# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.32

## Зайцев Олег

*Вышла новая версия антивирусной утилиты AVZ - 4.32.* Архив с утилитой содержит базу вирусов от 21.08.2009 237871 сигнатура, 2 нейропрофиля, 56 микропрограмм лечения, 374 микропрограмм эвристики, 9 микропрограмм ИПУ, 115 микропрограмм поиска и устранения проблем, 135522 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований. 
*Основные модификации:*
[+++] Скриптовой язык: усовершенствована чистка системы, добавлен ряд новых команд (IsWow64, GetAttr, SetAttr, GetFileVersion, RegKeyResetSecurity ...) 
[+++] Менеджер автозапуска - добавлен анализ ряда новых нестандартных методов автозапуска, поддержка этих методов соответственно  распространяется на эвристическую чистку системы (LSA провайдеры, Perfomance DLL службы, DLL расширения службы, расширение службы EventLog) 
[+++] XML протокол - выводимая в него информация значительно расширена, оптимизирвоана и стандартизирована под      автоматическую обработку (добавлен вывод данных визардов, антируткита, менеджера SPI) 
[+++] Новый визард в мастере поиска и устранения проблема - "Очистка системы", предназначен для чистки мусора в системе (временных файлов,   различных протоколов и кешей) 
[++] Менеджер автозапуска - сканирование ключей автозапуска и папок автозапуска для  всех учетных записей, с автоматическим удалением повторов 
[++] Менеджер расширений IE - добавлена обработка новых типов расширений, улучшено удаление BHO из скрипта, расширена сохраняемая в XML информация 
[++] Менеджер расширений Explorer - добавлена обработка новых типов расширений 
[++] HTML протокол - добавлены новые интерактивные функции (удаление BHO, остановка процессов, удаление ключей автозапуска) 
[++] Доработан менеджер портов TCP/UPD - добавлена поддержка Vista, W2K8, Windows 7 
[++] Изменена идеология удаления файлов и ключей реестра. В случае неуспешного  удаления производится попытка сбросить привилегии доступа к объекту и повтор попытки удаления 
[++] Исследование системы - добавлена поддержка расширенного исследования системы с записью данных в XML, процедуры расширенного исследования хранятся в обновляемой базе данных 
[++] Добавлена базовая поддержка Windows 7 
[+] Карантин файлов - в описание файла добавлены данные о его атрибутах 
[+] В менеджере поиска в реестре добавлена функция "Открыть в Regedit" (вызывается из меню по правой кнопки для списка найденных ключей) 
[+] Новый ключ командной строки AM=Y - блокиратор базовых путей опознания окна AVZ 
[-] Скриптовой язык: Исправлена работа DeleteFileMask и DeleteService - удаленные файлы не попадали в список удаленных для  чистки системы и задания BC 
[-] Устранена нестыковка расширений карантина BC с INI файлом (DTA/DAT) 
[-] Исправлена работа системы отката изменений в мастере поиска и устранения проблем 
[-] Устранена ошибка экспорта дефолтных параметров реестра в функции скрипта ExpRegKey и в  различных системах AVZ, экспортирующих ключи реестра в REG файлы

Ссылка: http://www.z-oleg.com/secur/avz/download.php





Закрыто в связи с выходом новой версии http://virusinfo.info/showthread.php?t=82704

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Олег, Вы меняли GUI? Сейчас просто нет возможности проверить, но с версией 4,30 трудно было работать в безопасном режиме на широкоформатном мониторе 22". Кнопки диалоговых окон (и прочего) далеко выходили за границы изображения. Сегодня пришлось с таким столкнуться

----------


## Зайцев Олег

> Олег, Вы меняли GUI? Сейчас просто нет возможности проверить, но с версией 4,30 трудно было работать в безопасном режиме на широкоформатном мониторе 22". Кнопки диалоговых окон (и прочего) далеко выходили за границы изображения. Сегодня пришлось с таким столкнуться


Не помню, что-то чуть-чуть оптимизировалось, но не радикально

----------


## Биомеханик

Скачка идёт с серверов ЛК? Как с нагрузкой? Может и версии будут выходить чаше?

----------


## Зайцев Олег

> Скачка идёт с серверов ЛК? Как с нагрузкой? Может и версии будут выходить чаше?


А зачем чаще - если бы я сейчас писал бы AVZ с нуля, он бы вышел один раз - первый и последний, а все остальнео - в обновляемые базы. Сейчас файл лежит на моем сайте, так как кластеру ЛК нужно время на распространение файла ... как все будет готово, я переключу на ЛК, редирект автоматический и прозрачный

----------


## Биомеханик

> А зачем чаще - если бы я сейчас писал бы AVZ с нуля, он бы вышел один раз - первый и последний, а все остальнео - в обновляемые базы. Сейчас файл лежит на моем сайте, так как кластеру ЛК нужно время на распространение файла ... как все будет готово, я переключу на ЛК, редирект автоматический и прозрачный


Так может так и написать. Типа разбить AVZ на модули и оставить маленький загрузчик. А модули обновлять.

А как же автоматическое обновление дистрибутивов каждый месяц на сайтах ЛК? Или оно тоже на автомате?

И ещё впросик что значит? 


> В новой версии в два раза расширена база чистых файлов

----------


## Зайцев Олег

> И ещё впросик что значит?


Это значит, что база чистых была 70 с копейками тысяч файлов в 4.30 и мало пополнялась. Сейчас она почти в 2 раза больше по объему и пополняется очень оперативно. собственно эта база была в 4.30 доступна - через автоапдейт и постепенно

----------


## Nick222

Извините, а плагин для Бат будет меняться - или нововведения все в основной программе?
Или я поторопился скачать?

----------


## Зайцев Олег

> Извините, а плагин для Бат будет меняться - или нововведения все в основной программе?
> Или я поторопился скачать?


Будет - но не все же сразу

----------


## NickM

замечено: в разделе "Сервис--Открытые порты TCP/UDP", список обновляется автоматически (зачем кнопа обновить в левом верхнем углу?) при открытии/закрытии порта, и поэтому при частом обновлении таблица подвисает, а также после добавления/удаления порта в таблицу не всегда ячейки корректно перерисовываются,

по файлу помощи, нектритично, в разделе "Параметры командной строки--Основные параметры"

----------


## baburka

При запуске AVZ 4.32 под windows7 через некоторое время (от 8 до 18%) вылетает ошибка и AVZ подвисает. Скриншот ошибки во вложении.
Проверено на Windows7 RC1 и на Windows7 RTM.
Это как-то можно поправить?
Версия 4.30 работала без вопросов.

----------


## Resistant

В повседневную эксплуатацию в нашу жизнь все чаще и чаще стали входить 64 битные ОС. Скажи пожалуйста, а будет ли реализована поддержка 64 битный систем в частности AVZGuard. Будет ли это на уровне модулей или Паралельный проект.

ЗЫ. Большое спасибо за ваш очень нужный продукт. Очень облегчает нашу жизнь

----------


## Зайцев Олег

> В повседневную эксплуатацию в нашу жизнь все чаще и чаще стали входить 64 битные ОС. Скажи пожалуйста, а будет ли реализована поддержка 64 битный систем в частности AVZGuard. Будет ли это на уровне модулей или Паралельный проект.
> 
> ЗЫ. Большое спасибо за ваш очень нужный продукт. Очень облегчает нашу жизнь


Но зловреды пока не вошли в обиход ... как только таковые появятся - будет и поодержка. Плюс в самом AVZ скоро будет более корректно сделана поддержка 64-бит платформ.

----------


## kps

Вот такое наслоение ссылки и надписи о переводе наблюдается на Висте в окне About (выбран англ. язык).

----------


## NickM

> Вот такое наслоение ссылки и надписи о переводе наблюдается на Висте в окне About (выбран англ. язык).


на Vista HP SP2 в EN интерфейсе не подтверждаю

----------


## Br0m

при запуске "Мастер устранения проблем" -> "Чистка"
на машинах, где есть кардридер или подключен принтер/МФУ с кардридером проявляется такой эффект: появляется окно
"Windows - Диск отсутствует"
Exception Processing Message c0000013 Parameters 75b3bf9c 4 75b3bf9c 75b3bf9c
Отмена Повторить Продолжить
на функционал не влияет... жмем продолжить несколько раз и все

"Всего-то нужно было выдернуть из материнки картридер." (http://virusinfo.info/showthread.php?t=52704)

то есть проблемка известная - если будут проблемы с устранением, может добавить примечание к правилам?

----------


## okshef

Олег, спасибо за программу! Планируете ли исправить обработку ярлыков в Windows Vista и Windows 7? Например, ярлык *Documents and Settings* ведет к папке *Users*, а ярлык *Application Data* вообще парализует всю работу из-за зацикливания в папке *ProgramData*? И это не единственный "зацикленный" ярлык.

----------


## Зайцев Олег

> Олег, спасибо за программу! Планируете ли исправить обработку ярлыков в Windows Vista и Windows 7? Например, ярлык *Documents and Settings* ведет к папке *Users*, а ярлык *Application Data* вообще парализует всю работу из-за зацикливания в папке *ProgramData*? И это не единственный "зацикленный" ярлык.


Это не ярлыки, это ссылки ... я поправлю это в 4.34. Версия 4.32 не должны была выйти вчера - просто базы переполнились и пришлось создать сборку, в которой только то, что протестировано и более-менее работает

----------


## kps

> я поправлю это в 4.34.


а 4.33 "перепрыгивается" ?

----------


## NickM

> а 4.33 "перепрыгивается" ?


из мира Linux, чётные числа обозначают стабильные ревизии?  :Smiley:

----------


## kps

> из мира Linux, чётные числа обозначают стабильные ревизии?


Ну, у AVZ были и 4.27 например и 4.29 вполне стабильными  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## NickM

> Ну, у AVZ были и 4.27 например и 4.29 вполне стабильными


оффпост:
верно, политика изменилась с версии 4.30,  4.31 не было,   :Smiley:

----------


## Зайцев Олег

> оффпост:
> верно, политика изменилась с версии 4.30, 4.31 не было,


Это как раз нормально ... нечетные версии для внутреннего тестирования, четные - публичные. Т.е. 4.33 - для внутренних тестов, 4.34 - реклиз и т.п.

----------


## NickM

> Это как раз нормально ... нечетные версии для внутреннего тестирования, четные - публичные. Т.е. 4.33 - для внутренних тестов, 4.34 - реклиз и т.п.


а можно принять участие во внутреннем тестировании?

----------


## Зайцев Олег

> а можно принять участие во внутреннем тестировании?


Оно доступно для хелперов и внешних специалистов ... плюс для энергетиков - я у себя применяю стабильные сборки, обкатывая их на ITW зверях  :Smiley:

----------


## Oyster

Маленькое пожелание - раз уже менеджер автозапуска стал проверять все учётные записи, то было бы полезно к ссылкам в разделе реестра HKUS указывать имена соответствующих учёток, как это сделано в HijackThis.

----------


## AndreyKa

И раньше замечал, что в архивах "чистых/неопознаных" файлов попадаются явные зловреды, но не обращал особого внимания.
Сегодня вылечил компьютер в теме http://virusinfo.info/showthread.php?t=52788 и запросил прислать авторкарантин. Оказалось, что в автокарантин попадает и то, что уже находится в карантине на данный момент: http://virusinfo.info/showpost.php?p...postcount=2418
Так может добавить в начало 4-го стандартного скрипта очистку карантина?

----------


## Зайцев Олег

> И раньше замечал, что в архивах "чистых/неопознаных" файлов попадаются явные зловреды, но не обращал особого внимания.
> Сегодня вылечил компьютер в теме http://virusinfo.info/showthread.php?t=52788 и запросил прислать авторкарантин. Оказалось, что в автокарантин попадает и то, что уже находится в карантине на данный момент: http://virusinfo.info/showpost.php?p...postcount=2418
> Так может добавить в начало 4-го стандартного скрипта очистку карантина?


Это было криточно, пока анализ был полуавтоматический. Сейчас это не обязательно - карантины скрипта 4 "смотрит" "кибер", а это всеядная мясорубка ... а вот в скриптах 2 и 3 чистка карантина стоит - на случай обратной ситуации (что карантиня скриптом 1 файл мы можем получить еще сотню - то, что почему-то было помещено в карантин ранее)

----------


## rxx

опечатка:
Disable callback - уже нейтирализованы

----------


## Alex_Goodwin

http://virusinfo.info/showthread.php?t=52793
Дров голдума не был виден в логах АВЗ..

----------


## nisome

Обнаружена проблема: при переходе с предыдущей (публичной версии) невозможно завершить удаление драйвера AVZ и всех настроек, как того требует рекомендация по обновлению.
При активации AVZPM\Удалить_и_выгрузить_драйвер, после перезагрузки драйвер по прежнему в системе.
Запуск стандартного скрипта №6 также не удаляет драйвер AVZ. Пробовал, делать, как версией 4.30, так и 4.32.

Как решил:
Файл ?:\WINDOWS\system32\drivers\uzm5mti2.sys прибил отложенным удалением, далее скрипт №6.

----------


## gjf

Появилась новая интересная зараза, пока, правда, только с функционалом саморазмножения. Induc.a называется, о ней весьма хорошо описано тут.

Олег, понятно, что данный тип заразы в принципе нов, да и неопасен (пока), но может быть имеет смысл включить процедуру поиска заражённого sysconst.pas/sysconst.dcu в AVZ?

----------


## kps

> Появилась новая интересная зараза, пока, правда, только с функционалом саморазмножения. Induc.a называется, о ней весьма хорошо описано тут.
> 
> Олег, понятно, что данный тип заразы в принципе нов, да и неопасен (пока), но может быть имеет смысл включить процедуру поиска заражённого sysconst.pas/sysconst.dcu в AVZ?


AVZ не предназначен для борьбы с файловыми вирусами.

----------


## gjf

Коллега, вы невнимательно прочитали обзор. Индюк - не файловый вирус в прямом понимании. Вы же не будете считать какой-нибудь VkHost к примеру тоже файловым вирусом?

----------


## kps

Я внимательно прочитал. 



> В первую очередь, это способ размножения — вирус не заражает непосредственно исполняемые файлы, используя *заражение файлов компилятора*  языка программирования.


Если он дописал свой код в текстовый или какой-либо ни было файл компилятора, то лечение файла - это удаление оттуда вредоносного кода, при этом не удаляя оригинальный файл (AVZ не предназначен для этого). По сути это лечение от файлового вируса.

*Добавлено через 18 минут*




> Вы же не будете считать какой-нибудь VkHost к примеру тоже файловым вирусом?


Указанный троян здесь не причем, т.к. он не записывает свой вредоноcный код в другой файл для размножения и заражения других файлов. Редактирование файла hosts - типичное троянское действие.

----------


## gjf

Ну я бы так не сказал... Дописали в hosts фишиновый сайт - и в итоге имеем заражение компьютера каждый раз при заходе на vkontakte. Чем не путь заражения?
Да и дописывание в autoexec.bat - тоже суть файловый вирус. Или типичное троянское поведение?
Всё, что я хотел - это просто внести предложение. В AVZ есть отличный класс TStringList, можно наваять на нём код для поиска и очистки текстовых файлов от заразы и просто включить его в базы.
Ну да если предложение не поддерживается (тут, безусловно, решать Олегу) - за сим откланиваюсь.

----------


## kps

> Ну я бы так не сказал... Дописали в hosts фишиновый сайт - и в итоге имеем заражение компьютера каждый раз при заходе на vkontakte. Чем не путь заражения?


В hosts не записывается вирусный код для заражения других файлов. И для поиска плохих записей в хостс не делается сигнатура на эти самые записи (насколько мне известно). Мы просто смотрим содержимое  и сами решаем, какие записи хорошие, а какие нет.
Не углубляясь в эту дискуссию можно отметить 2 факта:
1) Для лечения файла/файлов компилятора придется писать сигнатуру для лечения файла от вируса, основное же применение AVZ это ручной поиск, а не сигнатурное сканирование.
2) AVZ не занимается выкусыванием плохого кода, не удаляя оригинальный файл.




> Всё, что я хотел - это просто внести предложение. В AVZ есть отличный класс TStringList, можно наваять на нём код для поиска и очистки текстовых файлов от заразы и просто включить его в базы.
> Ну да если предложение не поддерживается (тут, безусловно, решать Олегу) - за сим откланиваюсь.


Конечно решать Олегу  :Smiley:  Я просто высказал свое мнение, и сказал о назначении утилиты. Еще не разу мы ее не использовали для лечения файла. 
Имхо, приоритетно подкрутить AVZ в плане детекта руткитов, а не лечения файлов, еще и зараженных экзотическим вирусом по экзотическому методу  :Smiley:  Для лечения есть антивирус.

----------


## gjf

> 2) AVZ не занимается выкусыванием плохого кода, не удаляя оригинальный файл.


Иногда Brontok лепит ко всему прочему в autoexec.bat строчку pause. Так вот....


```
var
 SL : TStringList;
 X : integer;
begin
......
 SL := TStringList.Create;
 SL.LoadFromFile('%SysDrive%/autoexec.bat');
 SL.Delete(SL.IndexOf('pause'));
 SL.SaveToFile('%SysDrive%/autoexec.bat');
 SL.Free;
.....
end.
```

В итоге - строчку удалим, файл сохраним. С помощью AVZ!

Ну так что - выкусили вредоносный код?  :Wink: 

*Добавлено через 2 минуты*




> Имхо, приоритетно подкрутить AVZ в плане детекта руткитов


А вот к этому присоединяюсь всеми фибрами души  :Smiley: 
Задолбало пользовать сторонние Gmer'ы и Avenger'ы...

----------


## kps

> В итоге - строчку удалим, файл сохраним. С помощью AVZ!


Вы меня не так поняли  :Smiley:  Я имел ввиду, что (и это есть в справке) AVZ по назначению не предназначена для выкусывания кода, а не то, что это невозможно сделать посредством AVZ. Сделать то можно, но это затраты сил и вопрос цели использования.

----------


## gjf

Ладно, оставим дебаты и предоставим решение разработчику  :Smiley: 
Пока это действительно просто proof-of-concept.
Но в любом случае идея может получить развитие - и многие программисты не будут заинтересованы в постоянном заражении своих проектов.

----------


## NickM

может не по теме, но в редакторе скриптов AVZ_SE замечено, при вставке через "Добавить команду" если нажать кнопку "ОК" не выбрав команду программа выдает ошибку "ошибка доступа по адресу"

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Павлик

Здравствуйте. Раньше при скачивании АВЗ предыдущих версий КИС2010 помещал её в доверенные. А сейчас в слабые ограничения. Мало того он(КИС2010) её расценивает как угрозу(см.скриншот). Это КИС ошибается или она(АВЗ) действительно содержит какую-то угрозу????

----------


## Гриша

1. Скрин это алерт PDM на загрузку драйвера

2. AVZ.exe (4.32) уже находится в базе KLSRL и попадает в "Доверенные"

----------


## Bratez

*При создании лога syscheck (станд. скрипт #2) затирается содержимое карантина и туда помещается копия лога!!* 

Сегодня у клиента накарантинил кучу интересного, в конце лечения сделал syscheck... приношу флешку домой, а там и в LOG - лог, и в QUARANTINE - лог  :Sad: ...

----------


## Зайцев Олег

Скрипт номер 2 и 3 нельзя делать в конеце лечения - в них встроены команды очистки карантина (т.е. нужно или делать их в начале, или карантин куда-то копировать). Причина очистки карантина в том, что нередко в "Помогите" пользователь сам что-то карантинил, или карантин забит чем-то от предыдущих скриптов и проверок, и это все присылается на анализ раз за разом

----------


## Bratez

> Скрипт номер 2 и 3 нельзя делать в конеце лечения - в них встроены команды очистки карантина (т.е. нужно или делать их в начале, или карантин куда-то копировать).


Скрипт номер 2 всегда делается после убиения зловредов "для контроля". Раньше этой очистки не было. Очень неудобно...  :Huh: 
Для 3-го скрипта еще можно понять такую логику, а для 2-го imho очистка совершенно ни к чему.



> ...и это все присылается на анализ раз за разом


Ну теперь будут слать копии своих логов...

----------


## Зайцев Олег

> Ну теперь будут слать копии своих логов...


Не совсем ясно, о каких копиях каких логов идет речь - пока ни от кого такие копии не приходили  :Smiley:

----------


## Bratez

> Не совсем ясно, о каких копиях каких логов идет речь


http://virusinfo.info/showpost.php?p...3&postcount=44
Хотя вот сейчас специально проэкспериментировал - копирования логов не произошло и карантин не затерся... Странно. Может глюк какой-то был с файловой системой. Тогда пардон...

----------


## nisome

1.Можно добавить (для кучи) в "Мастер поиска и устранения проблем/очистка" удаление кэша иконок и шрифтов системы:

%userprofile%\Local Settings\Application Data\IconCache.db 
%userprofile%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

P.S. Иногда глючат иконки на рабочем столе из-за ошибке в базе IconCache.db, и со шрифтами пару раз замечал что-то такое...

2. P.P.S. *Олег*, можно сделать очистку папки TEMP не только для текущего пользователя, но и для всех остальных, чтобы под разными логинами не заходить в систему?

*Добавлено через 8 минут*

3. Есть одна загвоздка: папка Temp может находиться не в %userprofile%, а в совершенно другом месте, в зависимости от системных настроек. 
Я на своих компьютерах перемещаю временные папки всех пользователей в C:\TEMP  (например, C:\TEMP\USER; C:\TEMP\BIG_BOSS и т.п), чтобы исключить глюки, возникающие в приложениях при обработке длинных путей, содержащих пробелы ("Documents and Settings" ).

----------


## Зайцев Олег

> 1.Можно добавить ...


Отвечаю по пунктам:
1. Да, если тесты покажут, что это не опасно и для систему не критично, то чистка будет обязательно добавлена (принимаются аналогичные пожелания)
2. В теории - да (т.е. технические енумерировать профили и почистить труда не составляет), но на практике это не очень хорошо, копаться в профилях других пользователей. Поэтому чистятся только профиль системы (windows\temp) и текущего юзера 
3. Это учтено - местоположение TEMP-пов определяется автоматически из переменных окружений

----------


## nisome

> ... местоположение TEMP-пов определяется автоматически из переменных окружений


Это хорошо для текущего пользователя, но как быть, если вошёл в систему как USER1, а надо узнать путь для USER2?
Некоторое время назад я взялся писать скрипт для AVZ для очистки всех временных папок пользователей. Софт в настоящее время пишут неважно: программы сильно пакостят во временную папку (не убирают за собой), особенно MSOffice. Со временем там оседают гигабайты хлама. Причём, это может мешать работать этим же программам.

