MCShield

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 10 Okt 2010 16:25


Black Code, kada postoji otvoren file na nekom disku, onda Safely Remove Hardware prijavi da ne može da isključi uređaj.

E, sad, zašto se to događa? MCShield je završio skeniranje tog diska 1-2 sekunde po priključenju i on više ništa ne radi na njemu.

Po tvom opisu, čini se da neki file ostane otvoren. Vrlo je čudno da se to događa baš na HDD-u, pošto se isti nikada ne skenira u "dubinu" kao što je slučaj sa flash drive-ovima.

U svakom slučaju, kod skenera je već dosta izmenjen za dolazeću verziju 1.4, no ja ću dodatno da ga pregledam.

Raspoložen da pomogneš? Bilo bi mi lakše kada bih znao šta tačno ostane otvoreno. Ako imaš par minuta, pošalji mi pp pa ćeš dobiti uputstvo.



Dopuna: 10 Okt 2010 16:31






marko_bg ::Ponekad mi se desi da kad odjavim flesku mcshield mi izbacuje prozore jedan za drugim tipa Drive I: seems clean, Drive J: seems clean ....
do Drive Z: seems clean. Taj poslednji prozor se malo zadrzi pa i on nestane...

Citat:Proveriću o čemu se radi (trenutno ne mogu ništa konkretno da kažem, takav problem nije prijavljivan do sada).

Nisam slagao, samo sam zaboravio da napišem.

Nismo uspeli da reprodukujemo ovakvo ponašanje, a time ni da utvrdimo uzrok.

No, kompletne monitoring rutine su napisane iznova - sada su stabilnije i daleko brže i verujem da se u verziji 1.4 ovo neće događati.

• 3Ovo se svidja korisnicima: diarno, Ričard, Simke
  
  Registruj se da bi pohvalio/la poruku!

MCShield v. 1.4



Izmene:

- (novo) kreiranje izveštaja o skeniranjima, (dis)konekciji diskova i instalaciji (MCShield\Logs\Summary);*

- (novo) nanovo napisane rutine za monitoring diskova (da bi se povratila željena brzina i povećala stabilnost); **

- (novo) dodatne rutine za poboljšanje čišćenja Win32.Rimecud i ostalih crva koji se slično ponašaju; ***

- (izmena) višestruke optimizacije koda programa;

- (izmena) povećana detaljnost izveštaja o skeniranju;

- (izmena) unapređenja/izmene postupka instalacije;

- (izmena) stavke iz korisnikovog start menija premeštene u globalni start meni (kako bi ista instalacija programa bila dostupna svim korisnicima);

- (ispravka) QManager ne prikazuje ispravno sadržaj karantina (sada: popravljeno);

- (ispravka) povremeno pozicioniranje CPanela/QManagera/WLT-a van vidljivog dela monitora (sada: ispravljeno, ubačena dodatna provera pre pozicioniranja).


Postojeći korisnici mogu da koriste integrisani alat za ažuriranje, a novi mogu preuzeti instalaciju sa donjeg linka.


http://amf.mycity.rs/programs/mc/mcshield/




* Summary izveštaj:


Citat:26.10.2010 18:55:05 => MCShield v1.4 was successfully installed.



26.10.2010 18:56:15 => Drive I: was disconnected.

26.10.2010 18:56:21 => Drive I: (KINGSTON, ~1 GB, FAT) was connected. It was clean.

26.10.2010 18:56:31 => Drive H: was disconnected.

26.10.2010 18:56:31 => Drive I: was disconnected.

26.10.2010 18:56:39 => Drive I: (KINGSTON, ~1 GB, FAT) was connected. It was clean.

26.10.2010 18:56:39 => Drive H: (no label, ~4 GB, FAT32) was connected. It was infected.

26.10.2010 18:57:01 => Drive I: was disconnected.



