы с серверов уже удалены за давностью. ДОЛЖЕН добавить: большинство их (но не все) определялись, как не-вирус / hack tool /... Я про себя приплюсовал к этому, НЕ подумав, и группу специальных программ с конструктора liveCD, которые NAV, ясно, считает "вирусами" ("неизвестный win32 вирус", как и темп-файлы AVZ, кажется), а многие другие - считают файлами риска; но AVZ, разумеется, не будет определять их так, что и нормально. Теперь понимаю, что кейлоггер от легального продукта - в данном случае - keybhook.dll от Spyanytime_PC_Spy (вроде, как по инету поискал) тоже может быть вне подозрений. Но если я его НЕ ставил? Он всегда будет кесаревой женой? И - месяц назад. Тогда Нортон удалил только активных - snatch2.exe и *html с кодом (примерно такой), а они притащили ещё много и вместе наделали тоже много чего. Это добро скачивалось с такой-то-rbbnetwork по рекламным ссылкам, но теперь их нет. Притащённое искал и удалял вручную (с помощью утилит, и AVZ). После этого и поставил снова A-squared и обзавёлся AVG. AVZ, которым я просканировал диск до этих двух, ничего не показал (эвристика по умолчанию - КАЮСЬ), а последние (к примеру, AVG, журнал которого перед глазами), указали в system32 на: rsvp32_2.dll -> Proxy.Cimuz.bw, netmsgp.exe -> Trojan.Ceda.b, 944180972.dll -> Trojan.Ceda.b. Это было на третьем круге пойсков, поэтому я сгоряча и непредусмотрительно сразу умертвил их. Думается, что это была вредность. Да, ещё был некий soks.exe, удалённый мною до А2 и AVG, методом "самолечения" и по тяге к необоснованным обвинениям; icq.exe - может, легальный; а также несколько легального, но вредного софта от MS (последнее, ясно, не подлежало детектированию). Вполне может быть, и руки у меня кривые. Что AVZ уловил многое, прозеванное антивирусом и всеми знаменитостями того периода, но пропустил парочку, одного - в Downloaded Program Files (как и все), писал Олегу года два назад. Цитата: AVZ - в первую очередь средство борьбы с активной неизвестной заразой | Может, ошибаюсь (пар из ушей ). От эвристики я - почему-то - жду, чтобы была обнаружена (хотя бы как подозрительная) и неактивная зараза. ЕCЛИ это возможно. К примеру, вышеуказанный код можно скопировать и сохранить как x.txt. AVZ этот файл при максимуме эвристики не считает вредным, а AVG Anti-Spyware говорит, что это Downloader.Agent.bx Но этот же текст в обличии *bmp он уже не видит. Winres в текстовой "одежде" он видит - как и AVZ - а как рисунок - нет. Наверное, всё это не эвристика, а простое сравнение с имеющимся в базе кодом? И вреда такое, разумеется, не нанесёт, но если это будет *exe? Пускай запустится, а потом лечиться будем? И тут приходит мысль, сначала проверять, а потом запустить, если подозрения имеются. Или - осталось урезанное содержимое файла icyfox.exe, в своё время успешно отвертевшегося от всех и вся и пойманного голыми руками. В этом чём-то есть линк наоборот - #exe.1130/etadpu/moc.tsohaba.www//:ptth - и ясно, что назначение - притащить этот 0311. Но можно ли обнаруживать это? Ещё раз прошу прощения за за длинний оффтоп и за "обвинения", оказавшиеся голословными. Два дня - как гора на плечах... Или как тяжёлая крышка сверху. Timka - ответ вернул по ПМ. | Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 07:13 02-02-2007 | Исправлено: Erekle, 07:31 02-02-2007 |
|