Путь к временной папке я хотел брать  из реестра. Но столкнулся с другой проблемой: соответствующие ветки реестра у неактивных пользователей не загружены (не видны в редакторе реестра в HKEY_USERS). Наверное, их можно как-то загрузить, я не очень разбираюсь в WinAPI.

----------


## kereyt

Добрый день!
Извиняюсь, если не в тему, но прошу пояснить мне одну вещь - драйвер uzi3otqy.sys - это драйвер AVZ?
ОС - Windows XP Home. Как только перешел на версию 4.32 (с 4.30 все было отлично) стали выскакивать синие экраны - 0x00000c2, 0x00000050... 
Расшифровка минидампа указывает на uzi3otqy:

_C:\>kdfe.cmd "c:\windows\minidump\Mini090109-03.dmp"

Analyzing "c:\WINDOWS\Minidump\Mini090109-03.dmp", please wait... Done.

Crash date:         Tue Sep  1 11:22:41.296 2009 (GMT+5)
Stop error code:    0xc2_7
Process name:       System
Probably caused by: uzi3otqy.sys ( uzi3otqy+177b )_

...

_Crash date:         Tue Sep  1 14:18:59.098 2009 (GMT+5)
Stop error code:    0x50
Process name:       System
Probably caused by: uzi3otqy.sys ( uzi3otqy+1889 )_

...

Удалил и выгрузил драйвер расширенного мониторинга... Вроде пока тихо.
Может ли быть AVZ (вернее драйвер) причиной синего экрана?

P.S. На другом компе нашел такой драйвер - uze4odky.sys...

----------


## PavelA

Да, это от AVZ. У Вас там Outpost или Макаффи не стоит? Из-за них могут быть проблемы.

----------


## strat

Лечил от вируса компьютер на работе. BC драйвер avz определился TrendMicro



> Virus alert.
> TROJ_Generic.DIT is detected on ... domain.
> Infected file: C:\WINDOWS\system32\Drivers\vdm3mtq3.sys
> Detection date: 01.09.2009 17:35:40
> Action: Virus successfully detected, cannot perform the Clean action (Cannot perform the Quarantine action)


Я как раз делал проверочный лог после лечения и в лог попал этот драйвер




> vdm3mtq3
> 	AVZ-BC Kernel Driver	Не запущен	C:\WINDOWS\system32\Drivers\vdm3mtq3.sys
> 	Boot Bus Extende


уж не стал скрин делать

----------


## kereyt

> Да, это от AVZ. У Вас там Outpost или Макаффи не стоит? Из-за них могут быть проблемы.


Да нет, стоит avast! Файрволлов, кроме родного, нет.
Второй день, как выгрузил драйвер - полет нормальный!
А больше никак это не лечится? Я иногда проверяю в дополнение к avast! и утилитой AVZ. Очень нравится, полезная вещь. Но как теперь быть-то?

----------


## kps

> Лечил от вируса компьютер на работе. BC драйвер avz определился TrendMicro
> Я как раз делал проверочный лог после лечения и в лог попал этот драйвер
> уж не стал скрин делать


Это известно давно, что бут-драйвер AVZ детектят, кому не лень (или кому нечего делать  :Smiley:  ). После отсылки в антивирусные компании некоторые антивирусы перестали детектировать его, но не все устранили ложное срабатывание.

----------


## PavelA

> Но как теперь быть-то?


Станд. скрипт №6 должен помочь.

----------


## kereyt

> Станд. скрипт №6 должен помочь.


нет, драйвер мне удалить получилось. я про то, что мне значит не получится пользоваться AVZ на этом компе? 
Синий экран теперь всегда будет меня преследовать при установке AVZ-драйвера расширенного мониторинга процессов?   :Huh: 
Получается конфликт с чем-то? Как мне найти откуда дует ветер? Помогите, плиз, советом  :SOS:  ...

----------


## PavelA

через "Диспетчер устройств" можно - показать скрытые и там его удалить.

----------


## nisome

> Добрый день!
> Как только перешел на версию 4.32 (с 4.30 все было отлично) стали выскакивать синие экраны


При переходе на следующую версию программы рекомендуется выгрузить и удалить AVZPM через меню, а так же удалять остальные настройки и драйвера скриптом №6. У меня с выгрузкой AVZPM были проблемы (см. выше) на 2х компьютерах из 10. Пришлось ручками вычищать драйвер, который не хотел удаляться.

P.S. А ещё я бы глянул после чистки и перезагрузки, может что и осталось в памяти от AVZ (AVZ, модули пространства ядра).

----------


## kereyt

Ааа, понял свою ошибку - я удалил (всю папку AVZ) старую версию (4.30), не удалив предварительно драйвер расширенного мониторинга процессов...
Я так понял драйвер на разных компах именуется по-разному, но цифра 3 посередине есть и на "u" начинается - uzc3oday.sys у себя такой нашел. Прямо на вирус похож ;-)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## icotonev

Hello!My name is Ico!I am from Bulgaria!I was extremely nice that I can write in this forum...despite my bad English!I hope you will forgive me!My question is :Huh: 
I have a problem with the language interface of the program ..?In primary launch is always in English.If you want to pass a Russian language execute this:
*RUN - CMD - D: - AVZ4 - AVZ.EXE LANG=RU*

Could there be a button to change the language and the user can choose his language interface without having to perform command CMD
Thanks in advance for your reply!

p.p The answer may be in a Russian language!

----------


## F_L

> При запуске AVZ 4.32 под windows7 через некоторое время (от 8 до 18%) вылетает ошибка и AVZ подвисает. Скриншот ошибки во вложении.
> Проверено на Windows7 RC1 и на Windows7 RTM.
> Это как-то можно поправить?
> Версия 4.30 работала без вопросов.


У меня установлена версия (OS) Microsoft Windows 7 Максимальная/Ultimate 64-bit. Подтверждаю проблему указанную выше. Как только дело доходит у меня до 93% и проверки файла pcwum.dll получаю картинку "Во вложении".
И ещё 1 вопрос, использую скрипт обновления "Во вложении", так вот, всё обновляется, вроде всё хорошо, но после обновления иконка из системного трея самостоятельно не исчезает. Но стоит навести на неё мышкой, и она пропадает как будто её нету там уже  :Smiley:  Для запуска использую ярлык: "C:\Program Files (x86)\avz4\avz.exe" HiddenMode=1 script=update.txt

----------


## Oyster

> иконка из системного трея самостоятельно не исчезает. Но стоит навести на неё мышкой, и она пропадает как будто её нету там уже


В Windows Millennium аналогично  :Smiley:

----------


## Зайцев Олег

> Hello!My name is Ico!I am from Bulgaria!I was extremely nice that I can write in this forum...despite my bad English!I hope you will forgive me!My question is
> I have a problem with the language interface of the program ..?In primary launch is always in English.If you want to pass a Russian language execute this:
> *RUN - CMD - D: - AVZ4 - AVZ.EXE LANG=RU*
> 
> Could there be a button to change the language and the user can choose his language interface without having to perform command CMD
> Thanks in advance for your reply!
> 
> p.p The answer may be in a Russian language!


AVZ выбирает язык автоматически.  Если система русскоязычная, то включается русский, иначе - английский. Если автовыбор не подходит, то можно создать профиль локализации - INI файл с настройкой. Описание как этосделать есть тут - http://z-oleg.com/secur/avz_doc/t_localization.htm

----------


## icotonev

Thank you very much,Oleg! Now occupy, and I am sure you will get!Use case ask When will I be considered for registration participation in training program ?http://virusinfo.info/profile.php?do=editusergroups

Be sure that in Bulgaria there are many fans AVZ!

----------


## icotonev

Hello! Have one more question!Can a AVZ to take preventive scans in order to prevent infection ..? One species, immune system ....This idea is not it ....to do everything possible not to resort to the services of a helper ..! :Smiley:

----------


## Aleks San

Подскажите как заставить AVZ проверять и лечить систему, но не ту которая запущена. К примеру есть компьютер который в безопасном режиме не запускаеться, а в обычном режиме рабочий стол заблокирован, ctrl+del+alt и win+u не работают. Но есть возможность запустить AVZ загрузившись с компакт диска LiveCD. Вот только в нем утилита востанавливает настройки операционой системы что запустилась с CD-диска, а как указать что востановить то нужно ту, что на жестком диске C:

----------


## chas99

*Aleks San*, 

а если попробовать вариант -запуск AVZ при загрузке..

1.скопировать на диск с:\avz4\ (со свежими обновлениями=)
2.в реестре добавить вызов AVZ 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.ex  e,*c:\\avz4\\avz.exe,*"

перезагружаемся и сразу лечимся =)

----------


## Bratez

*Aleks San*,
к сожалению, никак. AVZ не может исследовать и восстанавливать неактивную систему. Можно только просканировать диск, но смысла в этом немного, т.к. у AVZ не очень большая сигнатурная база. Если у вас свежий DrWeb LiveCD, то именно им и надо сканировать.

*chas99*,
мысль в принципе здравая, попробовать можно, только вы забыли сообщить, как редактировать реестр неактивной системы, загрузившись с LiveCD. Кстати, как вариант - запуск avz.exe вписать не в дополнение к userinit, а вместо explorer.exe (Shell=c:\avz4\avz.exe).

----------


## icotonev

> AVZ выбирает язык автоматически. Если система русскоязычная, то включается русский, иначе - английский. Если автовыбор не подходит, то можно создать профиль локализации - INI файл с настройкой. Описание как этосделать есть тут - http://z-oleg.com/secur/avz_doc/t_localization.htm


 
Я решил этот вопрос следующим образом:





У меня уже есть обе версии! :Smiley:

----------


## Zeroes

У нас в организации эксплуатируется Trend Micro OfficeScan 10 и часто (в
80% точно уверен) когда пользуешься сканированием утилитой AVZ, рил-тайм защита OfficeScan
ругается на найденные вирусы в TMP файлах AVZ (AVZ 4.30-4.32).

Незнаю как ведут себя другие антивирусные движки... 

Можно ли что-то сделать со стороны AVZ так чтобы такого не происходило?

Вирус или злонамеренная программа: TROJ_PACKED.CBF
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:26:56
Результат: Поместить в карантин

Вирус или злонамеренная программа: BKDR_GRAYBIR.BKU
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:31:37
Результат: Поместить в карантин

Вирус или злонамеренная программа: Cryp_Xed-12
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:34:53
Результат: Пропущена потенциальная угроза безопасности

Вирус или злонамеренная программа: WORM_SDBOT.FOP
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:38:53
Результат: Поместить в карантин


OfficeScan не позволяет добавить исключения (по маске) типа AVZ_*.tmp  :Sad:

----------


## AndreyKa

> Можно ли что-то сделать со стороны AVZ так чтобы такого не происходило?


AVZ не виновата, она проверяет файлы на компьютере. Если они в архиве, то распаковывает во временную папку.
Чтобы понять, примерно, откуда файлы, можно посмотреть на строку состояния AVZ.
Или проверить диск С вашим антивирусом.
Вообще, при проверке AVZ антивирус лучше отключить (быстрее будет).

----------


## Zeroes

> AVZ не виновата, она проверяет файлы на компьютере. Если они в архиве, то распаковывает во временную папку.
> Чтобы понять, примерно, откуда файлы, можно посмотреть на строку состояния AVZ.
> Или проверить диск С вашим антивирусом.
> Вообще, при проверке AVZ антивирус лучше отключить (быстрее будет).


Я к тому что если сканировать комп Trend Micro он этих вирусов нигде бы не нашел. 
Он их почему то детектит в Tmp этих, в avz_*.tmp только файлы идентичные которые взяты с FileSystem или из архивов? своих данных не может быть?

*Добавлено через 43 секунды*

*
PS. Можно ли с помощью AVZ сделать запрет автозапуска с носителей?

если нет, можно ли добавить такую функциональность?*

----------


## AndreyKa

> если сканировать комп Trend Micro он этих вирусов нигде бы не нашел


Проверку архивов включали?




> Он их почему то детектит в Tmp этих, в avz_*.tmp только файлы идентичные которые взяты с FileSystem или из архивов? своих данных не может быть?


Не уверен что понял.
Свои данные AVZ хранит в своей папке.

----------


## PavelA

> PS. Можно ли с помощью AVZ сделать запрет автозапуска с носителей?


- мастер решения проблем. Смотрите там.

----------


## Kuzz

*Zeroes*, Добавлю только то, что AVZ так же распаковывает программы, сжатые exe-пакерами, chm и msi файлы и многие другие. Если у Вашего антивируса нет поддержки таких пакеров/контейнеров, то он будет ловить только распакованые части

----------


## Zeroes

Не совсем верный вывод информации?
"Отключено автоматическое обновление системы (Windows Update)" ?

http://screenshot.su/show.php?img=9e...6459c73b93.jpg

AVZ последний с последними базами.

WinXPsp3, компьютер в домене и обновления настроены на локальный WSUS сервер.

----------


## chas99

некритично, однако =)

Чистка системы - Очистка корзины...

корзина очищается, но иконка корзины на рабочем столе остается такая же как у не пустой...

----------


## Zeroes

Иконка не меняется потому что AVZ не использует стандартную API функцию:
SHEmptyRecycleBin от Shell32, а использует "ручную" очистку каталога.

возможно потому что стандартная функция не всегда обеспечивает удаление? (например возможно стандартная функция может не удалить один из файлов вируса  Kido типа <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, там сброшены права на RO на NTFS, плюс подозреваю что стандартная очистит только корзину текущего юзера по SID'у,а реализация AVZ удаляет всё внутри каталога RECYCLER/D)

*2Автор:* если это так, то может сделать сначала удаление стандартным способом, а потом прогнать каталог своим?

----------


## Vovanich

Ребят, может что-то не так делаю, не могу установить через меню программы *AVZPM* в х64 системах (Vista HP, Server 200 :Cool: . Я выбираю "установить..." и ничего не происходит. Загружаюсь в режиме "отключить проверку драйверов".

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*Vovanich*, у AVZ просто нет 64-х битных драйверов.  :Sad:

----------


## Vovanich

*AndreyKa*, понятно. Тогда можно сказать что диагностика 64-битных систем будет неточной?

----------


## AndreyKa

Определенно да. Но пока ситуация не критичная, 64-х битных вредоносных программ в диком виде практически нет.

----------


## AndreyKa

Олег, в теме http://virusinfo.info/showthread.php?t=54470 удаляли файл C:\WINDOWS\system32\basemxq32.dll который загружался через HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems.
ПОчему-то не сработала автоматическая корректировка измененного ключа реестра.

----------


## AndreyKa

В логах темы http://virusinfo.info/showthread.php?t=54692 видна явная активность червя типа Кидо, а его файлов или записей о маскировке ключа службы не видно.  :Sad: 
Это что, появилась версия, не оставляющая файла на диске после заражения, или новый способ автозапуска?

----------


## gjf

> В логах темы http://virusinfo.info/showthread.php?t=54692 видна явная активность червя типа Кидо, а его файлов или записей о маскировке ключа службы не видно.


Это вы по многочисленным стукам на 135 порт решили? Уверены, что пользователь ничего не запускал и не лазил в сети во время сканирования?

А вот это:



> jar_cache1482.tmp


и прочие с номерами - я бы закарантинил. 
И вот это:



> Проверка не производится, так как не установлен драйвер мониторинга AVZPM


нехорошо.

----------


## light59

Кидо стучится на 139 и 445 порты, а там 135.

jar_cache1482.tmp  - это от ява.




> Проверка не производится, так как не установлен драйвер мониторинга AVZPM


Там дальше в логе " Драйвер успешно загружен"

----------


## AndreyKa

Раньше команда *ClearQuarantine* чистила карантин только за текущую дату, теперь совсем не работает.

----------


## Макcим

Можно с помощью AVZ удалять записи в автозагрузке на несуществующие файлы? И желательно делать это до создания лога, чтобы было меньше мусора.

----------


## Kuzz

*Maxim*, а если это существующий файл? Но маскирующийся...

Он не закарантинится, и тушка не пойдет в вир-лаб

----------


## Макcим

Во-первых при подозрении на маскировку идут в ход антируткиты. Во-вторых ну удалим мы запись в реестре, а маскирующийся файл так и останется. В-третьих, как он закарантинится, если AVZ будет считать его не существующим?

----------


## AndreyKa

Вчера обновление баз AVZ не вышло.  :Sad:

----------


## SuperBrat

> Вчера обновление баз AVZ не вышло.


А с чем это связано?

----------


## XiTri

Может есть смысл добавить в "мастер поиска проблем" или "эвристической проверки системы"
ругню на файл %SystemDrive%\Program.exe
Вроде как и скрытый автозапуск и проблема в работе системы.

----------


## Зайцев Олег

> Вчера обновление баз AVZ не вышло.


Вышло "...база от 15.09.2009 23:09". Просто толпы посететелей заваливают мой сайт почище DDoS и я включил кеширование PHP-шек, а то хостер очень сильно переживает о загрузке сервера. С кешированием все работает, но информер то тоже кешируется и показывает старые данные

----------


## Karlson

Олег, может тебе услуги по DDoS-у уже пора оказывать?  :Wink:  всунуть обновление на чей-нить сервак - и привет  :Smiley:

----------


## AndreyKa

> Вышло "...база от 15.09.2009 23:09".


15-го числа "вчера" было 14-ое. Обновления AVZ 14 числа не было. Во всех последних логах AVZ указано, что базы за 13 или 15 число.

----------


## Зайцев Олег

> 15-го числа "вчера" было 14-ое. Обновления AVZ 14 числа не было. Во всех последних логах AVZ указано, что базы за 13 или 15 число.


Обновление идет в зоне 23-24 часов один раз в сутки ... может быть, оно попало в следующий день ввиду перегрузки сайта

----------


## Surfer

Существует ли полиморфный 4.32 ?

----------


## PavelA

Да. См. мою подпись.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## 4r0

У меня AVZ 4.32 находит нарушение ассоциаций EXE и COM файлов, исправить не может. Что делать?

----------


## AndreyKa

> У меня AVZ 4.32 находит нарушение ассоциаций EXE и COM файлов, исправить не может. Что делать?


Ничего, этот глюк появился после вчерашнего обновления баз AVZ.
Будем надеятся, что скоро исправят.

----------


## Torvic99

> Ничего, этот глюк появился после вчерашнего обновления баз AVZ.
> Будем надеятся, что скоро исправят.


Интересно только почему этот глюк вылазит на некоторых компах?

----------


## Kuzz

> Интересно только почему этот глюк вылазит на некоторых компах?


А если сравнить значения в HKLM и HKCU?
Может там корень?

----------


## Nikkollo

С появлением в "Мастере поиска и устранения проблем" "Чистки системы" начала ощущаться нехватка кнопок "Отметить все" и "Снять все отметки"...  :Smiley:

----------


## Зайцев Олег

> Интересно только почему этот глюк вылазит на некоторых компах?


Это же глюк -как же иначе  :Smiley:  Сегодня выйдет апдейт, который его уберет

----------


## AndreyKa

> Сегодня выйдет апдейт, который его уберет


Обновление дошло, глюк пропал.

----------


## nisome

> Это же глюк -как же иначе  Сегодня выйдет апдейт, который его уберет


А я сегодня вирусы искал на компьютере из-за этого, прямо обыскался.  :Smiley:  Хорошо, что это всего-лишь ложное срабатывание.

----------


## Mad Scientist

Я использовал пример из
http://www.codeproject.com/KB/cs/globalhook.aspx
(globalhook2_demo)
AVZ не обнаружил установленную ловушку

----------


## 4r0

*Зайцев Олег*, у меня Windows XP Pro x64 SP2, логи AVZ пестреют информацией про "неизвестные" системные файлы. Через "Пополнение базы чистых объектов" их выслать невозможно - AVZ не может добавить их в карантин по причине ошибки прямого чтения. Но вручную они копируются отлично. Поэтому я решил скопировать все системные файлы, неизвестные AVZ, и выслать их Вам для добавления в "Доверенные", чтобы впредь в логах не было столько лишней информации. Скачать эти файлы можно *отсюда* (19 Мб, максимальное сжатие ZIP. Да, файлообменник, но никаких поинтов и денег за скачивание я не получаю, просто хочется чтобы подлинные системные файлы не записывались в лог как "неизвестные". ИМХО чем меньше в логе лишней информации, тем легче хелперам найти действительно вредоносные объекты). Благодарю за внимание.

----------


## drongo

*4r0*, Не думаю, что Олег Зайцев этим будет заниматься. 
В зипе нет файлов информации  ini, кибер сочтёт за мусор и не будет обращать внимания.

с 64битной системой действеительно проблематично...Надеюсь все антивирусы и файрволы отключили ? Программы защиты могут не давать копировать...
можно в безопасном режиме попробовать скопировать  файлы с помощью авз.

----------


## 4r0

*drongo*, а я киберу зип и не отправлял, знаю что это бесполезно. Антивирусы и фаерволлы я вообще удалил и их следы почистил, чтобы не мешали, но AVZ ни одного системного файла так и не смог скопировать, пишет "Попытка прямого чтения - ошибка". В логах с 64-битной XP полно лишнего, вот я и подумал, что мой архив с системными файлами может помочь в формировании доверенных файлов. Ну, нет так нет.

P.S. А почему при попытке поиска перехватчиков KernelMode AVZ пишет, что файл \WINDOWS\system32\ntoskrnl.exe не найден, хотя он на месте и никуда не исчезал?

----------


## AndreyKa

*4r0*, расслабьтесь. AVZ 32-х битная программа и Windows x64 запускает её в отдельной от ОС среде, так называемой *WOW64* http://ru.wikipedia.org/wiki/WOW64 и её попытки провести диагностику системы бесполезны, пока не будет выпущена 64-битная AVZ или хотя бы 64-битные драйверы для неё.

----------


## AndreyKa

> Обновление идет в зоне 23-24 часов один раз в сутки ... может быть, оно попало в следующий день ввиду перегрузки сайта


Да, бывает. Вот сейчас, например:



> Загружена база: сигнатуры - 242503, нейропрофили - 2, микропрограммы лечения - 56, база от 24.09.2009 00:39


Прошло 43 часа, а обновления баз нет.