** Izmenama uvedenim u verziji 1.3.x, MCShield je počeo da troši malo više procesorskog vremena no ranije.
Disk monitoring rutine su iznova napisane što za rezultat ima drastično smanjenje potrošnje procesorskog vremena.



To je utrošak vremena nakon 15 minuta monitoringa.

Takođe, ove izmene bi trebale imati pozitivan uticaj na stabilnost disk monitoringa (i onemogućiti pojave slične onoj opisanoj ovde).



*** Win32.Rimecud.B je donekle promenio taktiku čime su njegovi autori uspeli da postignu delomično umanjenje nivoa detekcije (no, infektor je i dalje bio detektovan).

Aktuelnim izmenama je MCShield opet tamo gde je i bio: 100% heuristička detekcija zero day varijanti ovoga crva.


Citat:26.10.2010 19:17:07 > Scanning drive I: (KINGSTON ~1 GB, FAT flash drive )...

>>> I:\autorun.inf > Suspicious > Renamed.

>>> I:\autorun.inf.vir - Malware > Deleted. (10.10.26. 19.17 autorun.inf.vir.359982; MD5: 485c59de60384cdd1886f903fac67104)

> I:\MARNUO
> I:\MARNUO\guzu.exe (MD5: 2baa77b380aa4d18227b684de869075f)

>>> I:\MARNUO - Malware.Folder > Deleted. (10.10.26. 19.17 MARNUO.949226)


=> Malicious files : 1/1 deleted.
=> Malicious folders : 1/1 deleted.






Napomena: McAfee antivirus trenutno pravi false positive na jednu od komponenata MCShielda (naziv detekcije: Artemis!D4E849224C86).

Ovo je prijavljeno, no obzirom na poslovično zapanjujuću sporost ove AV kompanije, odlučeno je da se ne čeka da oni isprave tu detekciju (to može da potraje više meseci).

Korisnici McAfee antivirusa treba da dodaju MCShieldRTM.exe u listu ignorisanih programa svoga antivirusa i da prijave detekciju kao pogrešnu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala za trud oko prilagodavanja programa za sisteme sa vise korisnickih naloga. Sad je MCShield kompletan

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Da pojasnim šta je tu urađeno...

Program još uvek nema "službenu" podršku za paralelan rad na više naloga sa ograničenim privilegijama. Da budem iskren: teško da će je i imati.
Zašto? Zato što bi za to bilo neophodno da se program pokreće kao servis (a nije zamišljen da tako radi). Radilo se mnogo na ovome, ali je bilo previše ograničenja i problema za prevazići.

Trenutna situacija je takva da je program (jedna instalacija) dostupan svim korisnicima. Sva podešavanja su "per user" (posebna za svakog korisnika). Isto važi i za karantin i izveštaje.

Na nalozima na kojima nije izvršena instalacija je potrebno jednom pokrenuti program kako bi on učitao standardna podešavanja (neće se automatski sam pokrenuti sa svim nalozima).

Problem je prvenstveno u paralelnom radu (kad je više korisnika ulogovano u isto vreme). U toj situaciji Tray i skener imaju manjih problema u komunikaciji (imati na umu da CPanel može da kontroliše skener u toj situaciji).

Naravno, tu je i pitanje ažuriranja - limited account ne može da instalira programe (update baze radi).


U svakom slučaju, radiće se još na ovome. Stay tuned...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Juče sam preuzeo novu verziju programa i jutros kada sam upalio računar iskočila su mi ova dva prozora. MCShild je 10 min skenirao diskove i onda sam ga preko Task Menagera morao ugasiti...




Računar sam restartovao i ista se stvar ponovila...
Program se nije htio pokrenuti dok na drugu sliku nisam tri puta kliknuo...Deinstalirao sam ga....

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pogledaj da li imaš sledeći file:

C:\WINDOWS\system32\wbem\Framedyn.dll

Ako ga nema na toj lokaciji, pronađi ga ovde:

C:\WINDOWS\system32\dllcache\Framedyn.dll

i kopiraj u wbem folder.