----------


## Jagfrisker

не знаю, поднимался ли этот вопрос, но в AVZ  не хватает некоторых кнопок, например, когда большой список, не помешали бы кнопки "Выбрать всё" и "Снять всё".
использую его каждый день и этих кнопок очень не хватает.

ещё непонятно, почему бы не сделать, чтобы авз видел скрытые файлы, по умолчанию, как Total например. Выберешь отложенное удаление файла, без включённого гварда(не всегда бывает возможность его включить), а вирус уже отключил скрытые в системе. Можно было бы сделать, чтобы поиск в реестре, по имени файла и отложенное удаление видели бы скрытые и системные файлы сразу?

----------


## AndreyKa

Нашел баг в обработчике скриптов.
Если в скрипте сработала команда *break* то до перезапуска AVZ в скриптах будет выполняться только одна команда.
Пример:
Запустив

```
begin
  AddToLog('1');
  AddToLog('2');
end.
```

получим:


```
1
2
```

но если запустить 


```
begin
 break;
end.
```

то повторный запуск первого скрипта даст:

```
1
```

----------


## Зайцев Олег

> Нашел баг в обработчике скриптов.
> Если в скрипте сработала команда *break* то до перезапуска AVZ в скриптах будет выполняться только одна команда.
> Пример:
> Запустив
> 
> ```
> begin
>   AddToLog('1');
>   AddToLog('2');
> ...


Команда break официально не поддерживается  :Smiley:

----------


## AndreyKa

> Команда break официально не поддерживается


Тогда, каким образом можно прервать выполнение процедуры?

----------


## Зайцев Олег

> Тогда, каким образом можно прервать выполнение процедуры?


Для прерывания работы скрипта есть команда exit. Ее вызов в процедуре прекратит ее выполнение и вернет управление вызвавшему процедуру коду, вызов exit в главном теле скрипта приведет к прерыванию его работы. Команда Break прерывает выполнение цикла любого типа ... и ее можно применять только в цикле, использование вне цикла приведет к указанному выше эффекту. Т.е. правильно:


```
begin
 AddToLog('>>1');
 exit;
 AddToLog('>>2');
end.
```

и


```
begin
 AddToLog('>>1');
 while true do begin
   break;
 end;
 AddToLog('>>2');
end.
```

----------


## NickM

Здравствуйте. Вчера лечил ПК зараженный новой версией AVPro2010, на Висте(СП1,СП2) не сработал запуск AVZ с ключем AG=Y, в то время как из самой программы AVZGuard включается.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ingener

Вчера обновил базы и заметил следующее, появился какой-то новый пункт в чистке системы - подскажите для чего он нужен (может это просто баг):

----------


## Зайцев Олег

> Вчера обновил базы и заметил следующее, появился какой-то новый пункт в чистке системы - подскажите для чего он нужен (может это просто баг):


А кто его знает ... это баг в базе перевода, я сегодня обновлю ее - видимо, какая-то новая чистка, для которой нет сообщений в локалях

----------


## Oyster

> А кто его знает ... это баг в базе перевода, я сегодня обновлю ее - видимо, какая-то новая чистка, для которой нет сообщений в локалях


- А давай прицепим мой мотоцикл к твоей "Волге"! У тебя трос в багажнике есть?
- А кто его знает, что там есть...
(c) х/ф "Берегись автомобиля"  :Cheesy:

----------


## Nick222

Прошу прощения, но размер файла и контрольная сумма, указанные на странице скачивания для плагина для Бат, не соответствуют реальным данным выложенного для скачивания файла плагина (проверил три раза).

----------


## light59

MD5 архива совпадает. А у avz_thebat.bav нет. Там на несколько байт размер отличается. Видать информация не обновлена.

----------


## Br0m

так же ?1740? ?1742?

----------


## tar

а где можно задвать вопросы по скриптам? если здесь, то вопрос:
думал, что аутпоста и AVZ хватит чтобы не париться по вирусам на нетбуке, но подхватил Kido - даже не заметил (программы не качал, законы элементарной безопасности знаю). Этот вирус обнаруживает любой антивирус , с начала года, но AVZ даже ничего подозрительно не обнаружил. Хотя, благодаря AVZ от него и избавился (отложеное удаление) - drweb нашел, но удалить не смог.
Теперь к скрипту: нужно чтобы AVZ раз в день проверял такую-то таблицу ревизором, если найдены расхождения, то информировал на экране, если все нормально, то без диалогов.

----------


## thyrex

> подхватил Kido





> но AVZ даже ничего подозрительно не обнаружил


Не совсем верно. Уведомление о скрытых процессах Кидо есть в логах, если dll-ка находится в system32

----------


## PavelA

> Теперь к скрипту: нужно чтобы AVZ раз в день проверял такую-то таблицу ревизором, если найдены расхождения, то информировал на экране, если все нормально, то без диалогов.


 AVZ - утилита для проверки
и возможного лечения.
То, что Вы просите выполняет а/вирус.

----------


## tar

антивирус? ADinf чтоли?
неужели AVZ с такой продвиностью в скриптах не работает со своими ревизорными таблицами?

----------


## gjf

ADInf устарел безнадёжно и давно.
Вы видели когда-нибудь антивирус со скриптовым языком? Правильно, такого не существует. Потому и речь о том, что AVZ - не антивирус. И требовать от него функционала, характерного для антивирусов, бессмысленно. Пусть лучше делает то, для чего предназначен, чем разрастается лишним.

----------


## tar

по-моему, было бы неплохо, если бы AVZ раз в день проверял папку Windows своим ревизором. Скрипты AVZ вообще не поддерживают СВОЙ ревизор - я верно понял?
Спасибо за ответы.

----------


## gjf

Погодите: если я правильно Вас понял, Вы держите AVZ постоянно загруженным, считая, что он обеспечит Вам защиту от вирусов?

----------


## kps

> Погодите: если я правильно Вас понял, Вы держите AVZ постоянно загруженным, считая, что он обеспечит Вам защиту от вирусов?


Речь о том, можно ли через скрипты управлять ревизором дисков (его можно найти в меню Файл AVZ), который сравнивает изменения на диске, используя базу данных.

----------


## Зайцев Олег

> Речь о том, можно ли через скрипты управлять ревизором дисков (его можно найти в меню Файл AVZ), который сравнивает изменения на диске, используя базу данных.


Если речь о нем - то этот ревизор нужен для сравнения "из меню". Если речь идет о сравнении из скрипта, то там функционал в изобилии - считалка MD5 и поддержка просейших "баз данных" из тектового файла в частности, далее все тривиально

*Добавлено через 1 минуту*




> антивирус? ADinf чтоли?
> неужели AVZ с такой продвиностью в скриптах не работает со своими ревизорными таблицами?


Со своими - не реботает, так как это негибко. А функционал ревизора любой сложности достигается скриптом - сканирование диска есть, расчет MD5 - есть, хранение найденного в проснейшей БД и поиск - есть. Далее можно конструировать все что угодно с любой логикой

----------


## tar

спасибо всем. вопрос закрыт. только жаль что нет примера этого скрипта. придется включать мозг  :Smiley:

----------


## Зайцев Олег

> спасибо всем. вопрос закрыт. только жаль что нет примера этого скрипта. придется включать мозг


пример есть в справке и вот тут - 
http://virusinfo.info/showthread.php?t=35034
http://www.anti-malware.ru/forum/ind...ndpost&p=80397

----------


## Димарик

Подскажите AVZ так и не работает на x64 системах?

----------


## vistaorxpmoy

Новый Ав мелкософта вот так детектирует AVZGuard

http://www.microsoft.com/security/po...tid=2147628490

VirTool:WinNT/RootkitDrv.GZ 
Category: Tool

Description: This program is used to create viruses, worms or other malware.

Recommendation: Remove this software immediately.

Microsoft Security Essentials detected programs that may compromise your privacy or damage your computer. You can still access the files that these programs use without removing them (not recommended). To access these files, select the 'Allow' action and click 'Apply actions'. If this option is not available, log on as administrator or ask the local administrator for help.

Items: 
file:C:\Windows\System32\drivers\utyyndu5.sys
regkey:HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\utyy  ndu5

----------


## QUARQ

может ли данная утилита работать с удоленным реестром ? и как этого добиться от нее... 
суть проблемы: вирус блокирует сеф мод ,редактор реестра учетную запиь и тд..
из под втрой системы можно поудалять вирусы но реестр почистиь таким образом не получается и востоновить работоспособность тоже приходится разблокировать сейф мод через ерд командер перезагружаться  в сейф моде  и лечить систему дальше ...
было бы очень удобно загружаешся в барт пе включаешь в AVZ пунк меню работа с удоленным реестром .... а дальше как на живой системе

с уважением пользователь AVZ

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Oyster

*QUARQ*, почитайте AVZ on LiveCD, особенно про редиректор RunScanner

----------


## gjf

*QUARQ*, не думаю, что так всё запущено. Если можно загрузиться нормально - почему бы там не собрать логи? А потом почистить всё - это уже относительно просто.
Вообще, если такая проблема - Вам в раздел Помогите.

----------


## QUARQ

свем спс за советы! но из того что прочел ..не чуть не легче описаной мною схемы лечения : много танцев с бубном, а результат больше утешительный, чем обнадеживающий.

----------


## Oyster

*QUARQ* Можно не заморачиваться с настройкой плагина. Просто грузитесь во вторую операционку или BartPE, а из неё уже запускайте RunScanner с параметрами - где лежит "больная" винда, где профиль "больного" юзера и где, собственно, лежит AVZ.

----------


## QUARQ

*Oyster*, ага ! это уже теплее огромное СПС

----------


## QUARQ

нашел вот такую сборку RusLive Full в оболочку встроен RunScanner
правой кнопкой по AVZ выбрать "run with remote registry" 
работает не всё, но уже можно нармально щемить гадов! 
попробовал запустить drweb по тойже схеме через некоторое время вылетает через неопределенное время "по английски"  всем еще раз огромное спс за нааводки  :Smiley:

----------


## NickM

Пожелание: неплохо было бы обрабатывать нажатие Enter как "Выполнить/Пуск", в строке поиска "Сервис--Поиск данных в реестре", удобно и быстро.

----------


## icotonev

Хотите знать мнение АВЗ в Болгарии..Читайте здесь:

http://www.kaldata.com/forums/index....pic=92291&st=0

*Для этого я являюсь студентом..чтобы доказать, что AVZ является большая программа!*

----------


## Ingener

У меня возник такой вопрос - как в AVZ организовать перебор разделов реестра по заданной маске и выполнение определённых действий при удовлетворение заданных условий.
Например мы имеем:


```
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\wuauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
```

Где: hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,5  2,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d  ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00  ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73  ,00,00,00  =  %fystemRoot%\System32\svchost.exe -k netsvcs

Как организовать перебор разделов 



> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003
> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004
> ***
> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet***
> ***
> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet999


И при наличие заданного раздела выполнение следующих действий:


```
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet***\Services\BITS');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet***\Services\wuauserv');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet***\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet***\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
```

Т.е. можно ли как-нибудь автоматизировать данные действия.

Данная фича может быть полезной например для удаления ключей вида:



> 7. Эвристичеcкая проверка системы
> >>> Подозрение на маскировку ключа реестра службы\драйвера "aawuct"
> >>> Подозрение на маскировку ключа реестра службы\драйвера "eihtq"
> >>> Подозрение на маскировку ключа реестра службы\драйвера "IasSvc"
> >>> Подозрение на маскировку ключа реестра службы\драйвера "igwsoif"

----------


## Kuzz

*Ingener*, 


```
var count:integer;
begin
for count:=1 to 999 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet'+IntToStr(count)+' найден.');
  end;
 end;
end.
```

спесет отца демократии?

----------


## Ingener

> *Ingener*, 
> 
> 
> ```
> var count:integer;
> begin
> for count:=1 to 999 do
>  begin
>  if RegKeyExists('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)) then
> ...


Скрипт рульный составили - только он не перебирает разделы: 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet099
Начинает работать только с раздела:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet100

У вас там задуман такой перебор:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet1
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet99
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet999

Поправьте плиз этот нюанс и всё будет в шоколаде...  :Smiley: 

Я вот так модифицировал ваш скрипт - теперь он все разделы перебирает:


```
var count:integer;
begin
for count:=1 to 9 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet00'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet00'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet00'+IntToStr(count)+' найден.');
  end;
 end;
for count:=10 to 99 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet0'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet0'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet0'+IntToStr(count)+' найден.');
  end;
 end;
for count:=100 to 999 do
 begin
 if RegKeyExists('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)) then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS');
  RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet'+IntToStr(count)+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Раздел ControlSet'+IntToStr(count)+' найден.');
  end;
 end;
end.
```

----------


## Kuzz

Ну собственно этот скрипт я только что писал как ответ (и даже не посмотрел работает ли он  :Smiley:  )

----------


## Ingener

Подскажите пожалуйста есть ли функция преобразования текста в строку (в справке ничего подобного не смог найти) - наподобие *IntToStr*, которая преобразует целое число в строку.

Просто хочу организовать скрипт для удаления службы по имени, перебирающий заданные разделы и удаляющий ключи с заданным именем - но не знаю как автоматически задать это имя в команде RegKeyDel.

----------


## MikeDlg

function StrToInt ( IntegerString : string ) : Integer; - можно попробовать, а вобще http://www.delphibasics.ru/ - справка по Дельфи

----------


## Ingener

> function StrToInt ( IntegerString : string ) : Integer; - можно попробовать, а вобще http://www.delphibasics.ru/ - справка по Дельфи


Похоже AVZ эту функцию не знает - у меня не получается написать работающий скрипт с её помощью.
Если у вас получится - выложите плиз образец скрипта.

----------


## Зайцев Олег

> function StrToInt ( IntegerString : string ) : Integer; - можно попробовать, а вобще http://www.delphibasics.ru/ - справка по Дельфи


Эта справка бесполезна, так как скрипт язык имеет паскалевский синтаксис, но не является Delphi или паскалем ... в нем поддерживается ограниченный набор функций, описанных в справке

*Добавлено через 25 минут*




> Подскажите пожалуйста есть ли функция преобразования текста в строку (в справке ничего подобного не смог найти) - наподобие *IntToStr*, которая преобразует целое число в строку.
> 
> Просто хочу организовать скрипт для удаления службы по имени, перебирающий заданные разделы и удаляющий ключи с заданным именем - но не знаю как автоматически задать это имя в команде RegKeyDel.


http://z-oleg.com/secur/avz_doc/script_inttostr.htm
http://z-oleg.com/secur/avz_doc/script_strtoint.htm

----------


## MikeDlg

> Эта справка бесполезна, так как скрипт язык имеет паскалевский синтаксис, но не является Delphi или паскалем ... в нем поддерживается ограниченный набор функций, описанных в справке


Функции case, length тоже не будут работать?
просто по постам выше пришло в голову - добавление ведущих нулей в строку.

----------


## Зайцев Олег

> Функции case, length тоже не будут работать?
> просто по постам выше пришло в голову - добавление ведущих нулей в строку.


скорее всго будут, length так точно

----------


## AndreyKa

Базы AVZ не обновяются более 2 суток  :Sad:

----------


## Зайцев Олег

> Базы AVZ не обновяются более 2 суток


Могло что-то скосячить - я "пнул"  вручную, должно обновиться с гарантией

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Karlson

примерно сутки назад на работе обновлялось..

----------


## Nick222

А будет ли новая версия плагина для Бат и когда?

----------


## AndreyKa

Функция *BHOExists* ищет указанный CLSID в ключах: 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions	
HKLM\SOFTWARE\Microsoft\Internet Explorer\ToolBar
а в ключе:


```
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
```

нет.

----------


## nisome

Доброй ночи, Олег. Начал на ноутбуке детектироваться Spy.WildTangent. Один из файлов я отправлял сюда на изучение в течение этого месяца. Мне сказали, что файл безвреден (на это и похоже, поскольку это компонент драйверов к ноутбуку LG). Возможно, что это ложная тревога. 

Файл сохранён как	091022_024110_virus_4adf8e060ea26.zip
Размер файла	599986
MD5	8fc41acb2bfe53835467acea7f43ddfd

*Добавлено через 3 минуты*

Детектирование происходит в AVZ, другие антивирусники молчат.

----------


## igorusha

Когда можно примерно ожидать поддержку Windows 7 в AVZ ?  :Smiley:

----------


## gjf

В версии 4.32 не работает команда ClearQuarantine - файлы карантина в папке за текущую дату остаются.
Имхо можно было бы добавить параметр в эту команду - для очистки всех папок, не только за текущую дату.

----------


## thyrex

> В версии 4.32 не работает команда ClearQuarantine


Подтверждаю из личного опыта, о чем писал Олегу (только в ПМ). Также есть информация от другого коллеги

----------


## light59

http://virusinfo.info/showpost.php?p...3&postcount=89
на 5й странице это уже писалось  :Smiley:

----------


## gjf

Но итога же нет  :Smiley: 

*Добавлено через 3 минуты*

Баг так себе, конечно, но только с первого взгляда. Из-за него бывают карантины таких размеров, что не пролазят ни по почте, ни по ссылкам. Да и пациенты волнуются - и так инет зачастую ни к чёрту, ещё и многобайтные карантины заливать приходится.

----------


## Ingener

> Но итога же нет 
> 
> *Добавлено через 3 минуты*
> 
> Баг так себе, конечно, но только с первого взгляда. Из-за него бывают карантины таких размеров, что не пролазят ни по почте, ни по ссылкам. Да и пациенты волнуются - и так инет зачастую ни к чёрту, ещё и многобайтные карантины заливать приходится.


Вот замена ClearQuarantine  :Smiley:  :


```
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
```

----------


## gjf

*Ingener*,
Да это всё понятно... За державу обидно!

----------


## Nick222

Скажите, плз, мне прислали файл МСО 2007 - по поведению типичный макровирус (меняет расширение файла на DOCM и появляются "лишние" макросы - по словам приславшего - я проверить не могу, у меня только ОпенОфис).
Ни один антивирус на ВирусТотале ничего не сказал. Проверка АВЗ-ом ничего не дала.
Способен ли АВЗ определять неизвестные макровирусы или нет?

----------


## PavelA

Отсюда уберите его.

----------


## Aleksandr49

Недавно установил Win 7, и хотелось бы услышать Ваше мнение.
Как уживается AVZ c новой OC?.

----------


## thyrex

> Как уживается AVZ c новой OC?.


Заявлена только базовая поддержка Windows 7

----------


## OSSP2008

> Недавно установил Win 7, и хотелось бы услышать Ваше мнение.
> Как уживается AVZ c новой OC?.


если в параметрах поиска одновременно включить *Детектировать перехватчики API и RootKit + Проверять настройки SPI/LSP + Поиск клавиатурных перехватчиков*, то программа вылетает с ошибкой. При отключении проверки кейлоггеров поиск работает нормально

----------


## Зайцев Олег

> если в параметрах поиска одновременно включить *Детектировать перехватчики API и RootKit + Проверять настройки SPI/LSP + Поиск клавиатурных перехватчиков*, то программа вылетает с ошибкой. При отключении проверки кейлоггеров поиск работает нормально


Именно так и есть - ошибка вылетает на антикейлоггере, это уже поправлено, апдейт скоро выйдет

----------


## Никита Соловьев

http://virusinfo.info/showthread.php?t=59643
В логах AVZ не наблюдается активный зловред




> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken.
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken.





> C:\WINDOWS\system32\drivers\BSuBT.exe (Worm.Palevo) -> No action taken.

----------


## Ingener

> http://virusinfo.info/showthread.php?t=59643
> В логах AVZ не наблюдается активный зловред


Ещё я заметил такой нюанс - в той теме во всех сообщениях повреждённые (содержащие ошибки) xml логи AVZ - ошибки начинаются с середины тега AUTORUN - дальше лог не открывается.
Просто может это тоже имеет какое-то отношение к данной проблеме...

----------


## pig

Вот на этом ломается:


```
<ITEM File="C:\WINDOWS\system32\DRIVERS\ati2mtag.sys" VirType="4" Descr="@gt;@gt;@gt; Перехватчик KernelMode - ЦП[1].IDT[01]"  />
```

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

> Загружена база: сигнатуры - 248534, нейропрофили - 2, микропрограммы лечения - 56, база от 08.11.2009 14:41


Пошли 4-е сутки со времени крайнего обновления AVZ.
Олег, скажи уже официально, что обновления баз выпускаются 2-3 раза в неделю, чтобы народ не беспокоился.

----------


## Зайцев Олег

> Пошли 4-е сутки со времени крайнего обновления AVZ.
> Олег, скажи уже официально, что обновления баз выпускаются 2-3 раза в неделю, чтобы народ не беспокоился.


Обновления выходят раз в сутки, в случае сбоя нужно сообщать сразу. Были проблемы - заело обновлятор баз, я расклинил его вручную - сейчас апдейт принудительно перезаливатеся и все должно обновиться.
Суда по логу база перезалились - можно пробовать, все должно работать. Придется потерпеть - базы меняются для новой версии AVZ, могут быть глюки

----------


## Nick222

Проблема:
1) Включил комп, забыл включить Интернет. Локальная сеть включена, а соединение с провайдером (PPPoE) нет.
2) Запустил АВЗ, включил обновление баз.
3) Через несколько секунд понял, что Интернет не включён. Ничего не меняя в АВЗ, полез и включил Интернет.
4) Остальные программы, ждавшие выхода в Интернет и висевшие до его включения - начали работать (например, обновление баз ClamWin).
АВЗ завис намертво - сносил через диспетчер процессов.

Повторный запуск АВЗ прошёл нормально и обновление баз отработалось нормально.

----------


## Зайцев Олег

> Проблема:
> Повторный запуск АВЗ прошёл нормально и обновление баз отработалось нормально.


Это нормально ... там просто здоровые таймауты стоят, через какое-то время он скорее всего бы "развис" обновился или выдал ошибку.

----------


## aintrust

> Это нормально ...


Ну, это вряд ли нормально, я бы скорее сказал "объяснимо"... =)

Почему бы просто не задействовать асинхронные сокеты и снять проблему?

----------


## Nvidia

А дружит ли утилита AVZ c Windows Vista?

----------


## aintrust

Дружит, но не очень крепко... =)

----------


## Nvidia

> Дружит, но не очень крепко... =)


Просто я сейчас буду делать локальную сеть,подключать два компа на один инет...
На компе сестры - виндус ХР, а на моём Буке - Виста
В чём весь и вопрос...
Чтобы я знала,мало ли какие проблемы,чем пользоваться,чтобы  вам отчёт дать...

----------


## aintrust

Если на вашем ноутбуке установлена 32-битная Vista, то можете смело использовать AVZ без каких-либо ограничений.

----------


## Nvidia

> Если на вашем ноутбуке установлена 32-битная Vista, то можете смело использовать AVZ без каких-либо ограничений.


Именно такая и есть...Спасибо!

----------


## NickM

глюк?
ситуация: в папке Quarantine есть карантин от определенной даты, например: 2009-11-18, переименовываем папку в 2009-11-181, запускаем стандартный скрипт №4, ждем окончания, видим создается папка 2009-11-18 с файлами, но файл virusinfo_files_*.zip в папке Log содержит упакованную папку 2009-11-181, странно не правда ли?

----------


## Биомеханик

Правельно, создаёться из папки с более большим именем, следовательно позней датой. Глюк.

----------


## priv8v

*Олег*, следующее похоже на частично слетевший перевод, но у меня, вроде, все нормально:
АВЗ - Сервис - Открытые порты TCP... и там мотаем вправо - смотрим, что расположено в столбце "Категория".

----------


## vistaorxpmoy

После прочтения рекомендаций от инженера сапорта Микрософт http://social.answers.microsoft.com/...5-06744556a3d3, а именно:

```
Вам необходим редактор реестра для очистки системы вручную. Нужные разделы:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB Storage


Их нужно экспортировать (правой кнопкой мыши) и удалить - система автоматически восстановит то, что нужно.
```

у меня возник вопрос можно ли эту процедуру выполнить с помощью АВЗ, т.к. вручную возникают проблемы с доступом.
В справке нашёл только как удалять ключи.

----------


## 4r0

Vista Ultimate x64 SP2 со всеми обновлениями
AVZ падает при запуске третьего скрипта (лечения/карантина), а именно - на стадии попытки снятия перехватов UserMode. Оно так и должно быть?

А ещё у меня пропадает языковая панель, а если попробовать сменить её настройки - вслед за ней "уходят" значки с рабочего стола и панель задач.

----------


## light59

> Vista Ultimate *x64*


AVZ работает не корректно с x64.

----------


## 4r0

AVZ до сих пор не распознаёт TDSS.u в активном виде (которому больше месяца), когда это поправят?

----------


## kresot

> AVZ работает не корректно с x64.


Т.е. на х64 AVZ лучше не использовать??
А то посносит чего-не-надо??

----------


## Fileas

Та же проблема. Не работает на Windows 7 x64
При попытке включить AVZ Guard выдает ошибку: Ошибка AVZ Guard: C000036B
При сканировании вылетает с Access Violation по адресу 005F86D2

Когда будет добавлена поддержка 64-разрядных ОС?

----------


## thyrex

> Когда будет добавлена поддержка 64-разрядных ОС?


Скорее всего не раньше, чем появятся руткиты на таких системах

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## a1822

> Скорее всего не раньше, чем появятся руткиты на таких системах


Нельзя ли реализовать хотя бы часть поддержки, не лезущую в ядро? А то ведь сейчас даже виртуализация ФС не выключается.

----------


## Nvidia

Буду иметь в виду....с надеюсь Виндус 7 есть 32разрядный....Значит,пользоваться 64разрядками я не буду... А то случись что - на лаги напорешься

----------


## Isica

AVZ выдал мне такую вещь: (*Windows 98*)



> 1.1 Поиск перехватчиков API, работающих в UserMode
>  Анализ kernel32.dll, таблица экспорта найдена в секции .text
> Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF676A8
> Детектирована модификация IAT: GetProcAddress - 00000002<>BFF66D80


Глянул--действительно, импорт заполняется так, что многие (если не все) API вызываются следующим образом:
push [адрес Api]
JMP KERNEL32.BFF85CC1

А там такой код:



> BFF85CC1   .  9C                   PUSHFD
> BFF85CC2   .  FC                   CLD
> BFF85CC3   .  50                   PUSH EAX
> BFF85CC4   .  53                   PUSH EBX
> BFF85CC5   .  52                   PUSH EDX
> BFF85CC6   .  64:8B15 20000000     MOV EDX,DWORD PTR FS:[20]
> BFF85CCD   .  0BD2                 OR EDX,EDX
> BFF85CCF   .  74 09                JE SHORT BFF85CDA
> BFF85CD1   .  8B42 04              MOV EAX,DWORD PTR DS:[EDX+4]
> ...


Что бы это значило??

----------


## victori8

По окончании проверки , удалил и выгрузил драйвер расшир-го мониторинга процессов, выключил AVZGuard, вышел, перезагрузился.
Появилось предложение установить найденное неизв.оборудование. Отменяю при каждом включении компа. Связано ли с AVZ и как бороться?

Спасибо )

----------


## pig

Удалите это неизвестное устройство.

----------


## Nvidia

Насчёт перехватчиков по утилите...
Было дело...видела по отчёту,что восстановлено 7-8 функций в ходе работы антируткинта.
А может ли отсутствовать звук из за вируса? Если по одному отчёту восстановлено 44функции в ходе работы антируткинта...Даже понятия не имею,сколько он у людей сидит,а интернет есть... Но вирус есть... Только не a-connect, а z-connect

----------


## QUARQ

*Nvidia*, вирусы с москировкой под аудио прибевал не раз

----------


## Nvidia

> *Nvidia*, вирусы с москировкой под аудио прибевал не раз


 не все
да я смотрю и по логам в разделе Помогите бывает туча замаскированных процессов...Интересно,чтобы оно значило...
если перехватчики не все являются руткинтами,оно ещё может бытьо результатом работы антивиря(того же Касперского)...То когда утилита конкретно говорит в отчёте,что обнаружена маскировка процесса - это что?

----------


## Зайцев Олег

> То когда утилита конкретно говорит в отчёте,что обнаружена маскировка процесса - это что?


Это именно оно и есть - подтвержденный файкт маскировки процесса или какой-то аномалии с ним. А причин может быть миллион - утечка хендлов например, быстрый перезапуск неких процессов (например, CGI на WEB сервере), маскировка любым методом, конфликт с антивирем и иным защитным ПО, глюк и т.п. ...

----------


## QUARQ

полиморфный даже сам себя по логам боится! (это даже хорошо, вирусы его не палят) 


*Зайцев Олег*, как продвигается работа над новой версией? будет ли добавлен механизм работы с удаленным реестром? (если зараженная система не запущена то реестр: обычный текстовый фаил, почемубы не чистить его при сканировании всякой нечисти?)

----------


## Oyster

> будет ли добавлен механизм работы с удаленным реестром? (если зараженная система не запущена то реестр: обычный текстовый фаил, почемубы не чистить его при сканировании всякой нечисти?)


Под удалённым реестром обычно подразумевают доступ к реестру работающей машины через сеть. В Windows XP Home Edition такой фокус не пройдёт, про Vista и семёрку не в курсе. А для незапущенной системы есть RunScanner, упоминался в ветке про AVZ на LiveCD
P.S. И давно файлы реестра стали текстовыми?  :Wink:

----------


## QUARQ

> есть RunScanner, P.S. И давно файлы реестра стали текстовыми?


RunScanner пользуюсь далеко не все он делает как хотелосьбы а то что делает очень часто с глюками !

текстовым он был изначально , структура его малочем отлечается от ини файла (по сути) а то что у него нет расширения это не помеха...

----------


## Tvill

Здравствуйте. Скачал АВЗ с сайта автора, а при распаковке архива (конкретно распаковка баз) winrar выдаёт вот такое:

----------


## Resistant

Пользуюсь вашим продуктом очень давно, за что очень Вам признателен.
По роду работы часто приходиться иметь дело с зараженными машинами. Использую флешку защищенную от записи.... но вот возник вопрос, а нельзя ли с помощью ключей коммандной строка переопределить место хранения каталога BackUp с файлом tsw.zbk
а то при попытки внести какие либо исправления с такой флешки выдает сообщение 
Cannot create file "E:\WORK\avz4\Backup\tsw.zbk". Системе не удается найти указанный путь.

----------


## Kuzz

*Tvill*, Ну во первых "rebuilt.avz4.zip" уже указывает на то, что архив скачался не полностью/побитым. Так что лучше всего скачать его заново.

----------


## neon161275

кто может сказать что єто такое:
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=085700)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055C700
   KiST = 80504460 (284)
........ Проверка завершена
помогите, никак не избавлюсь.

----------


## NickM

*to neon161275*

виртуальный диск, типа Alcohol, DeamonTools удалите и будет счастье

----------


## Зайцев Олег

> кто может сказать что єто такое:
> 1.2 Поиск перехватчиков API, работающих в KernelMode
> Драйвер успешно загружен
> SDT найдена (RVA=085700)
> Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
> SDT = 8055C700
> KiST = 80504460 (284)
> ........ Проверка завершена
> помогите, никак не избавлюсь.


Анекдот в тему - показывает пациент доктору обрывок от бумажки с результатами анализа мочи и спрашивает - "доктор, что вы можете сказать по поводу моего зуба - там пульпит или кариес ?"  :Smiley:  Если серьезно - для точного ответа обрывка лога естественно недостаточно, нужно в разеделе "Помогите" сделать исследование по правилам, приложить все логи - тогда можно сказать, однозначно и объективно (и помочь в лечении заразы, если таковая обнаружится)

----------


## NickM

*to Зайцев Олег * 

цитата неполная, там еще spxt.sys упоминался

----------


## neon161275

єтот перехвачик вроде от алкоголя (ємуляция сд рома), проверку сделал програмой AVZ, НО ЧТО ЭТО И ЧТО СНИМ ДЕЛАТЬ Я НЕ ЗНАЮ, ИЩУ СПЕЦИАЛИСТА КОТОРЫЙ ПОМОЖЕТ В ЭТОМ

*Добавлено через 2 минуты*

Я ВСЕ СКОПИРОВАЛ, ПРОЧЕМУ СОКРАЩЕНО СООБЩЕНИЕ Я НЕЗНАЮ

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> *to Зайцев Олег* 
> 
> цитата неполная, там еще spxt.sys упоминался


Там могло все что угодно упоминаться - для точного вердикта недостаточно огрызка текстового лога, нужны все протоколы по правилам раздела "помогите" и создание темы в разделе "помогите"

----------


## neon161275

Спасибо, я прочел правила, наше разде "ПОМОГИТЕ" С этой ветки ухожу на "ПОМОГИТЕ". Спасибо

----------


## kras07

Установил Windows 7 Pro (х86), запустил AVZ 4.32. Вылетают такие окна:





Что это и как с этим бороться???

----------


## Зайцев Олег

> Установил Windows 7 Pro (х86), запустил AVZ 4.32. Вылетают такие окна:
> 
> 
> 
> 
> 
> Что это и как с этим бороться???


Следует выключит антикейлоггер в настройке AVZ на Win7 - и все пройдет

----------


## kras07

> Следует выключит антикейлоггер в настройке AVZ на Win7 - и все пройдет


А где такая настройка? Снять галку в этом чекбоксе (подчеркнул красным)?

----------


## Зайцев Олег

> А где такая настройка? Снять галку в этом чекбоксе (подчеркнул красным)?


на том-же экране ниже - "Поиск клавиатурных перехватчиков ..." - и в общем то если есть путаница между руткитами и кейлоггерами, то я советую с AVZ поосторожнее - не зная теории можно убить систему

----------


## kras07

> на том-же экране ниже - "Поиск клавиатурных перехватчиков ..."


Олег, благодарю за подсказку! А с антикейлоггером я просто ступил. Не выспался...   Ещё возник вопрос по подмене процессов и драйверов. Раньше на ХР указывалось имя процесса, у меня всегда Dr.Web "грешил" подменой. Сейчас на 7 в поле "имя" - пусто.



_Почему?_

----------


## NickM

Здравствуйте. 
Вчера заглянул в справку AVZ, приметил незначительные описки, решил сообщить разработчику:

Содержание -- Типовые примеры - -поиск подозрительных объектов по именам -- В данном примере используется уже снакомая по примеру 1 функция CheckByName

Содержание -- Скрипты управления -- работа с CLSID и BHO -- функция CLSIDFileExists -- ...Возращает false в любой другой ситуации (нет CLSID, запись CLSID в реестре.
, а также во всех разделах данной группы говорится "рекомендуется передавать без фигурных скобок", а в DelCLSID "должен предаваться без фигурных скобок!!", смущает "рекомендуется" и "должен!!" 

Содержание -- Скрипты управления -- Завершение работы и перезагрузка -- ShutdownWindows -- ...Завершение в формированном режиме может привести к потере...

Содержание -- Общие сведения -- Назначение программы -- ...система команд скриптового языка и примеры описаны справке

----------


## spiker5

при попытке запустить менеджер внедренных dll в avz вылетает ошибка. В журнале событий windows после этого появляется соответствующая запись об ошибке




> Имя сбойного приложения: avz.exe, версия: 4.32.0.0, отметка времени: 0x2a425e19
> Имя сбойного модуля: avz.exe, версия: 4.32.0.0, отметка времени 0x2a425e19
> Код исключения: 0xc0000005
> Смещение ошибки: 0x001f86d2
> Идентификатор сбойного процесса: 0x91c
> Время запуска сбойного приложения: 0x01ca86264285471d
> Путь сбойного приложения: C:\Users\spiker\Documents\avz4\avz4\avz.exe
> Путь сбойного модуля: C:\Users\spiker\Documents\avz4\avz4\avz.exe
> Код отчета: 84d00234-f219-11de-9c16-0022152efca3


можете разъяснить в чем дело и как с этим бороться? (Такое только на ноутбуке Asus - на стационаре тот же avz работает нормально.)

*Добавлено через 3 минуты*

И после установки с диска драйвера ATK и всех его компонентов (для регулирования громкости и яркости экрана с клавиатуры) который поставлялся вместе с ноутбуком перестает запускаться диспетчер процессов - сразу же вылетает окно:
*Access violation  ...что то там... in module wintrust.dll* (наподобие как в #224)

----------


## Aleksandr49

Доброго времени суток
Уже поднимался вопрос, о очень важной  возможности использования AVZ c Live CD 
http://virusinfo.info/showthread.php?t=33884
 очень хотелось бы знать, может  уже, что-то решено в этой версии?
Cспасибо.

----------


## neo4511

*Здравствуйте Зайцев Олег*! 

Пофиксите чтобы заголовок AVZ был не "Антивирусная утилита AVZ" , а в зависимости от исполняемого файла. Т.к многие вирусы отслеживают заголовки окон и закрываю их т.к находят в них слова AVZ, антивирус и т.д и т.п

Или ключ запуска который мог бы менять заголовок на нужный.

Заранее огромное спасибо!

----------


## Oyster

> Пофиксите чтобы заголовок AVZ был не "Антивирусная утилита AVZ" , а в зависимости от исполняемого файла. Т.к многие вирусы отслеживают заголовки окон и закрываю их т.к находят в них слова AVZ, антивирус и т.д и т.п
> 
> Или ключ запуска который мог бы менять заголовок на нужный.


Ключ уже есть - 

```
avz.exe am=y
```

 Удаляет заголовок окна AVZ и препятствует его закрытию. Подробнее описано в хелпе.

----------


## gjf

Это не поможет. Kates, к примеру, отслеживает по именам ресурсов в РЕ. Так что в случае сложного заражения это - не панацея.

----------


## Surfer

> Это не поможет. Kates, к примеру, отслеживает по именам ресурсов в РЕ. Так что в случае сложного заражения это - не панацея.


+1, не помогает совершенно, ни этот ключ, ни полиморфная версия.
Гмер, например, запускается, если запускать до того, как вирь загрузится через appinit_dlls.

----------


## neo4511

А где можно скачать полиморфную версию AVZ?

А можно изменить и имена ресурсов в РЕ ?

----------


## Oyster

> А можно изменить и имена ресурсов в РЕ ?


Если изменить один раз, то появятся вирусы, учитывающие это изменение. Так что либо полностью уходить на полиморфный вариант, в котором внутренности будут постоянно меняться, либо не суетиться и проводить лечение в тяжёлых случаях с загрузочных дисков или флэшек с BartPE.

----------


## neo4511

А можно выложить полиморфную версию AVZ, если она конечно существует.

Есть ключ командной строки чтобы окно AVZ было поверх всех окон.





> проводить лечение в тяжёлых случаях с загрузочных дисков или флэшек с BartPE.


А есть какой-нибудь загрузочный диск в котором AVZ определяет на каком диске установлена Windows и вносит в неё изменения?  А то при запуске AVZ на загр. диске она открывает процессы самого диска.

----------


## thetoken12

http://z-oleg.com/avz.exe , а также у помощников в сообщениях.

Если запускать AVZ в случае заражения ПК, то можно включать AVZGuard при запуске AVZ.

----------


## Aleksandr49

> А есть какой-нибудь загрузочный диск в котором AVZ определяет на каком диске установлена Windows и вносит в неё изменения?  А то при запуске AVZ на загр. диске она открывает процессы самого диска.


я тоже уже спрашивал, но очевидно, что пока нет.

----------


## QUARQ

столкнулся с лечением *Winlock* (вымогатель) решение пришло неожидано ... использую файловый менеджер который имеет особенность: если правой кнопкой мыши шелкнуть по нему в понели задачь в контекстном меню можно устоновить приоретет "на переднем плане" даже хваленый тотал этого не может !, после чего можно спокойно искать эту заразу и лечить ее ручками!

вопрос: можно ли научить AVZ данному полезному трюку ? если нет то не могли автор *Зайцев Олег* реализовать даную полезность? зарание спосибо!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Oyster

> А есть какой-нибудь загрузочный диск в котором AVZ определяет на каком диске установлена Windows и вносит в неё изменения?  А то при запуске AVZ на загр. диске она открывает процессы самого диска.


В топике AVZ on LiveCD это обсуждали, фактически проблема в том, что видны обе системы, но во всех логах и диалоговых окнах легко отличить диски C: и X:, так что это мелочи жизни  Недавно довелось выкорчёвывать Download Master - при загрузке с LiveCD замечательно отработали функции восстановления системы, снимающие ограничения (Policies) пользователя и разблокирующие диспетчер задач  :Thumbs Up:

----------


## Aleksandr49

> В топике AVZ on LiveCD Недавно довелось выкорчёвывать Download Master - при загрузке с LiveCD замечательно отработали функции восстановления системы, снимающие ограничения (Policies) пользователя и разблокирующие диспетчер задач


Этот вопрос действительно обсуждался, но, на  сколько я понял  пока нет решения этой задачи, а может ты ее решил, то подскажи, как ты это сделал.
Мне не понятно ,каким образом, при загрузке с Live CD, ты смог загрузить в AVZ  реестр зараженной системы?

----------


## Surfer

> столкнулся с лечением *Winlock* (вымогатель) решение пришло неожидано ... использую файловый менеджер который имеет особенность..


Что за менеджер ?
Кстати всё равно не особо поможет, ведь после запуска винлокера невозможно ничего больше запустить.

----------


## Oyster

> Мне не понятно ,каким образом, при загрузке с Live CD, ты смог загрузить в AVZ  реестр зараженной системы?


Для этого использовал RunScanner, его дистрибутив содержит inf- и xml-файл с настройками плагина. Этот плагин позволяет запускать в BartPE regedit с реестром неактивной системы. Оставалось сделать по аналогии - изменить вызов regedit на avz. Кстати, проще и удобнее не записывать образ BartPE на болванку, а перенести его файлы с помощью PEtoUSB на флэшку - можно обновлять AVZ без перезаписи диска и нет проблемы, что папка AVZ недоступна по записи.

----------


## neo4511

> Для этого использовал RunScanner, его дистрибутив содержит inf- и xml-файл с настройками плагина. Этот плагин позволяет запускать в BartPE regedit с реестром неактивной системы. Оставалось сделать по аналогии - изменить вызов regedit на avz. Кстати, проще и удобнее не записывать образ BartPE на болванку, а перенести его файлы с помощью PEtoUSB на флэшку - можно обновлять AVZ без перезаписи диска и нет проблемы, что папка AVZ недоступна по записи.


А можешь выложить свою версию LiveCD с AVZ.

----------


## QUARQ

> Что за менеджер ?
> Кстати всё равно не особо поможет, ведь после запуска винлокера невозможно ничего больше запустить.


я же сказал что я его запустил (Xplorer2Portable) и вывел его на передний план ,и закрыл им вражеское окно ! а суть была не в то что вы совневаетесь ,а как научить AVZ такой же возможности

----------


## PavelA

> а суть была не в то что вы совневаетесь ,а как научить AVZ такой же возможности


Автор, возможно, обратит внимание и научит. 
Не ругайтесь, здесь это не принято.

----------


## Aleksandr49

> Оставалось сделать по аналогии - изменить вызов regedit на avz. Кстати,...........


Так опиши, как ты это сделал?

----------


## QUARQ

> Так опиши, как ты это сделал?


вот тема там много всяки пе я лично пользуюсь русолайфом у которого рансканер встроен в оболочку (тоесть правой кнопкой по авз вторая строчка с верху)
http://forum.oszone.net/thread-70124-182.html

----------


## Oyster

> Так опиши, как ты это сделал?


Описал

----------


## thefox

*Зайцев Олег*, 
есть падение, есть дамп, залит сюда: http://narod.ru/disk/16686065000/avz.rar.html
система 7-ка 32-х, старые версии не падают, из "вариантов" последняя бета drweb, но в принципе на нем отключается самозащита и монитор.
падение происходит на этапе запуска проверки. результаты сбора сведений о системе тут: http://narod.ru/disk/16686085000/vir...check.zip.html

----------


## sirius

*QUARQ*, 
ты ссылку не попутал
она ведёт
Наборы - Service Pack 4 для Windows XP RUS версии 9.12.9 - декабрь 2009г. 
а ты упоминаешь



> русолайфом у которого рансканер встроен в оболочку

----------


## ddd1

Вирустотал нашел в файле avz.exe архива такое:
File ___________avz.exe received on 2010.01.07 17:45:46 (UTC)
Current status: finished 
Result: 2/41 (4.88%)
K7AntiVirus	7.10.941	2010.01.07	Trojan.Win32.Malware.1
McAfee-GW-Edition	6.8.5	2010.01.07	Heuristic.LooksLike.Win32.Suspicious.J
http://www.virustotal.com/analisis/b...64a-1262886346
Это нормально, не заражен ли файл?