Instaliraj ponovo MCShield i probaj da odradiš isto kao što si radio kada se greška pojavila pa javi da li je i dalje isto.

• 1Ovo se svidja korisniku: goran9888
  
  Registruj se da bi pohvalio/la poruku!

dr_Bora ::Da pojasnim šta je tu urađeno...

U svakom slučaju, radiće se još na ovome. Stay tuned...

Puno hvala na iscrpnom objašnjenju. I ovo je korak napred

I dalje smatram da će nepostojanje multiuser podrške predstavljati veliki sigurnosni propust, jer je malo onih koji su ga instalirali, a imaju više korisničkih naloga pod Windows-om, a svesni su da su zaštićeni samo pod jednim nalogom.

Inače, moram podeliti sa svima svoje iskustvo:

Prethodnih meseci sam održao desetak predavanja i seminara na kojima je dosta interaktivnog rada, a samim tim i potrebe da se projekuju radovi učesnika, da se kopiraju prezentacije, materijali i dokumenti... Ukratko, na svakom od tih okupljanja u opticaju je bar 15-20 USB stikova. Kako se radi o ljudima iz državnih ustanova, nije teško pretpostaviti u kakvom stanju su im "fleškice", i koliko puta je MC Shield reagovao

Obično sa sobom nosim dva laptopa, i na oba je instaliran MCShileld, u kombinaciji sa Avastom na jednom, i sa MSE na drugom).

Kad podvučem crtu, nakon detaljnog skeniranja oba računara sa antivirusima i sa MBAM, pokazalo se da su oba potpuno čisti. Učinak MCShielda - 100%

U mom slučaju, gde je potrebno u što kraćem roku rešiti sve probleme, jer se dešavaju "live", pred učesnicima, McShield je idealan alat - brz, transparentan, jednostavan i efikasan.

Jedina nezgodna situacija se desila sa jednom od ranih verzija MCshielda, početkom jula, kada smo u hotelu gde smo održavali konferenciju, ostali bez wireless konekcije, a za uvodni deo mi je trebao video zapis koji je bio postavljen na Vimeo. Otišao sam u hol, zakačio se kablom, učitao video i vratio se u salu i prikopčao se na projektor. U medjuvremenu mi je jedna od predavača dala svoju prezentaciju na stiku. MSE i McShield su detektovali pretnju, i onda je računar trorkirao sa 100% opterećenjem procesora, i McShiled prozorčićem u prvom planu. Nakon dasetak minuta sam uspeo da pokrenem task manager, zaustavim MSE i nastavim sa normalnim radom, sa 5 minuta zakašnjenja. McShield je nastavio normalno da radi nakon ovog incidenta.

Sve u svemu, svako ko je usličnoj situaciji kao ja, znaće da ceni kvalitet ovog programa. Ja sam ga definitivno stavio u "must have" grupu

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ne samo da si zastitio svoje racunare, vec si im i fleske ocistio, znaci jednim udarcem dve muve sto je jos jedan plus za ovaj izuzetan mali program, jedinstven u oblasti zastite.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Bogdan-Tc ::Pogledaj da li imaš sledeći file:

C:\WINDOWS\system32\wbem\Framedyn.dll

Ako ga nema na toj lokaciji, pronađi ga ovde:

C:\WINDOWS\system32\dllcache\Framedyn.dll

i kopiraj u wbem folder.


Instaliraj ponovo MCShield i probaj da odradiš isto kao što si radio kada se greška pojavila pa javi da li je i dalje isto.

Imam taj file na prvoj lokaciji:

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Izgleda da je neki program brljao po Path varijabli (ne, nismo mi ).

Control Panel > System. Na Advanced tabu: Environment Variables.

U donjem delu prozora (System variables), obeleži Path stavku i klikni Edit.

Iskopiraj ovde taj tekst.