----------


## QUARQ

> *QUARQ*, 
> ты ссылку не попутал
> она ведёт
> Наборы - Service Pack 4 для Windows XP RUS версии 9.12.9 - декабрь 2009г. 
> а ты упоминаешь


 извеняюсь зацепил соседнюю ссылку 
http://forum.ru-board.com/topic.cgi?...713&start=3500

----------


## gjf

После выполнения ExecuteRepair(11) AVZ упорно подозревает уже родной Диспетчер задач:



> 7. Эвристичеcкая проверка системы
> >>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE"

----------


## PavelA

А что в логе? TASKMAN.EXE не виден. Интересно бы его запустить и станд. скрипт №2 выполнить.

----------


## gjf

Павел, вот пример: http://virusinfo.info/showthread.php?t=66853
Если хочешь - отследи. Практически во всех последних темах на моей памяти, где подменялся Диспетчер задач и восстановление производилось через ExecuteRepair(11) потом появлялась строка в эвристике.

----------


## nictrace

Поддерживаю предложение *QUARQ*: нужен ключ для запуска в режиме "always on top"!

----------


## sirius

+1
локеры же как то вывешивают себя поверх всех, значит есть путь
вот бы авз сделать максимальный приоритет по вывешивания себя любимого впереди всех
Зайцеву народ в ноги поклонится наверняка

----------


## Зайцев Олег

> +1
> локеры же как то вывешивают себя поверх всех, значит есть путь
> вот бы авз сделать максимальный приоритет по вывешивания себя любимого впереди всех
> Зайцеву народ в ноги поклонится наверняка


Не поклонится  :Smiley:  Причина проста - чтобы запустить такой AVZ, который вылезет поверх окна локера нужно сначала залезть под окно локера и выполнить этот запуск ... и получается заколдованный замкнутый круг (на самом деле если AVZ запускается, то куда проще сделать батник для запуска его со скриптом, который все закарантинит и поубивает). Я конечно введу такой ключик, мне не жалко - но значимого  эффекта это не даст

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## strat

> то куда проще сделать батник для запуска его со скриптом


так чтоб скрипт сделать надо сначала лог получить )))

----------


## VV2006

AVZ с LiveCD для борьбы с последними блокерами - милое дело!
Смысла держать на рабочем столе ярлык для запуска AVZ в PE-системе большого нет, хотя многие и предусматривают добавление в контекстное меню PE-проводника "Запуск с удалённым реестром". Лучше сразу прописать в ярлыке такой запуск, у меня он выполняется avz4remote.cmd: 

```
start RunScanner.exe /y /s /t 0 avz.exe
```

Насчёт приоритетов: можно ли как из командной строки прописать AVZ в автозагрузку, причём с включенным AVZGuard? Думается, это позволило бы ускорить борьбу со зловредами-блокерами.

----------


## gjf

В тему или нет - но пусть модер переместит, если что, куда надо.



> так чтоб скрипт сделать надо сначала лог получить )))


Учитывая участившиеся случаи "советов" на оффоруме Касперского, обращаю внимание на то, что выполнение скриптов без предварительных логов - весьма опасная операция. Если её Вам рекомендует хелпер - он осознаёт риск и понимает, зачем на него идёт, если рекомендует кто-либо ещё, то нужно отказаться от такой помощи.

Кроме того, выполнение советов неизвестных личностей полностью нарушает всю стратегию лечения системы и может привести к полной её неработоспособности. В этих случаях команда хелперов не несёт никакой ответственности за последствия.

----------


## Kuzz

> так чтоб скрипт сделать надо сначала лог получить )))


http://virusinfo.info/showthread.php?t=63177 - как бы показательно))

----------


## PavelA

> причём с включенным AVZGuard?


AG=Y есть такой параметр.

----------


## VV2006

*Зайцев Олег*, 
Universal Virus Sniffer v2.80  - пример реализации режима чистого рабочего стола:


> окно запуска отображается на чистом рабочем столе как и сам uVS.
>    (для борьбы с нек. троянами создающими окна верхнего уровня)

----------


## Зайцев Олег

> *Зайцев Олег*, 
> Universal Virus Sniffer v2.80 - пример реализации режима чистого рабочего стола:


И как запустить этот "пример реализации", если рабочий стол уже блокирован ? Беда в том, что в режиме длокировки юзе ничего не может запустить - если мог бы, то тот же AVZ отлично работает без GUI - скриптом он может собирать логи, карантины, лечить - все на автомате.

----------


## VV2006

*Зайцев Олег*, дак понятно, что если "паралич" полный, и юзер лишается даже доступа к командной строке, поможет только запуск AVZ для неактивной системы c LiveCD. 
Но если зловред перекрывает рабочий стол своим окном не сразу при старте системы, если частично возможности запуска программ сохраняются, функция "Поверх всех окон" пригодилась бы для комфортной работы в GUI AVZ. В том же uVS в меню "Дополнительно" есть и горячие клавиши (F8, F9), вызывающие функции: "Поднять/опустить главное окно", "Скрыть все перекрывающие окна и опознать их владельцев".

----------


## gjf

Вообще неужели нельзя закриптовать имена ресурсов, убрать иконку, название окна - все признаки, по которым блокируется AVZ? В последних вариантах вымогателей упор именно на него. Практически всегда запускается HJT, блок идёт на Gmer, AVZ, OSAM, ComboFix, MBAM. Хотя самое забавное, что некоторые версии допускают Gmer и HJT, но напрочь блочат AVZ - боятся, видимо  :Smiley: 

Возможно, пришло время перехода с Delphi на ASM?  :Wink:

----------


## sirius

всё время натыкаюсь на противоречивые мнения
1-avz с Winpe бесполезно запускать, он сканит активную систему, что является Winpe
2-


> AVZ с LiveCD для борьбы с последними блокерами - милое дело!


очень хочется услышать разьяснения автора
что и как работать с Winpe

----------


## VV2006

*sirius*

1. AVZ с WinPE запускать полезно с рансканером для удалённой (неактивной системы) системы. А бесполезен он в WinPE для сбора информации об активном заражении, т.к. "вредные" процессы не запущены.

2. Милое дело из WinPE исследовать файлы и реестр удалённой системы, восстанавливать систему, снимать ограничения пользователя. 
Образно: вы заходите в дом, в который вторглись непрошеные гости с нехорошими намерениями. Все спят, сразу вы не знаете, кто есть кто. Но мешать вам разобраться в этом уже никто не будет.  :Smiley: 

Затем - после восстановления необходимых настроек, удаления ограничений - уже можно проводить долечивание в нормальной среде.

А насчет работы AVZ в WinPE Олега давно хотелось бы услышать многим.  :Smiley:

----------


## djshkiper

*sirius*, прочтите предыдущую страницу, там все описано

----------


## Зайцев Олег

> всё время натыкаюсь на противоречивые мнения
> 1-avz с Winpe бесполезно запускать, он сканит активную систему, что является Winpe
> 2-
> очень хочется услышать разьяснения автора
> что и как работать с Winpe


Все просто:
1. Если применять AVZ как сигнатурный сканер, то нет разницы - зверей он будет искать отлично. Равно как AVPTool, у которого сканирующий движек круче ввиду того, что по сути это полноценный сканер от KAV
2. Если вести речь от реестре, то AVZ будет реестр WinPE (т.е. того, с чего мы загрузились), а не пролечиваемой системы. И как следствие, не почистит хвосты, не покажет полезных данных, не соберет правильные логи. Тут два пути:
2.1 Не делать этого, так как бессмысленно
2.2 Применить RunScanner - см. пост *VV2006* чуть выше
В любом случае включать антируткит в WinPE бессмысленно, равно как нет смысла применять BootCleaner, AVZPM и искатель кейлоггеров

----------


## Bratez

> После выполнения ExecuteRepair(11) AVZ упорно подозревает уже родной Диспетчер задач:


Родной - *taskmgr.exe* вроде.

----------


## djshkiper

Ну а насчет маскировки более тщательной что думаете? Чтобы хотя бы блокеры, которые не полностью (баннер в центре экрана, но не на весь экран) и не сразу лочат (при определенных условиях) систему вычистить. Очень нужная функция!

----------


## gjf

> Родной - *taskmgr.exe* вроде.


Хм. И верно.  А чего тогда его не восстанавливает?

----------


## Arakcheev

Все же вариант есть. Грузиться с любого LiveCD и копировать AVZ в папку Startupa'a или копировать AVZ в любое место, а в Startup закидывать батник для запуска AVZ в ключами WS_MAXIMIZE & WS_EX_TOPMOST. Соответственно, при следующей загрузке системы, AVZ перекроет локер.

----------


## gjf

> батник для запуска AVZ в ключами WS_MAXIMIZE & WS_EX_TOPMOST. Соответственно, при дальнейшей загрузки системы, AVZ перекроет локер.


А можно ли полюбопытствовать текст такого батника?  :Smiley:

----------


## djshkiper

> для запуска AVZ в ключами WS_MAXIMIZE & WS_EX_TOPMOST


А откуда уверенность что локер не запущен таким же образом, да еще может и по таймеру такое делает со своим окном?

----------


## VV2006

Приглядел два интересных специализированных ключика AVZ: AG=Y и AM=Y.  :Smiley: 

В плане соревнования "двух противоположностей" (кто чью форточку закроет) и учитывая возможности AVZ+RunScanner, в принципе да, наверное можно написать скрипт для удалённой системы, предусматривающий при очередном нормальном запуске системы автозапуск AVZ в режиме AVZGuard: всем стоять, бояться, делать только что я скажу!  :Smiley: 

Кстати, запускать его можно было бы как из PE, так и из нормальной системы, если в ней не залочена работоспособность командной строки.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Arakcheev

> А откуда уверенность что локер не запущен таким же образом, да еще может и по таймеру такое делает со своим окном?


Все может быть. Но это же можно сделать и в AVZ, да и AVZGuard никто не отменял.

----------


## gjf

RTFM!



> Технология AVZGuard основана на KernelMode драйвере, который разграничивает  доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера.
> AVZ, (C) Зайцев О.В., http:


Если повезёт и AVZ запустится раньше зловреда - это да, поможет. Только ветки Run реестра, а также тем более Автозапуск стартуют позже localsystem-служб, внедряемых библиотек, userinit и уж точно драйверов. В таком случае зловред прибьёт AVZ ещё до того, как тот поставит AVZGuard.

----------


## Arakcheev

Варианты:
1) Переименовывать файл AVZ
2) Убрать из заголовка окна строку с AVZ (самый лучший вариант НАРИСОВАТЬ строку - CureIT делает именно это)

----------


## VV2006

*gjf*


> В таком случае зловред прибьёт AVZ ещё до того, как тот поставит AVZGuard.


Попробовать в любом случае можно, ведь не все зловреды настолько ушлые. А на случай, если правило "кто первый встал - того и тапочки" будет не в пользу AVZ, как раз и пригодился бы скрипт загрузки его KernelMode-драйвера в удалённую системы из-под WinPE.
В принципе всё решаемо и в WinPE, это всего лишь вопрос времени и удобств.

----------


## gjf

При чём здесь заголовок окна и имя файла?
Сравниваем avz.exe (полиморф):

и HiJackThis:

Почему первый лочит, а второй - почти никогда - теперь понятно?

----------


## djshkiper

Мне попадались те, которые лочат по имени файла или заголовка *любого*активного окна, даже будь то проводник. От запаковки ресурсов ничего не измениться - можете проверить. Заголовок надо убирать или делать как IceSword, например - произвольная генерация при каждом запуске.

----------


## gjf

> AM=[Y|N] - *включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками*. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32
> AVZ, (C) Зайцев О.В., http:





> HiddenMode=[0|1|2|3] - режим запуска графической оболочки AVZ:
> 0 -  Стандартный режим, окно видимо и доступно пользователю
> 1 - Окно AVZ невидимо, в трее отображается иконка. Пользователь может развернуть окно нажатием мышью на иконку. Пользователю доступно связанное с иконкой меню, позволяющее остановить и запустить сканирование.
> 2  - Окно AVZ невидимо, в трее отображается иконка, однако меню иконки заблокировано и пользователь не может развернуть окно AVZ
> *3 -  Окно AVZ невидимо, иконка в трее не отображается.* 
> 
> Настройка режима работы полезна в случае запуска AVZ для проверки рабочих мест пользователей из logon-скрипта или при помощи автозапуска.
> AVZ, (C) Зайцев О.В., http:


Проблема в том, что иногда идёт проверка именно по именам ресурсов.

----------


## neo4511

Да хорошо бы было, еслиб AVZ можно запускался через KernelMode-драйвер в удалённую системы из-под WinPE.  И при включённом AVZGuard блокировал всех зловредов.

----------


## Flooter

Прошу прощения если оффтоп, перенесите тогда плз куда нужно...

Подскажите, как заставить АВЗ просканировать диск и выдать список ТОЛЬКО файлов, не присутствующих в списках "безопасные" ?

----------


## Зайцев Олег

> Прошу прощения если оффтоп, перенесите тогда плз куда нужно...
> 
> Подскажите, как заставить АВЗ просканировать диск и выдать список ТОЛЬКО файлов, не присутствующих в списках "безопасные" ?


Элементарно.  Меню "сервис", там "поиск файлов на диске", в окне поиска:
- задать, где искать (дерево слева)
- указать маски поиска (типовые примеры можно выбрать из списка)
- задать диапазон размеров  и фильтр по датам (это по необходимости)
- поставить птички "Исключить файлы, ..."
и нажать Пуск. Все найденные файлы - это то, что не опознается системой и самим AVZ как легитимное и удовлетворяет прочим заданным условиям.

----------


## aintrust

> ...
> *AM=[Y|N] - включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками.* 
> ...


Да-да, этот ключ включает именно "базовую" защиту. Преодолевается такая защита очень просто, в нескольких строчках кода. 




> ...
> *3 - Окно AVZ невидимо, иконка в трее не отображается.* 
> ...


Если окно невидимо, это не означает, что его нет вовсе! Оно точно так же присутствует в системе, как и любое другое окно, и ищется точно так же! С точки зрения зловреда совершенно не важно, видимо оно или нет - найти его не представляет никакого труда.

----------


## Зайцев Олег

> Да-да, этот ключ включает именно "базовую" защиту. Преодолевается такая защита очень просто, в нескольких строчках кода. 
> 
> Если окно невидимо, это не означает, что его нет вовсе! Оно точно так же присутствует в системе, как и любое другое окно, и ищется точно так же! С точки зрения зловреда совершенно не важно, видимо оно или нет - найти его не представляет никакого труда.


Еще как важно - многие вымогатели столь примитивны, что не умеют енумерировать окна. Они либо тупо смотрят, какое окно сейчас видимо (обычно проверяя запрос заголовка Foreground окна), или в цикле просто делают свое окно видимым и размещенным поверх остальных. Первое лечится прятаньем своего окна - тогда на поверхности будет окно блокера, второе - созданием своего собственного пустого десктопа для своего окна. Естественно, что это мера от сверхпримитивных блокеров - окна нетрудно енумерировать и найти скрытое окно, равно как и несложно искать посторонние десктопы ... и прибить программу с такими "фокусами маскировки" можно в 3-5 строчек кода. Если такое появится скажем в AVZ, блокеры тут-же начнут с этим бороться - так что это не выход

----------


## aintrust

Да, конечно...

----------


## VV2006

*Зайцев Олег*, так всё-таки что, получается при работе в заражённой системе действенных способов заставить перекрывающее окно зловреда "стоять, бояться" нет? Ну, кроме деактивации зловреда из-под WinPE? AVZGuard даст запуститься "вражескому" окну, если AVZ прописать в загрузку первым? И, главное, как правильно прописать такую загрузку?

----------


## Зайцев Олег

> *Зайцев Олег*, так всё-таки что, получается при работе в заражённой системе действенных способов заставить перекрывающее окно зловреда "стоять, бояться" нет? Ну, кроме деактивации зловреда из-под WinPE? AVZGuard даст запуститься "вражескому" окну, если AVZ прописать в загрузку первым? И, главное, как правильно прописать такую загрузку?


Методы есть - окно можно прибить вместе с приложением, сдвинуть в другой десктоп, сделать прозрачным наконец ... но на каждую такую миру есть контрмера и главная пробелма в том, как пользоватею запустить такой чудо - разблокиратор, если у него ПК заблокирован  :Smiley:

----------


## Биомеханик

А можно из под WinPE при помощи AVZ восстановить безопасный режим "большой системы". Ну или сделать тестовый запуск (как через msconfig)? Или убрать из авто запуска "большой системы" все что не прошло по базе безопасных?

----------


## VV2006

*Биомеханик*, восстановить из WinPE безопасный режим "большой системы" можно, выполнив соответствующий (10.) скрипт AVZ для удалённой системы. Загрузку в безопасном режиме при следующем запуске этой системы можно включить, отредактировав соответствующим образом Boot.ini.

Из WinPE можно многое сотворить с удалённой (неактивной) системой, в частности: отключать, включать службы, выгружать, менять статус загрузки у драйверов или удалять их, восстанавливать кусты реестра из имеющихся точек восстановления, редактировать автозагрузку и мн.др.

----------


## santy

*VV2006*, в реестре какой системы: C или X, скрипт (10) АВЗ будет восстанавливать загрузку Safe Mode? (в X, он, конечно, не сможет ничего записать.) *Зайцев Олег*, насколько сложно в АВЗ сделать фильтрацию записей реестра, чтобы выделить записи загрузочной или удаленной (обнаруженной) системы? Можно ли по отфильтрованным записям выполнить исследование системы, с тем чтобы создать скрипт и запустить его на исполнение с последующей перезагрузкой системы, убрав загрузку с WinPe? Будет ли работать Gmer с диска WinPE запущенный через Runscanner как АВЗ?

----------


## VV2006

*santy*, насчёт восстановления Safe Mode и вообще, изменений, вносимых в реестр удалённой системы ещё раз повторю: при запуске в WinPE программ с удалённым реестром (через RunScanner) все изменения в реестре применяются для удалённой системы.

----------


## strat

в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro  l\SafeBoot есть пункт AlternateShell = cmd.exe
запуск пункта равнозначен "Безопасный режим с поддержкой командной строки"

может туда записывать avz?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## djshkiper

Насчет am=y




> В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта.


Но сделать его невидимым - запросто.

Плюс ко всему, можно легко находить AVZ в дереве окон по следующим признакам: текст в классах окна (TGroupBox, TPageControl) говорит сам за себя. Все эти элементы управления также можно делать невидимыми или просто блокировать.

Надо получше маскировку придумать  :Smiley:  Как вариант - использование картинок в качестве контролов, скрытие ресурсов из исполняемого файла и прочие "навороты"  :Smiley:

----------


## priv8v

Олегу про это говорили и даже сорцы показывали, но т.к зловреды пока это не делают, то и делать превентивный удар по ним (усилением авз подобным образом) - тоже нет смысла.

----------


## Droh

Подскажите, пожалуйста.
В лицензионном соглашении AVZ есть фраза "для некомерческого использования"
Имеется ввиду что ее нельзя продавать или вообще легально использовать в офисе, гос., мед и прочих организациях?

----------


## Зайцев Олег

> Подскажите, пожалуйста.
> В лицензионном соглашении AVZ есть фраза "для некомерческого использования"
> Имеется ввиду что ее нельзя продавать или вообще легально использовать в офисе, гос., мед и прочих организациях?


Продавать нельзя, а использовать - без проблем (никаких ограничений на использование в корп. сетях или учреждениях нет)

----------


## Инмар

Олег, спасибо за замечательную программу.

Жаль, что на Win 7 она вылетает после окончания обычной проверки, хотя остальные функции работают нормально. Это как-то решаемо или проблема только у меня?


«скрин#1» на Яндекс.Фотках

----------


## Droh

> Продавать нельзя, а использовать - без проблем (никаких ограничений на использование в корп. сетях или учреждениях нет)


Тогда меня сбивает с толку фраза "предназначена для некоммерческого применения"? Каков смысл в ней? Может проще написать - бесплатна для любого использования, но явно указать запрет на продажу?
Практически любая программа freeware, GNU и т.п. распространяется с запретом распространять ее за деньги. 
Или я ошибаюсь?

----------


## Гриша

> Олег, спасибо за замечательную программу.
> 
> Жаль, что на Win 7 она вылетает после окончания обычной проверки, хотя остальные функции работают нормально. Это как-то решаемо или проблема только у меня?
> 
> 
> «скрин#1» на Яндекс.Фотках


http://virusinfo.info/showpost.php?p=563916&postcount=3

----------


## Зайцев Олег

В AVZ появилась новая фича - восстановление системы может вычищать статические маршруты (делая их бекап на всякий случай), а встроенное в AVZ средство резервного копирования - создавать резервную копию статических настроек. Необходимо это на случай, если зловред создает посторонние статические маршруты для блокировки антивирусных сайтов. Применять это следует по необходимости, скоро появится визард, который будет удалять явно зловредные маршруты в автоматическом режиме. Функционал появится в AVZ после обновления баз ...

----------


## gjf

> Применять это следует по необходимости


Можно ссылку на реальный пример, где эта необходимость присутствует? Так будет понятнее. Спасибо.

----------


## Зайцев Олег

> Можно ссылку на реальный пример, где эта необходимость присутствует? Так будет понятнее. Спасибо.


http://forum.kaspersky.com/index.php?showtopic=154585 - вот например. У пострадавшего hosts в порядке, зверь убит и следов от него нет, а Инет не работает - ввиду того, что зловред крмое всего прочего создал левые маршруты на подсети, в которых находятся сервера AV компаний.

----------


## gjf

То есть в логах это никак не видно, определяется по косвенным признакам?

----------


## Зайцев Олег

> То есть в логах это никак не видно, определяется по косвенным признакам?


Сообщение появится завтра - я делаю автопроверку и вывод разных сообщений, равно как авточистку явно левых маршрутов

----------


## Макcим

Поскольку это важное обновление, пересобирите пожалуйста AVZ со свежими базами.

----------


## aintrust

> Необходимо это на случай, если зловред создает посторонние статические маршруты для блокировки антивирусных сайтов.


Прогрессируют! =) Впрочем, это вполне очевидное направление "прогресса"...

----------


## Зайцев Олег

Функционалдетекта проблемы добавлен. Теперь в логах могут появляться сообщения типа


```
>> Обнаружен статический маршрут к сайту производителя антивируса
>> The static route to a site of the manufacturer of an antivirus is detected

```

Появление такой записи означает, что AVZ продетектировал наличие статического маршрута, однозначно принадлежащего сайтам или серверам антивируса. В базе пока только то, что однозначно удалось идентифицировать (сайты ЛК, DrWEB, Bitdefender, Symantec, NOD32, virusinfo, avira, virustotal и т.п.), список будет расширяться. Мастер поиска и устранения проблем на автомате может вычищать такие записи из реестра, устраняя только явно троянские маршруты и не трогая остальные

----------


## Макcим

> Мастер поиска и устранения проблем


Какая степень присвоена этой проблеме (1-3)? В AVPTool функционал тоже добавлен?

----------


## Юльча

> В базе пока только то, что однозначно удалось идентифицировать (сайты ЛК, DrWEB, Bitdefender, Symantec, NOD32, virusinfo, avira, virustotal и т.п.)


могу дать hosts после вируса "с роутами", там сайты расписаны + роуты с IP этих же сайтов
может найдете, что можно еще добавить )

----------


## gjf

*Юльча*, hosts и роуты - это несколько разные вещи.

----------


## Юльча

я знаю ) 

хотя по идее IPы вообще не нужны, достаточно hosts и nslookup.. но мало ли )


вобщем, прикрепила на всякий случай  :Smiley: 

~180 записей в роутах и ~800 в hosts  :Shocked:

----------


## Зайцев Олег

> я знаю ) 
> хотя по идее IPы вообще не нужны, достаточно hosts и nslookup.. но мало ли )
> вобщем, прикрепила на всякий случай 
> ~180 записей в роутах и ~800 в hosts


И как это связано с удалением посторонних маршрутов ?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Юльча

вложение было продолжением этого сообщения




> *В базе пока только то, что однозначно удалось идентифицировать* (сайты ЛК, DrWEB, Bitdefender, Symantec, NOD32, virusinfo, avira, virustotal и т.п.)


мне показалось как-то связано. если не связано и не нужен...

----------


## Зайцев Олег

> вложение было продолжением этого сообщения
> мне показалось как-то связано. если не связано и не нужен...


Оно не связано никак  :Smiley:  Маршруты зверя являются левыми маршрутами на сети класса "C" - а там 253 адреса. В этот маршрут может попадать всего 1-2 IP серверов антивирусов, а может и вообще ни одного - так как IP у серверов меняются ... а остальные 200 с копейками блокируются "за компанию", или не блокируются - может, у пользователя такой маршрут специально задан и без него ничего работать не будет (пример - маршруты на сервера провайдеров). И возникает задача - точно понять, какие маршруты однозначно левые и их можно прибить (или поднять аларм), а какие могут быть и полезными ... - задача неоднозначная. Блокируемых имен из Hosts у меня немного больше, чем в архиве - всего 1.86 миллиона штук  :Smiley:  Да вот только толку то от них ...

----------


## tar

Я точно помню, что это обсуждалось, но не могу найти где...
В общем, после работы с AVZ по удалению зловреда, появилось какое-то неизвестное оборудование, которое теперь висит в Диспетчере устройств. Как на это реагировать?
Еще. Одна флэшка теперь не хочет определяться на излеченном комп-е, хотя на других определяется...

----------


## pig

> после работы с AVZ по удалению зловреда, появилось какое-то неизвестное оборудование, которое теперь висит в Диспетчере устройств.


И не удаляется?

----------


## gjf

Ну "устройство" - это скорее всего нотификатор. Выполните скрипт:


```
begin
 ExecuteStdScr(6);
RebootWindows(false);
end.
```

После перезагрузки должно исчезнуть.

А флешка - попробуйте отформатировать. Если не поможет, значит ой...  :Sad:

----------


## pig

Не ой:



> хотя на других определяется

----------


## Surfer

Средство восстановления работы USB устройства без переустановки ОС

----------


## tar

> И не удаляется?
не пробовал

gjf, спасибо, попробую!

----------


## AndreyKa

*Олег*, существует ли в скриптовом языке команда очистки протокола AVZ?

----------


## Зайцев Олег

> *Олег*, существует ли в скриптовом языке команда очистки протокола AVZ?


Такой команды не существует, я ее добавил в 4.34

----------


## Br0m

> Такой команды не существует, я ее добавил в 4.34


скорый выход 4.34 детектед  :Wink:  ?

----------


## Arakcheev

*Зайцев Олег*, 
Ожидаемый AVZ будет полиморфным?

----------


## Зайцев Олег

> *Зайцев Олег*, 
> Ожидаемый AVZ будет полиморфным?


Нет. Какой толк от полиморфной версии, статически лежащей на сайте ? Как и сейчас, полиморфная сборка будет генерироваться отдельно (в нее интегрируюся базы и т.п.)

----------


## antanta

Иногда не удается запустить AVZ  и другие утилитки. Особенно обидно, когда зверек внедряется примитивно, через AppInit_DLLs . Приходится грузиться с PE.
Или задействовать драйвер BC от AVZ, не используя сам AVZ. 
 Утилитка, которая устанавливает и настраивает драйвер, не импортирует функции из user32.dll. По этой причине AppInit_DLLs ей по барабану. Конфигурируется через ini-файл (должен лежать в той же папке, название менять нельзя). Саму утилиту можно переименовывать, не меняя длины имени.
http://slil.ru/28543818
 Сам файл драйвера не выкладываю из легальных соображений. Пример конфига в комплекте. Реализованы копирование, удаление фала, удаление и отключение сервиса. Если параметр StartNow установить в YES, драйвер запустится, попытается выполнить задания и удалится. Не факт, что сразу удалится из базы. Поэтому, при повторном запуске лучше назначить другое имя (секция [OPTIONS], параметр ServiceName).

----------


## gjf

> Сам файл драйвера не выкладываю из легальных соображений.


Драйвер чего? BC от AVZ? Дык а какие на него "легальные соображения"?

----------


## antanta

> Драйвер чего? BC от AVZ? Дык а какие на него "легальные соображения"?


Мало ли  :Smiley: 
Без разрешения неудобно. К тому же, раздобыть его не сложно. Если кто не умеет, то ему оно и не надо  :Smiley:

----------


## gjf

Ну да, тоже верно  :Smiley: 

*Добавлено через 8 часов 28 минут*

*antanta*, немного в офф, но в принципе о сабжевом дрове речь...
Касательно Вашей утилиты. Непонятно - регистрирует ли она драйвер в системе, или он уже должен быть зарегистрирован? Имхо польза была бы в следующем случае.
1. При запуске утилита проверяет, зарегистрирован ли ВС в системе. Если да - то п.3, если нет - идём дальше.
2. Копируем файл drv.sys из папки, откуда запущена утилита, под рэндомным именем в %System32%\drivers\ и регистрируем его.
3. Запускаем основной функционал.

Исходя из 



> DrvFileName=D:\Common\ANTSOFT\AsmSnatcher\xyz.sys
> DrvCopyTo=C:\windows\system32\drivers\vdm3mtq3.sys


я подозреваю, что так и реализовано. Но непонятен смысл ServiceName - забейти туда рэндом, лучше всё равно ничего не придумать!

Не понял по поводу StartNow=NO - это значит, что выполнение запланируется при следующей перезагрузке? Но так и должно быть, толку от ВС при уже загруженной системе?

----------


## Зайцев Олег

> Имхо польза была бы в следующем случае.


После этого зловредописателям остается только воспользвоаться готовым инструментом, например для уничтожения антивирусов ...  а мы потом будем сильно удиваляться, почему драйвер BC детектят все, кому не лень ...

----------


## gjf

Олег, AVZ детектят уже давно. И полиморф тоже. И благополучно прибивают. Это если о детекте со стороны малвари. Я сомневаюсь, что зловредописатели, научившиеся его детектить, до сих пор не обращали внимания на ВС. И если человек сделал что-то с добрым умыслом - это только хорошо.

Если речь о детекте со стороны антивирусов - мы их в правилах просим отключать при начале сканирования. Да и в любом случае при паранойе можно и по результатам хипса заподозрить. Кстати, мы и сейчас небезгрешны.

P.S. На моей памяти когда-то уже были логи, где зловред пользовался компонентом AVZ, или я что-то путаю?

----------


## antanta

> регистрирует ли она драйвер в системе, или он уже должен быть зарегистрирован?


   Регистрирует. Я почему-то думал, что драйвер полностью удаляется после применения. Следовательно, не предполагал, что он мог быть уже зарегистрирован. Делать такие проверки , конечно, нужно (с точки зрения "культуры производства"), но ... В данном случае - излишне.




> 2. Копируем файл drv.sys из папки, откуда запущена утилита, под рэндомным именем в %System32%\drivers\ и регистрируем его.


  Мне не лень создать свое рандомное имя. Думаю, этого имени хватит на весь жизненный цикл утилиты. А кодить рандом было лень. 
  Тогда уж и отображаемое имя рандомизировать надо бы. Как его еще по этому имени не прибивают до сих пор? Не говоря об именах параметров.



> Но непонятен смысл ServiceName - забейти туда рэндом, лучше всё равно ничего не придумать!


С этим -то же.



> Не понял по поводу StartNow=NO - это значит, что выполнение запланируется при следующей перезагрузке? Но так и должно быть, толку от ВС при уже загруженной системе?


 Думаю, удалить ключ реестра можно и при загруженной системе. например AppInits тот же. Сейчас как раз добавляю туда новый функционал, вот там смысл будет точно очевиден.
 И вообще, даже без перезагрузки BC может кое-что.
По поводу злодейского применения: у меня KIS сто раз переспросил, точно ли я собираюсь себе вируса в систему установить  :Cheesy: 
 Если какая-то поделка не сможет распознать установку драйвера, то поделку в топку. Если юзер согласится, то это уже психиатрия (как здесь любят говорить). 
 И вообще, пусть народ знает, чьё кунфу сильнее. Реклама не повредит.




> После этого зловредописателям остается только воспользвоаться готовым инструментом, например для уничтожения антивирусов


Я уже показывал сэмпл, который совершает нехорошие поступки. Там использовался AVZ целиком. В этом случае возможностей куда больше.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## gjf

*antanta*, короче всё, вопрос снимается. Дальше спрашивать лень  :Smiley: 
Олег, Вы были правы - примите мои извинения.

----------


## Alex_Goodwin

вспомните бигль  :Smiley:

----------


## antanta

На нашем местном форуме выпилили исходник процедуры на паскале. Студэнт один попросил. Процедура для рекурсивного удаления файла по маске.
  Считаете вредным - удаляйте пост. Делов то.

*Alex_Goodwin*, Бигль юзал AVZ?

----------


## Гриша

> Бигль юзал AVZ?


Да, драйвер, у него защита от повторной загрузки=> настоящий AVZ не мог грузить дров...

----------


## Alex_Goodwin

+ других аверов быренько дровом авз килял  :Smiley:

----------


## Зайцев Олег

В AVZ новая эвристическая фича - появится после обновления, базы уже заряжены на сервера апдейта. Суть фичи в том, что Киберхелпер накопил массу наблюдений за реальными делами и обучился до уровня, позволяющего машине писать скрипты и обновлять базы эвристики AVZ. Первый опыт - новая эвристика, основанная на поиске наиболее характерных зверей, часто обнаруживаемых в логах и карантинах. Пока в опытном режиме, запись в логе в случае срабатывания имеет вид:


```
>>> C:\WINDOWS\system32\_svchost.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
```

Суффикс (CH) расшифровывается как *C*yber*H*elper ... что позволяет отличать детект по правилам, созданным машиной, от правил детекта, добавленных человеком. Если стоит птичка "Копировать подозрительные в карантин" - то такие файлы автокарантинятся (но естественно не удаляются и ничего с ними не делается). Новая фича автоматом срабатывает при сканировании по умолчанию, а также работает в скриптах 2,3,4 - применяемых для исследования системы. Если приживется и не вызовет проблем - то такой функционал будет расширен на порядки.

----------


## antanta

> + других аверов быренько дровом авз килял


 Я догадывался, что идея юзать этот дров могла прийти не только в мою голову. Сам я еще полгода назад  использовал втихаря драйверок как альтернативу дампингу файлов реестра (через виндовый reg.exe и API). Кстати, гуглил даже на эту тему. Не выгуглил, удивился.
 Оказалось, - секрет полишинеля. 
 И вообще, к сведению некоторых, количество людей, умеющих писать ядреные драйвера немного превышает единицу.
 Хотел отправить ссылку на wasm.ru в раздел "юмор", но , после пары адекватных постов передумал.
 Ой. Мой комп голосом движка "Алена" сообщил, что я засиделся на ВИ. И пора мне топать на msdn. Боюсь, она права  :Shocked:  Тожа - киберхелпер  :Cheesy:

----------


## PavelA

> Ой. Мой комп голосом движка "Алена" сообщил, что я засиделся на ВИ. И пора мне топать на msdn. Боюсь, она права  Тожа - киберхелпер


Офф: Последние слова плохо понял. Не надо женских имен.

----------


## PavelA

списочек маршрутов для 20-ой команды восстановления.



> 77.246.96.96 255.255.255.224 10.16.64.1 10.16.82.28 1
> 78.47.87.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> 78.108.86.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> 78.137.164.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> 79.125.5.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> 80.86.107.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> 80.153.193.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> 80.190.130.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> 80.190.154.0 255.255.255.0 10.16.64.0 10.16.82.28 1
> ...

----------


## Юльча

*PavelA*, говорят что не надо )




> Оно не связано никак  Маршруты зверя являются левыми маршрутами на сети класса "C" - а там 253 адреса. В этот маршрут может попадать всего 1-2 IP серверов антивирусов, а может и вообще ни одного - так как IP у серверов меняются ... а остальные 200 с копейками блокируются "за компанию", или не блокируются - может, у пользователя такой маршрут специально задан и без него ничего работать не будет (пример - маршруты на сервера провайдеров). И возникает задача - точно понять, какие маршруты однозначно левые и их можно прибить (или поднять аларм), а какие могут быть и полезными ... - задача неоднозначная. Блокируемых имен из Hosts у меня немного больше, чем в архиве - всего 1.86 миллиона штук  Да вот только толку то от них ...

----------


## PavelA

PavelA, говорят что не надо )
 -- Мне это просто в "Помогите!" прислали.

----------


## AndreyKa

AVZ в упор не видит 


> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM  E~1\kolbi43\LOCALS~1\Temp\der252.tmp


http://virusinfo.info/showthread.php?t=69013

----------


## Alvares

Сорри за оффтоп, не знаю, где еще обратить внимание.
Выслал архивчик на киберхелпера с заведомо известной дрянью. Он занес их в базу безопасных.
http://virusinfo.info/showpost.php?p...postcount=5521
http://virusinfo.info/showpost.php?p...postcount=5522

----------


## Зайцев Олег

> Сорри за оффтоп, не знаю, где еще обратить внимание.
> Выслал архивчик на киберхелпера с заведомо известной дрянью. Он занес их в базу безопасных.
> http://virusinfo.info/showpost.php?p...postcount=5521
> http://virusinfo.info/showpost.php?p...postcount=5522


Кибер - это штука умная, хоть и безмозглая ... и никого никуда просто так машина не внесет. Карантин этот получен 29.01.2010 в 12:53:20, в логе зверинец, но звери новые и на момент изучения не детектировались толком никем (из всего набора только один inf имел детект), а копирайты файлов при этом очень похожи на Nero AG. Вот поэтому машиной принято решение дать им высокий приоритет изучения на предмет установления, Nero это или как. В результате в 29.01.2010 в 14:48:40 был установлен вердикт, что это не Nero, а зверь, получивший имя Trojan-Ransom.Win32.Chameleon.bq (прчичем зверь с копирайтами, выдранными из Nero). А отчет так выглядит потому, что это же ИИ (Искусственный Интеллект) - потому первичный отчет дается по объективным данным (детекту антивирей и анализу приоритетов на момент получения архива), а затем начинается длительное и детальное думанье с целью уточнения, проверки, перепроверки, изучения, автоанализа, привлечения вирлаба если надо и т.п.

----------


## Oyster

> первичный отчет дается по объективным данным (детекту антивирей и анализу приоритетов на момент получения архива), а затем начинается длительное и детальное думанье с целью уточнения, проверки, перепроверки, изучения, автоанализа, привлечения вирлаба если надо и т.п.


Может, для большей ясности изменить формулировку первичного ответа с "В очереди на добавление в базу безопасных" на "В очереди на тщательный анализ" или "В очереди на дополнительный анализ"?  :Smiley:

----------


## vistaorxpmoy

вчера "чистил" компьютер с ХР, от очередного "рециклера" вот кусок лога:
Файл успешно помещен в карантин (C:\RECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe)
>>>Для удаления файла C:\RECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_USERS,S-1-5-21-789336058-920026266-839522115-1005\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell,explorer.exe,C:\R  ECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe,Explorer.exe
[микропрограмма лечения]> Удален элемент автозапуска HKEY_USERS,S-1-5-21-789336058-920026266-839522115-1005\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell,explorer.exe,C:\R  ECYCLER\S-1-5-21-0994575935-3821309207-303045598-0772\nissan.exe,Explorer.exe
----
после перезагрузки сам запустился проводник, поэтому я стал искать дальше и выяснил, что Авз не почистил строчку
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe,C:\\RECYCLER\\S-1-5-21-0994575935-3821309207-303045598-0772\\nissan.exe,Explorer.exe"
Авз был запущен от имени Администратора, однако загружен был Пользователь.(не был почищен HCU Пользователя)
В самом начале(ещё до лечения) в  диспетчере Автозапуска АВЗ я не увидел чёрных строчек соответствующих приведённым здесь записям.

*Добавлено через 8 минут*

Я, конечно, ДИЛЕТАНТ, но похоже на новую дыру в системе безопасности ХР, аналогичную периоду распостранения Кидо

*Добавлено через 4 минуты*

Ниссан кстати новый, модельный ряд 2010 года, так сказать)))

----------


## Зайцев Олег

> Я, конечно, ДИЛЕТАНТ, но похоже на новую дыру в системе безопасности ХР, аналогичную периоду распостранения Кидо


AVZ в логе сканирования покажет красным, что подменен ключ запуска explorer и мастером поиска и устранения проблем это устранит. Плюс к тому, я сделал данную проверку в эвристической чистке системы - сегодня выйдет апдейт баз с ним

----------


## vistaorxpmoy

> AVZ в логе сканирования покажет красным, что подменен ключ запуска explorer и мастером поиска и устранения проблем это устранит. Плюс к тому, я сделал данную проверку в эвристической чистке системы - сегодня выйдет апдейт баз с ним


1.Да, я видел красные строчки, но только для HKLM, или HCU Администратора, когда загружена учётка админа, НО, к сожалению, не запускаю я на компьютерах учётку админа,(ну или к счастью),
и следовательно Авз запускаю "от имени" админа под учёткой пользователя, ну и авз не видит HCU загруженной учётки Пользователя.(я в принципе понимаю почему не видит) А ХОТЕЛОСЬ чтобы видел :Sad: 
(Мой монолог про ХР)
СПС за ответ

----------


## mikeiwsh

> Олег, спасибо за замечательную программу.
> 
> Жаль, что на Win 7 она вылетает после окончания обычной проверки, хотя остальные функции работают нормально. Это как-то решаемо или проблема только у меня?
> 
> 
> «скрин#1» на Яндекс.Фотках


Скорее всего это у многих проблема с АВЗ в Вин7
http://forum.izcity.com/index.php/to...67228.html#new

----------


## RIGEL

Прошу прощения, уважаемые! 

У меня AVZ (точнее её драйвер uzixndcx.sys) начал вызывать BSOD.. WinXP SP3. Всегда у меня работал нормально AVZ, драйвер мониторинга процессов всегда был загружен и AVZ всегда боеготов. Никаких изменений в системе с тех пор не проводил, кроме установки заплатки KB978207 от майкрософт. Теперь же BSOD еще на стадии загрузки системы случается.. К сожалению, не могу сказать сразу ли после установки заплатки начался конфликт. По-моему, работало все нормально и после неё.
Полная проверка DrWeb с последними базами ничего подозрительного не находит. Да и не лажу я по сети с этого компьютера, он занят только раздачей торрентов фактически, вероятность его заражения чем-либо минимальна. 
Прошу помощи. С AVZ расставаться не хочется, но как только устанавливаю драйвер мониторинга - во время перезагрузки BSOD.  :Sad: 

Вот что записано в файле дампа (BlueScreenView): 

Текст ошибки      : DRIVER_PAGE_FAULT_IN_FREED_SPECIAL_POOL
Код ошибки        : 0x100000d5
Параметр 1        : 0x82508ffc
Параметр 2        : 0x00000000
Параметр 3        : 0xf8650889
Параметр 4        : 0x00000000
Драйвер причины   : uzixndcx.sys
Адрес причины     : uzixndcx.sys+1889

Имя файла         : ntoskrnl.exe
Адрес в стеке     : ntoskrnl.exe+c661
С адреса          : 0x804d7000
На адрес          : 0x806ede80
Размер            : 0x00216e80
Отпечаток времени : 0x48a40bb9
Строка времени    : 14.08.2008 12:40:57
Название продукта : Операционная система Microsoft® Windows®
Описание файла    : Системный модуль ядра NT
Версия файла      : 5.1.2600.5657 (xpsp_sp3_qfe.080814-1300)
Компания          : Корпорация Майкрософт
Полный путь       : C:\WINDOWS\system32\ntoskrnl.exe

Имя файла         : uzixndcx.sys
Адрес в стеке     : uzixndcx.sys+1889
С адреса          : 0xf864f000
На адрес          : 0xf8659000
Размер            : 0x0000a000
Отпечаток времени : 0x4755c6ea
Строка времени    : 04.12.2007 23:30:18

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kuzz

*RIGEL*, полезно еще и сами минидампы в архиве приаттачить.

----------


## RIGEL

*Kuzz*, сделано!

----------


## mbentefor

Уважаемый Олег, на вашем сайте я отправлял отчет об ошибке в семерке (видео).
Можно узнать, пришел ли он, и будет ли это исправлено? Спасибо.

----------


## Зайцев Олег

> Уважаемый Олег, на вашем сайте я отправлял отчет об ошибке в семерке (видео).
> Можно узнать, пришел ли он, и будет ли это исправлено? Спасибо.


Ошибка при сканировании - пропадающая при выключении антикейлоггера ? Это известный и уже исправленный глюк, скоро релиз новой версии

----------


## mbentefor

А тот факт что отображается очень много процессов с пустым именем (они появляются после завершения процессов в Windows 7)?
И огромное количество сообщений о перехвате библиотекой собственных функций...

----------


## RIGEL

Так это... Господа! Мне ответит кто-нибудь?  :Smiley:

----------


## Зайцев Олег

> Так это... Господа! Мне ответит кто-нибудь?


Что кроме операционки стоит на ПК (Firewall, антивирус, HIPS) ?

----------


## RIGEL

*Зайцев Олег*, спасибо.
Только DrWeb (44й версии), никаких файрволов, брандмауэр Windows отключен полностью (в службах). Никакого нового ПО по отношению ко времени, когда все работало отлично, не устанавливал. Оно мне и не требуется, т.к. все необходимое всегда ставлю сразу после установки системы раз и надолго. 
Что делал еще.. Чистил пыль внутри системного блока, при этом вынимал батарейку из материнской платы, после чего заново выставлял системное время, ну и это, конечно значит, что вносились изменения в BIOS. Однако изменения эти не принципиальные и могут ли они быть причиной??.. Моих познаний не хватает.. 
Мне почему-то кажется (правда не могу сказать на основании чего), что проблема возникла после обновления AVZ через Файл > Обновление баз.

P.S. Еще одна мысль осенила вдруг... Половина знакомых подхватила как-то троян, блокирующий Windows, так вот, помогая им, я прочел на сайте Лаборатории Касперского совет переименовывать AVZ.exe в iexplore.exe, чтобы обмануть троян, блокирующий запуск любых программ, кроме браузера... Так я... переименовал заранее, на всякий случай.  :Smiley:  Может причина в этом крыться?

----------


## Макcим

> В AVZ появилась новая фича - восстановление системы может вычищать статические маршруты


Когда фича появится в AVPTool?

----------


## AlViS

Сегодня (10-02-2010) обновил базу AVZ сразу появились подозрительные файлы

C:\WINDOWS\system32\msv1_0.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\msv1_0.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\cryptdll.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\cryptdll.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\sensapi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sensapi.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\WLDAP32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\WLDAP32.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\rasadhlp.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\rasadhlp.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\system32\hnetcfg.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\hnetcfg.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано
C:\WINDOWS\System32\wshtcpip.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\wshtcpip.dll>>> Поведенческий анализ 
 Типичное для кейлоггеров поведение не зарегистрировано


Ошибка AVZ ???

----------


## Макcим

Проведите процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519 Запишите имя файла на сервере и сообщите его здесь.

----------


## Rene-gad

> Типичное для кейлоггеров поведение не зарегистрировано


В этом Вы видите ошибку?  :Smiley:

----------


## Макcим

Каким скриптом AVZ удалить запись из AppInit_DLLs?

----------


## PavelA

строчку с AppInit_DLLs приведи полностью.

----------


## aintrust

> Каким скриптом AVZ удалить запись из AppInit_DLLs?


Просто запиши необходимое значение в реестр, исключив из него все "лишнее", только и всего...

----------


## AndreyKa

После обновления баз AVZ при запуске сканирования выдаёт ошибку - *Range check error.*

PS. Заменил файл syscheck.avz из под-папки Base на тот, что в исходном архиве avz4.zip и всё заработало.

----------


## Зайцев Олег

> После обновления баз AVZ при запуске сканирования выдаёт ошибку - *Range check error.*
> 
> PS. Заменил файл syscheck.avz из под-папки Base на тот, что в исходном архиве avz4.zip и всё заработало.


Глюк в базе из-за добавления скрипта новой эвристики. Исправил, спасибо !

----------


## antanta

> Сорри за оффтоп, не знаю, где еще обратить внимание.
> Выслал архивчик на киберхелпера с заведомо известной дрянью. Он занес их в базу безопасных.
> http://virusinfo.info/showpost.php?p...postcount=5521
> http://virusinfo.info/showpost.php?p...postcount=5522


 Вы таки луддит?

----------


## еvg_zosk

А какую смысловую нагрузку вложили в  ExecuteRepair(21)? 


Некоторые пользователи и так считают, что большой брат следит за ними © 

P>S> И когда будет обновлена справка AVZ? А то в ней еще не отражена 20 команда восстановления.

----------


## gjf

*evg_zosk*, лучше бы эти пользователи думали перед заражением, чем после.
Смысловая нагрузка - в удалении вредоносных DNS.
А что не ясно по 20-й команде?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## еvg_zosk

> А что не ясно по 20-й команде?


описания нет в справке.  :Smiley:  остальное ясно




> Смысловая нагрузка - в удалении вредоносных DNS.


Это понятно, интересно как к таким изменениям в компьютеры пользователей отнесутся в корпоративном секторе и пользователи с развитой паранойей  :Smiley:

----------


## Зайцев Олег

> Это понятно, интересно как к таким изменениям в компьютеры пользователей отнесутся в корпоративном секторе и пользователи с развитой паранойей


В корпоративной среде админ или урежет пользователям права (и DNS не изменится), или оборвет шутникам уши (уже после скрипта 20). Если права и уши останутся нетронутыми - плохой он админ ... на обычном ПК все проще - чаще всего DNS выдает или домашний роутер, или провайдер (в обоих случаях по DHCP - скрипт 20 на этот процесс не влияет) - вручную его устанавливают редко. Если такое происходит - то раз пользователь сделал это раз, то сделает и второй раз ... В остальном:
1. Скрипт сам по себе не запускается (рекомендующие его запуск хелперы знают, что делают)
2. DNS он не совсем стирается ... если DNS не задан - то ничего не происходит. А вот если задан - он заменяется на публичный DNS от Гугла - т.е. на домашнем ПК Инет в результате не пропадет и в общем то ничего страшного не случится

----------


## Макcим

> А вот если задан - он заменяется на публичный DNS от Гугла - т.е. на домашнем ПК Инет в результате не пропадет и в общем то ничего страшного не случится


Зависит от провайдера. У меня например (как и у всех абонентов ЮТК в Краснодарском крае) работает только DNS провайдера, остальные блокируются.

----------


## Зайцев Олег

> Зависит от провайдера. У меня например (как и у всех абонентов ЮТК в Краснодарском крае) работает только DNS провайдера, остальные блокируются.


Предлагаю опыт:
1. перейти в режим командной строки Windows или в консоли *nix  скомандовать *nslookup*. 
2. Когда запустится утилита nslookup (она консольная, должна рассказать о том, какой DNS сервер применяется по умолчанию), там скомандовать *ya.ru* - утилита выведет на консоль три IP адреса яндекса
3. далее скомандовать *server 8.8.8.8* - утилита должна подтвердить тот факт, что он сделан дефолтным
4.  скомандовать *ya.ru* - утилита или выведет на консоль те-же IP адреса яндекса (полученные уже от сервера 8.8.8.8 ), или сообщит об ошибке. Результат можно приложить сюда - любопытно взглянуть

----------


## Макcим

Любопытно  :Smiley:  Вы как всегда правы. 

Когда досили ДНС-сервера нашего любимого провайдера, весь край сидел без инета и ни какие публичные ДНС-сервера не работали.

----------


## Зайцев Олег

> Любопытно  Вы как всегда правы. 
> 
> Когда досили ДНС-сервера нашего любимого провайдера, весь край сидел без инета и ни какие публичные ДНС-сервера не работали.


Что - сработало ?  :Smiley:  В теории должно, так как блокировка внешних DNS - странно для любого провайдера ... (тем более ЮТК, внутренний DNS которого почему-то отвечает всему миру). Другое дело в том, что DNS провайдера в теории кеширующий и быстрее отвечает, чем расположенный в миру

----------


## Макcим

Да, работает.  :Smiley:  Для ЮТК это странно вдвойне, можно спокойно рассылать спам, вирусы, сканить порты и ни чего не будет. Конечно может это было частью атаки, а в штатном режиме ни чего не блокируется.

----------


## aintrust

> ... (тем более ЮТК, внутренний DNS которого почему-то отвечает всему миру).


Видать потому, чтобы его было проще DDOS'ить! =)

----------


## RIGEL

А у меня от AVZ приключается BSOD...  :Sad:  Но это никому не интересно..  :Smiley:

----------


## aintrust

@ *RIGEL*

Насколько я понимаю, без запуска AVZ у вас все нормально работает? Нет никаких BSOD'ов, все устойчиво и штатно?

Если да, то: скачайте последнюю версию AVZ с сайта, обновите ее и попробуйте с ней поработать, т.е. посканируйте, посмотрите в различные диспетчеры и т.п. Сделайте это, не загружая пока AVZ Guard. Ничего не нужно переименовывать, оставьте все как есть. Затем подгрузите Guard и поработайте с ним. После этого расскажите здесь, что происходит, в какие моменты возникает BSOD и т.п. Может, это натолкнет кого-то на мысль, что же у вас там такое происходит...

PS. Да, и все полученные файлы с дампами обязательно пришлите сюда.

----------


## PavelA

ExecuteRepair(21) - меняет DNS или ExecuteRepair(20) (который по route специализировался)?

----------


## Гриша

DNS меняет ExecuteRepair(21)

----------


## RIGEL

*aintrust*, только что проделал все, что Вы сказали.. 
Удалил папку с имевшимся AVZ (хоть и не было сомнений в том, что она идентична той, что я скачаю), скачал с сайта архив, распаковал, ничего не меняя запустил, обновил базы. До этой стадии, включительно, все хорошо (как и раньше), но как только устанавливаю драйвер расширенного мониторинга процессов - BSOD во время перезагрузки системы. Случается примерно в тот момент, когда должна появиться надпись "Приветствие". В безопасном режиме выгружаю драйвер мониторинга процессов и все отлично работает, никаких сбоев. Но как только устанавливается uzixndcx.sys BSOD случается всякий раз, без каких-либо исключений. Пока не выгрузишь в безопасном режиме. 
Причем так было не всегда, наоборот - AVZ всегда работал без замечаний, сколь-нибудь значимых изменений (кроме тех, о которых я сказал на предыдущей странице) в системе не было и я склоняюсь к мысли, что причина возникла после очередного обновления баз. 

Архив с минидампом BSOD'а, случившегося в результате крайнего эксперимента содержит также скриншот окна программы BlueScreenView и два текстовых файла с содержанием подсвеченных программой пунктов.

----------


## Torvic99

Какой основной антивирус используете?

----------


## Kuzz

*Torvic99*, http://virusinfo.info/showpost.php?p...&postcount=369

*Добавлено через 44 минуты*

*RIGEL*, проверьтесь в "Помогите", чтобы быть уверенным что ничто не мешает AVZ

----------


## RIGEL

*Torvic99*, DrWeb 44й версии. Компьютер старый, занят, в-основном, торрент-раздачами, поэтому антивирус выбрал для него наименее ресурсоемкий на свой взгляд. Конфликтов с ним тоже никогда не было, а опыт их совместного использования - годы, не меньше.

*Kuzz*, а где это "Помогите"? Что-то я не нашел ничего подобного.

----------


## Kuzz

http://virusinfo.info/forumdisplay.php?f=46

----------


## aintrust

> Причем так было не всегда, наоборот - AVZ всегда работал без замечаний, сколь-нибудь значимых изменений (кроме тех, о которых я сказал на предыдущей странице) в системе не было и я склоняюсь к мысли, что причина возникла после очередного обновления баз.


Вы имеете ввиду обновление баз AVZ? Если да, то можно попробовать загрузить архив AVZ с сайта (он имеет дату 21.08.2009) и все проверить, не делая вообще никаких обновлений. Однако, скажу честно, я сомневаюсь, что дело в обновлениях.

Теперь далее. Файл _ntoskrnl.exe_, установленный у вас в системе, имеет версию 5.1.2600.5657. Это несколько странно, т.к., это довольно старый билд. У меня, к примеру, на SP3 этот файл имеет версию 5.1.2600.5913. У вас в порядке с системными обновлениями?

Теперь что касается самих падений. Давайте для начала сделаем так: вы проверитесь в разделе "Помогите", после чего мы продолжим "расследование", ок?

----------


## RIGEL

*aintrust*, ОК!  :Smiley:  
Правда я все еще не пойму, как там проверяться...

У меня все обновления, но только до декабря 2008го,  :Smiley:  после этого ставилась только заплатка KB978207 ("на 8 дыр", которая). Думаете это может быть причиной? Тот факт, что система год не обновлялась?

----------


## aintrust

> Думаете это может быть причиной? Тот факт, что система год не обновлялась?


Полагаю, что вряд ли... А в чем причина того, что вы перестали обновляться? Если это нелицензионная Windows, то на полуавтомате вы можете вполне нормально обновляться хотя бы "критическими" обновлениями.

PS. Раздел "Помогите!" находится тут: Помогите!
PPS. Кстати, Windows у вас откуда бралась и как именно ставилась?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kuzz

> Теперь далее. Файл ntoskrnl.exe, установленный у вас в системе, имеет версию 5.1.2600.5657. Это несколько странно, т.к., это довольно старый билд.


Но, наверное, с измененным экраном загрузки)

----------


## RIGEL

*Kuzz*, что значит "с измененным экраном загрузки"? У меня что "левый" какой-то ntoskrnl.exe?  :Smiley: 

*aintrust*, у меня стоит вот эта сборка: 
http://forum.simplix.ks.ua/viewtopic.php?id=15&p=1 
от 20.11.2008
Я сторонник мнения, что в таких сложных продуктах, как ОС, лучше без отсебятины и выбрал эту сборку потому, что в ней никакой отсебятины нет. Только официальные обновления Microsoft и драйверы, все это в виде удобного загрузочного диска, включающего в себя WinPE и несколько других полезных вещей за пределами дистрибутива Windows. Словом, лучшее, что мне приходилось встречать. Никогда еще не было замечаний к работе этой сборки ни у меня, ни у многих моих знакомых, у которых она стоит. 
Не обновляю её просто потому, что компьютер уже стар для того, чтобы продолжать вьючить на него все новые тюки.. Чтобы легче дышалось ему. Критическое обновление (январское на 8 уязвимостей) поставил и все. А автоматическое обновление работает без ограничений, если его включить.  :Smiley: 

P.S. Создал тему с логами проверок в "Помогите": 
http://virusinfo.info/showthread.php?t=71330

----------


## aintrust

> У меня что "левый" какой-то ntoskrnl.exe?


Может да, может нет, сложно сказать... Нельзя исключить того, что часть компонентов системы (в том числе и ядра) пропатчена.




> P.S. Создал тему с логами проверок в "Помогите": 
> http://virusinfo.info/showthread.php?t=71330


Хорошо, потом отпишитесь сюда о результатах проверки.

----------


## djshkiper

У меня одновременно пара вопросов и предложений. Если какой-нибудь СМСер на весь экран выводит окно и ни в каком режиме не дает загрузиться, то кроме загрузочного диска ведь никаких вариантов по сути нет?

Но! Если не ошибаюсь, активен режим загрузки командной строки. Так вот вопрос - прав ли я? В любом ли случае он активен или его можно как-то тоже заблокировать или отключить?

И, если я прав, собственно, предложение. Сделать консольную версию AVZ, в которой содержался бы самым минимум для устранения программ подобного класса и не только:
- восстановление всех секций автозагрузки (удаление подмены Winlogon'а, диспетчера задач и т.п.) и временный запрет на запуск всех неподписанных (если это можно проверить консольно) или вообще всех не-системных значений автозапуска, которые потом с помощью самой же AVZ чтобы можно было вернуть на место просто установив галочки.
- запись AVZ в качестве загрузчика по умолчанию, на случай если основные системные файлы заражены.
- возможно, еще что-то, сейчас с утра больше ничего не могу придумать  :Smiley: 

Таким нехитрым образом можно будет устранять случаи заражения ранее неподвластные. Что скажете?

И еще второй вопрос, можно ли организовать GUIшной версии AVZ подключение к реестру зараженной системы и работу с ним? Хотя бы к реестру. И хотя бы самый минимум работы с ним - наподобие того что указан к консольной версии.

----------


## VV2006

*djshkiper*, 



> организовать GUIшной версии AVZ подключение к реестру зараженной системы и работу с ним




```
start RunScanner.exe /sd /y /t 0 avz.exe
```

Выше уже обсуждалось, в т.ч. и возможность подмены AVZетом режима ком.строки. Практическая полезность и первого и второго испытана и подтверждается.

----------


## djshkiper

Я читал все вышеуказанное. Но предлагаю это встроить в сам AVZ, без сторонних программ типа RunScanner'а.

----------


## Зайцев Олег

> Я читал все вышеуказанное. Но предлагаю это встроить в сам AVZ, без сторонних программ типа RunScanner'а.


а какой в том смысл ? Можно конечно встроить в AVZ RunScanner или его аналог + Linux либо PartPE (или наоборот), получить небольшой дистрибуив мегабайт на 150 - только вот для чего ? Админ сам соберет для себе загрузочный диск (и все всякого сомнения сможет поместить туда свежий AVZ и настроить RunScanner), пользователь же это никогда сам делать не будет.

----------


## djshkiper

Ну может тогда например сделать официальный плагин для BartPE, а не использовать один из десятка кустарных вариантов? Или полный набор, но возможностей по минимуму, именно антивирусный вариант PE. Драйвера дисковых систем, RunScanner и AVZ. Это вроде в ветке AVZ LiveCD предлагалось/обсуждалось, но теперь там тишина.

----------


## Зайцев Олег

> Ну может тогда например сделать официальный плагин для BartPE, а не использовать один из десятка кустарных вариантов? Или полный набор, но возможностей по минимуму, именно антивирусный вариант PE. Драйвера дисковых систем, RunScanner и AVZ. Это вроде в ветке AVZ LiveCD предлагалось/обсуждалось, но теперь там тишина.


RunScanner - стандатный метод, не вижу никакого резона делать еще один его аналог. Плюс стоит подумать - BartPE нельзя распространять, пользователь сам должен генерить себе диск из своей лицензионной системы. А по статистике только 25% обратившихся за помощью могут с первго раза приложить логи и карантины (которые генерируются автоматом) ... как много пользователей смогут и захотят сами создать образ PartPE, поместить туда AVZ и т.п. ?! Человек 15-20 ... и потратить месяц на создание плагина + потом его поддерживать для этого немного смешно (тем более что Boot дисков с разными сборками Windows дикое количество, их делают все кому не лень, у каждой разновидности есть свои поклонники, плюсы и минусы - и нет совершенно никакой стандартизации)
Для подавления же вымогателей есть и тестируется особая технология, предполагающая укладывание спец-версии AVZ в папку автозапуска и перезагрузку (а сделать это можно загрузившись с чего угодно)

----------


## santy

> Для подавления же вымогателей есть и тестируется особая технология, предполагающая укладывание спец-версии AVZ в папку автозапуска и перезагрузку (а сделать это можно загрузившись с чего угодно)


Олег, можно подробнее об особой технологии и спец-версии AVZ?

----------


## Зайцев Олег

> Олег, можно подробнее об особой технологии и спец-версии AVZ...


Это полиморфная версия (одним файлом, код (включая критические имена ресурсов, классы окон и т.п.) меняется при каждой сборке, базы зашифрова и встроены прямо в EXE - как следствие он работает одним файлом из любого места на диске. Для подавления вымогателей имеет набор фич (всегда поверх всех окон с контролем этого, запуск на отдельном десктопе, запуск без создания видимого она вообще в полностью автоматическом режиме ...)

----------


## djshkiper

А каким образом он будет записываться на запуск в активной системе? Изменяя какие-то системные файлы или другим способом?

Или эта версия себя просто в стандартную папку автозагрузки будет ложить? В таком случае ведь вирус записанный в реестре/службой всегда загрузится раньше и сможет предотвратить запуск любых приложений из других мест автозагрузки, в том числе и из стандартной папки.

----------


## Vvvyg

Олег, а можно откуда-нибудь скачивать полиморфный AVZ с более-менее актуальными базами? Если сейчас это нельзя, то, может, есть смысл выкладывать его на странице AVZ?
И большая просьба - очень нужен ключ командной строки для автоматического обновления баз.

----------


## Kuzz

> И большая просьба - очень нужен ключ командной строки для автоматического обновления баз.


http://www.z-oleg.com/secur/avz_doc/scr_demo9.htm

*Добавлено через 1 минуту*




> а можно откуда-нибудь скачивать полиморфный AVZ


У некоторых хелперов в подписи есть линки на "свежий" полиморф. И ссылка (как правило) постоянная

----------


## Vvvyg

*Kuzz*, я всегда знал, что RTFM - универсальный способ решения проблем, спасибо за наводку  :Wink: 

*Добавлено через 9 минут*




> У некоторых хелперов в подписи есть линки на "свежий" полиморф. И ссылка (как правило) постоянная


Оттуда и качаю, но это не очень удобно, с оффсайта было бы проще. К тому же мне пока попадались варианты только с базами на момент выхода 4.32.

----------


## Kuzz

Ну вот я обычно выкладываю тут.

----------


## Oyster

> В таком случае ведь вирус записанный в реестре/службой всегда загрузится раньше и сможет предотвратить запуск любых приложений из других мест автозагрузки


Можно выкрутиться через AutoExNT или создание своей службы. Своя служба со случайным именем и полиморфным экзешником предпочтительнее, чтобы активный вымогатель не препятствовал её созданию или запуску.

----------


## Vvvyg

*Kuzz*, спасибо, ставлю ссылку в автообновление качалке.

----------


## djshkiper

Скорее бы вышла данная версия AVZ, ибо вымогатели уже задолбали, а коды сгенерированные онлайн-сервисами принципиально не ввожу. Хочу заносить эту заразу в базы, чтобы другие пользователи избегали подобных мучений, как то - загрузочные диски, спецрежимы, подключение реестра и т.п.

----------


## Kuzz

*djshkiper*, 



> как то - загрузочные диски, спецрежимы, подключение реестра и т.п.


 все равно понадобятся.
Пока окно вымогателя развернуто на весь экран и перекрывает остальные окна - нет возможности что-то запустить.
А значит и новая версия должна сначала как-то попасть в зараженную систему и быть запущена.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## djshkiper

*Kuzz*
Я немного о другом. О том, чтобы те вирусы, с которыми таким образом я совладаю, определялись антивирусами пользователей в последствии, тем самым предотвращая сам факт заражения и воспроизведение описанных мною мучений  :Smiley: 

*Добавлено через 2 часа 6 минут*

Создал только что LiveCD с AVZ. Не работает менеджер автозапуска - ошибка USER32.dll. Также было бы неплохо узнать о драйверах и службах неактивной системы. Как лучше поступить в таком случае? С помощью чего узнать подобную информацию или как модифицировать/дополнить диск чтобы это стало возможно?

----------


## RIGEL

> Цитата:
> P.S. Создал тему с логами проверок в "Помогите": 
> http://virusinfo.info/showthread.php?t=71330 
> 
> Хорошо, потом отпишитесь сюда о результатах проверки.


Вот:
http://virusinfo.info/showpost.php?p=587302&postcount=2
, вроде проверка ничего особенного не обнаружила.

----------


## aintrust

> Вот:
> http://virusinfo.info/showpost.php?p=587302&postcount=2
> , вроде проверка ничего особенного не обнаружила.


Завтра выйду на работу, посмотрю присланный вами дамп и попробую понять, по какой причине может возникать указанная вами проблема. Будьте готовы к небольшим экспериментам с ПО, установленным у вас на компьютере! =)

Тем не менее, вы можете совершенно спокойно продолжать использовать AVZ, просто не загружая драйвер мониторинга, т.к. необходимость в загрузке этого драйвера на практике возникает крайне редко.

----------


## gjf

Есть два полиморфа: этот и этот. Первый - самый новый, обновляю регулярно. Второй - спецверсия, использовать только в случаях, если не удаётся запустить первый.

*djshkiper*, а вот это зря: всё равно не угонитесь, потому как новые версии методом репака сделать очень просто. Наиболее быстро и удобно - ввести код, снести мешающее окно - потом обязательно зачистить хвосты через AVZ и, при необходимости, другие утилиты.

----------


## aintrust

> ... посмотрю присланный вами дамп и попробую понять, по какой причине может возникать указанная вами проблема.


Дамп я посмотрел, место падения в драйвере довольно интересное, я бы даже сказал "своеобразное". Скажите мне, пожалуйста, вот что: после загрузки драйвера мониторинга у вас все штатно происходило, BSOD'ов не возникало никогда? Попробуйте поработать какое-то время, часик-другой. Попробуйте также остановить мониторинг с выгрузкой драйвера - в этом случае тоже все ОК? 

PS. Отпишитесь мне в личку, т.к., полагаю, дальнейшие выяснения вряд ли будут кому-то интересны.

----------


## AndreyKa

*Олег*, снова 2 дня подряд не выходят обновления баз AVZ!
Давно такого не замечал.

----------


## Зайцев Олег

> *Олег*, снова 2 дня подряд не выходят обновления баз AVZ!
> Давно такого не замечал.


Я провожу глобальную профилактику моего оборудования - могут быть мелкие нестыковки и сбои. Базы с обновлением за 2 дня обновлены на зеркалах обновления

----------


## PavelA

Олег!
Вот такое AVZ не видит:


```
O4 - HKLM\..\Run: [NTFS_ext_drv] \\?\globalroot\systemroot\system32\ntfs_ext7.exe
```

----------


## Зайцев Олег

> Олег!
> Вот такое AVZ не видит:
> 
> 
> ```
> O4 - HKLM\..\Run: [NTFS_ext_drv] \\?\globalroot\systemroot\system32\ntfs_ext7.exe
> ```


Еще как видит - я не поленился проверить. Есть тема/семпл, где такое наблюдается ??

----------


## PavelA

Есть. http://virusinfo.info/showthread.php?t=71978

----------


## Зайцев Олег

> Есть. http://virusinfo.info/showthread.php?t=71978


Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:58:32, on 22.02.2010

Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 22.02.2010 17:31:08

Между запусками прошло примерно 30 минут. Я нашел этого зверя по MD5 - он действиетельно создает такой ключ и этот ключ отлично виден в логах. Следовательно, или юзер его сам прибил, или ESET у него на ПК очнулся от спячки и забил зверя. Т.е. ключ в AVZ просто обязан быть виден, и в базе кибера есть почти сотня логов с таким зверем
А вообще нет, поправка - в 4.32 в парсере имени файла есть глюк, который привидит к тому, что запись в менеджере автозапуска есть, но имя там \\ вместо полного ... но проявляется такое только в случае, если зверя уже нет на диске под указанным именем - если зверь есть, то то все работает.

*Добавлено через 10 часов 50 минут*

Только что вышло очередное обновление AVZ - в него включена обновленная эвристика, которая генерируется по статистике Киберхелпера

----------


## Kubus Jido

Приветствуем нового участника (ТЕ меня) , всем доброго здравия , вам лично и вашему компьютеру . Вопрос к Олегу Зайцеву . Есть ли в планах дальнейшего усовершенствования AVZ опция , раcширения AVZguard способностью блокировать сетевые соединения ? Подключаемая к базе данных ликвидных программ , с возможностью соединения доверенным программам (например браузеру) ... Так же есть интерес возможности пополнять базы данных доверенных-проверенных; программ вручную , отдельной сингатурой для личного пользования ... Я не в состоянии оценить целесообразность предложения лично , было бы не нужно , не спрашивал бы ... Прошу участников воздержаться  от коментариев на тему почему это мне не нужно .. И заранее благодарю Олега за любой ответ , на поставленный вопрос .. Спасибо , без вашей утилиты работать невозможно ... Дальнейших успехов .

----------


## santy

Олег, в чем (по мнению КиберХелпера) заключается подозрительность имени "r_server.exe"?
===
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\r_server.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена

----------


## Зайцев Олег

> Олег, в чем (по мнению КиберХелпера) заключается подозрительность имени "r_server.exe"?
> ===
> 7. Эвристичеcкая проверка системы
> >>> C:\WINDOWS\system32\r_server.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
> Проверка завершена


А в том, что r_server.exe - очень опасная штука ... и он или поставлен самим пользователем (что для пользователя вообще-то странно), или злодеями

----------


## PavelA

и он или поставлен самим пользователем (что для пользователя вообще-то странно),  -- А может это Админ поставил, чтобы рулить машиной?

----------


## Зайцев Олег

> и он или поставлен самим пользователем (что для пользователя вообще-то странно), -- А может это Админ поставил, чтобы рулить машиной?


Если AVZ применяется на ПК пользователя, то там никаких админов нет и radmin на его ПК крайне странен. Если AVZ применяется в корп. сети - то его применяет админ или IT-шник этой сети, а не юзер - а специалист сам ставил этот самый radmin и знает, нужен он на ПК его пользователей или нет ... и сможет оценить этот аларм адекватно

----------


## aintrust

Правильно ли я понимаю, что сообщение



> 7. Эвристичеcкая проверка системы
> >>> C:\WINDOWS\system32\r_server.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)


является реакцией на любой файл с именем _r_server.exe_, находящийся в каталоге _%SystemRoot%\system32_? =)

----------


## Зайцев Олег

> Правильно ли я понимаю, что сообщение
> 
> является реакцией на любой файл с именем _r_server.exe_, находящийся в каталоге _%SystemRoot%\system32_? =)


Не обязательно - эвристика очень гибкая. Но если брать именно эту (с пометкой "(CH)") - то да, там идет поиск нескольких тысяч объектов с наиболее популярными именами или CLSID, если объект найден - берутся сигнатуры и сравниваются с известными малварями и чистыми. Если малварь или похоже - идет подозрение именно на малварь, иначе - просто "файл с подозрительным именем" - и в стандартном срипте исследования они попадают в список подозрительных отчета + автокарантинятся, если найдено соответствие с чистыми - то реакция подавляется. микропрограммки такого поиска генерируются автоматически, опираясь на данные о свежем зверье и на результаты лечения. Это упрощает первый шаг анализа, так как получив такой карантин можно или подтвердить "звериность" найденного, или убедиться в том, что r_server.exe является именно RA и задать вопрос пользователю, сам ли он его поставил. Я оцениваю эффективность метода, если он покажет свою полезность - то будет введн на постоянной основе как одна из методик экспресс-эвристики

----------


## Nerimash

Олег, у меня к Вам вопрос: планируете ли Вы перекомпилировать AVZ на x64 платформу? Приблизительно в какое времья можно ожидать полноценную 64-разрядную версию?

----------


## Зайцев Олег

> Олег, у меня к Вам вопрос: планируете ли Вы перекомпилировать AVZ на x64 платформу? Приблизительно в какое времья можно ожидать полноценную 64-разрядную версию?


"Перекомпилировать" не совсем корректный термин, точнее сказать "переписать", так как отличий очень много. Но есть два встречных вопроса:
1. Что такое "полноценная версия" (т.е. что сейчас конкретно неполноценного)
2. зачем она нужна, если обычный зверь 32-х разрядный (и он поражает x32 и x64 системы), а каких-то спец зверей под x64 пока не видно

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nerimash

Под полноценной версией, я имею ввиду AVZ с полноценной поддержкой для x64 систем. Сейчас она не полная, так как AVZ например не удается получить доступ к системным файлам типа csrss.exe lsass.exe и.т.п не удается их карантинить (в случае какой либо внештатной ситуации),  не работает бутклинер. 
Та версия что есть(имею ввиду 32-х разрядная) меня в целом устраивает, но она не работает корректно на x64 системах, поетому я и поднял даный вопрос.
Не обьязательно переписывать все, достаточно чтобы Вы зделали возможность карантина и / или удаления x64 процессов( в том числе и kernel-mode драйверов и служб), зделали полноценную поддержку  бутклинера и антируткита ну в принцыпе этого было бы достаточно.

----------


## Зайцев Олег

> Под полноценной версией, я имею ввиду AVZ с полноценной поддержкой для x64 систем. Сейчас она не полная, так как AVZ например не удается получить доступ к системным файлам типа csrss.exe lsass.exe и.т.п не удается их карантинить (в случае какой либо внештатной ситуации), не работает бутклинер. 
> Та версия что есть(имею ввиду 32-х разрядная) меня в целом устраивает, но она не работает корректно на x64 системах, поетому я и поднял даный вопрос.
> Не обьязательно переписывать все, достаточно чтобы Вы зделали возможность карантина и / или удаления x64 процессов( в том числе и kernel-mode драйверов и служб), зделали полноценную поддержку бутклинера и антируткита ну в принцыпе этого было бы достаточно.


Антируткит там пока не нужен - появятся ITW x64 руткиты и будет проблема, как с ними бороться - будет и средство. x64 процессы карантинятся и удаляются без проблем скриптом. Необходимо просто понимать, что в x64 среде системные папки парные - "Program Files" и "Program Files (x86)", ime и "ime (x86)", msagent и msagent64, system32 и SysWOW64 - и так далее. Аналогично с ключами в реестре. И система виртуально показывает соответствующему процессу соответсвующие папки/ключи - x64 процессу одни, x32 - другие. И если я сделаю AVZ x64 процессом - то ... он перестанет видеть x32 файлы и начнет видет x64 !! В том то главная беда и состоит, что скажем kernel32.dll существует в системе в двух экзеплярах. Так как зверье у нас x32 - то выгоднее "видеть" именно в режиме x32.

----------


## Nerimash

Ну у меня скриптом "4" почему то нормально карантинятся только драйвера Симантека (которые в силу  своей архитектуры и есть x32) все осталные "недоверенные" типа csrss не карантинятся. Чем это можно исправить или лучше написать свой скрипт для карантина который вместо стандартного авто карантина буде использовать BC_QrFile ? 
Да и еще вопрос почему не выполняется BC_LogFile? Это может свидетельсвтовать от том что бутклинер не отработал или вобще небыл выброшен?

----------


## Zeroes

*Зайцев Олег*, 

Hello!

А программа у кого-нибудь нормально работает под Win7?
отправил только что репорт через
http://www.z-oleg.com/secur/avz/report.php

----
AVZ 4.32 с обновлением баз на 25.02.2010
при работе с Win7 x86 (с последними обновлениями) вылетает с Exception (100%
воспроизведение) проверил на 3х компах с Win7. 

Вылет происходит после отображения информации:

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Сканирование длилось 00:00:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Скриншот:
http://screenshot.su/show.php?img=2d...c299a215c4.jpg


----

----------


## Юльча

работает нормально, но поиск кейлогеров в win7 нужно отключать  :Smiley: 
об этом писалось на форуме уже много раз  :Wink: 

*Добавлено через 2 минуты*

например тут

----------


## Vadim_SVN

Вопрос по ключу командной строки:
В онлайн хелпе (п.13.2) NQ=[Y|N] - сетевой режим карантина.
В онлайн хелпе (п.15.43.8 ) nw=Y - ... Этот ключ переключает карантин в "сетевой режим".



> Параметры запуска AVZ в этом случае:
> \\my_server\AVZ\avz.exe Priority=-1 *nw=Y nq=Y* HiddenMode=2 Script=\\my_server\AVZ\netscan.avz


Как понимаю, более правильный ключ, это NQ, тогда за что отвечает nw (и почему в строке запуска используются оба)?

----------


## Зайцев Олег

> Вопрос по ключу командной строки:
> В онлайн хелпе (п.13.2) NQ=[Y|N] - сетевой режим карантина.
> В онлайн хелпе (п.15.43.8 ) nw=Y - ... Этот ключ переключает карантин в "сетевой режим".
> 
> Как понимаю, более правильный ключ, это NQ, тогда за что отвечает nw (и почему в строке запуска используются оба)?


NQ - документированный ключ. NW - не работает в текущих версиях, он был в внутренних версиях от 2003-2004 года и по смыслу был аналогичен набору параметров _NQ=Y HiddenMode=3 Priority=-1_

----------


## dm2003

Добрый день. А планируется в скором времени выход новой версии AVZ?

----------


## polword

```
>>  Тайм-аут завершения процессов находится за пределами допустимых значений
>>  Тайм-аут завершения служб находится за пределами допустимых значений
>>  Тайм-аут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений 
>>  Разрешен автозапуск с HDD
>>  Разрешен автозапуск с сетевых дисков
>>  Разрешен автозапуск со сменных носителей
>>  Нарушение ассоциации SCR файлов
>>  Подмена диспетчера задач
>>  Модифицирован ключ запуска проводника
>>  Internet Explorer - заблокирована настройка домашней страницы
>>  Заблокирован пункт меню Справка и техподдержка
 и т.д.
```

может решение этих проблем, также как например таких


```
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
  . . . .
```

 вынести вниз в раздел дополнительные операции или отделить ниже в отдельный подраздел (название придумать) - чтобы не тратить время на копи-пасте Нажал и команда уже в скрипте.. 
Но так будет не наглядно я думаю и опять же потеря времени-на прокрутку вниз...


Нагляднее было бы вот так(как для списка процессов, модулей пространства ядра и т.д.)



тогда вот с этим 



> 1. визард TSW - с уровнем 2: ExecuteWizard('TSW', 2, 2, true);
> 2. прицельный запуск, который появится в 4.34:
> ExecuteWizard('TSW', 1, 1, true, 50);
> ExecuteWizard('TSW', 1, 1, true, 51);
> ExecuteWizard('TSW', 1, 1, true, 52);


программа бы разобралась сама, что надобно, то бы и подставила в скрипт- хелперу только кликнуть.
Решение можно вынести либо как уже повелось - под проблему или же как на рисунке справа.
Это конечно мое видение  ситуации. Может рассмотрим такой вариант.

----------


## arnyc

При добавлении списка файлов из системной папки в папку Quarantine для анализа через окно _Copy Files to Quarantine_ в окне Лог появляется сообщение, что файлы добавлены, но в обновленном списке файлов окна Quarantine их нет. Заметил, что происходит не со всеми файлами, добавление 1-й порции прошло нормально. Судя по названиям в списке, дубляжей не добавлял. В чём причина?

П.С. Добавлял файлы, для которых AVZ залогил *IAT modification detected* или *export table found in section .text*, хотя автокарантином они в папку добавлены не были. Или их анализировать службе помощи форума не имеет смысла?

----------


## polar_owl

> При добавлении списка файлов из системной папки в папку Карантин для анализа через окно Copy Files to Quarantine в окне Лог появляется сообщение, что файлы добавлены, но в обновленном списке файлов окна Quarantine их нет. Заметил, что происходит не со всеми файлами. Судя по названиям в списке, дубляжей не добавлял. В чём причина?


Я думаю, что они скорее всего проходят по базе безопасных. 
Если не прав, поправьте...

----------


## amcenter

AVZ при проверке зациклился на одной папке с архивами (проверяет ее содержимое до бесконечности), как можно пропустить проверку определенной папки коли у него такие проблемы при проверки бывают!

----------


## pig

Лучше определить архив, на котором циклится проверка, и отправить Олегу на разбор полётов.

----------


## Asasa

У меня при работе AVZ Dr.Web в файле AVZ_xxxx_1.tmp (где х-комбинация цифр) обнаруживает подряд 3 разных вируса.
Что-бы это могло значить?

----------


## Зайцев Олег

> У меня при работе AVZ Dr.Web в файле AVZ_xxxx_1.tmp (где х-комбинация цифр) обнаруживает подряд 3 разных вируса.
> Что-бы это могло значить?


Это значит, что WEB почему-то "мышей не ловит" (слудет запустить его на полное сканирование и лечение дисков - для профилактики). Подробности - в документации: http://z-oleg.com/secur/avz_doc/faq_7.htm

----------


## Зайцев Олег

Только что вышел апдейт баз AVZ с новым видом эвристики - поиском зловредных BHO от современных троянов-вымогателей, различных рекламных и шпионских программ. Сообщение в логе отмечается как "Файл с подозрительным именем (CH - CLSID)", файл вносится в список подозрительных в исследовании системы и автоматически карантинится при включенном автокарантине. Эвристик защищен от реагирования на "хвосты" в реестре и легитимные файлы, перекрывает примерно 250 популярных семейств зловредов. Проверка выполняется в ходе ЭПС.
Этот эвристик полностью поддерживается киберхелпером и будет периодиечски актуализироваться по мере появления на VI или 911 опыта в виде обнаружения новых вредителей, устанавливающих BHO, или в случае автоматического отлова системой подобного зловреда

----------


## Vadim_SVN

В отчете АВЗ:


```
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 01.03.2010 8:13:20
Загружена база: сигнатуры - 264539, нейропрофили - 2, микропрограммы лечения - 56, база от 24.02.2010 23:45
Загружены микропрограммы эвристики: 380
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 180364
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
c:\documents and settings\all users\application data\macrovision\flexnet connect\6\isuspm.exe >>>>> Trojan.Win32.Agent.bwpf
```

Отчет по Вирустотал - 0/41
Сам файл.
Что не так или все так?

И второй вопрос по Хелперу (присоединяюсь к aldares)
Сам вопрос по архиву (постом выше).

----------


## Зайцев Олег

> В отчете АВЗ:
> c:\documents and settings\all users\application data\macrovision\flexnet connect\6\isuspm.exe >>>>> Trojan.Win32.Agent.bwpf [/CODE]
> И второй вопрос по Хелперу (присоединяюсь к aldares)
> Сам вопрос по архиву (постом выше).


1. Файл нужно закарантинить средствами AVZ иприслать через форму отправки чистых (можно сообщить сюда имя файла)
2. А в чем суть вопроса ?

----------


## Vadim_SVN

1. Данный отчет при экспресс проверке АВЗ при запуске компьютера в лок.сети (дважды).
Скопировал себе эту папку - файл isuspm.exe проходит по базе безопасных.

2. Из 2х файлов карантина - 2 опасные.
А "В очереди на добавление в базу безопасных:
высокий приоритет: 1"
Или это просто такое выражение у КХ ?  :Smiley:

----------


## Зайцев Олег

> 1. Данный отчет при экспресс проверке АВЗ при запуске компьютера в лок.сети (дважды).
> Скопировал себе эту папку - файл isuspm.exe проходит по базе безопасных.
> 
> 2. Из 2х файлов карантина - 2 опасные.
> А "В очереди на добавление в базу безопасных:
> высокий приоритет: 1"
> Или это просто такое выражение у КХ ?


2. По поводу п.п. 2 всеравыно ничего не понял  :Smiley:  Машина пишет отчет по поводу того, что произошло ... а произошло то, что 2 файла проверены и детектятся, 1 из них имеет высокий приоритет обработки (это autorun.inf), так как он похож на легитимный ... Дальше это же "разностная машина" - каждое событие имеет некий потенциал, и зловредность в итоге конечно перевесит

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Vadim_SVN

Для проверки машин в локалке имеем следующий скрипт:

```
// Строка запуска
// \\dbase\check\avz\avz.exe Priority=-1 nq=Y HiddenMode=3 Script=\\dbase\check\avz\lanscan.avz
// Version 1.2 - 02.03.2010

var
 LastScanDate, CurrentDate : string;
begin
 // Проверка имен серверов - блокировка запуска
 if LowerCase(GetComputerName) = 'dc' then ExitAVZ;
 if LowerCase(GetComputerName) = 'slave' then ExitAVZ;
 if LowerCase(GetComputerName) = 'dbase' then ExitAVZ;
 if LowerCase(GetComputerName) = 'imap' then ExitAVZ;
 if LowerCase(GetComputerName) = 'ts1' then ExitAVZ;
 if LowerCase(GetComputerName) = 'ts2' then ExitAVZ;
 if LowerCase(GetComputerName) = 'ts3' then ExitAVZ;

 // Блокировка повторного запуска в течении дня
 LastScanDate := RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\AVZ', 'LastScanDate');
 CurrentDate  := DateToStr(Now);
 if LastScanDate = CurrentDate then begin
  ExitAVZ;
  exit;
 end;
 RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\AVZ', 'LastScanDate', CurrentDate);

 // Пауза на 50 сек, чтобы не мешать автозагрузке
 Sleep(50);

 // Настройка AVZ
 SetupAVZ('UseQuarantine=N'); // Выключить карантин
 SetupAVZ('EvLevel=3'); // Эвристика на максимум
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
 SetupAVZ('DelVir=N'); // Выключить лечение
 SetupAVZ('RootKitDetect=Y'); // Включение детектора RootKit и перехватчиков API
 SetupAVZ('ModeVirus=0'); // Режим для вирусов 0-только отчет
 SetupAVZ('ModeAdvWare=0'); // Режим для AdvWare 0-только отчет
 SetupAVZ('ModeSpy=0'); // Режим для Spy и SpyWare 0-только отчет
 SetupAVZ('ModePornWare=0'); // Режим для PornWare и Dialer 0-только отчет
 SetupAVZ('ModeRiskWare=0'); // Режим для RiskWare 0-только отчет

 // Активирование сторожевого таймера на 15 минут
 ActivateWatchDog(60 * 15);

 // Запуск сканирования
 RunScan;

 // Сохранение протокола
 SaveLog(GetAVZDirectory + '\LOG\' + GetComputerName + '.txt');

 // Найден вредонос?
 if (GetSuspCount > 0) or (GetDetectedCount > 0) then begin
  // Выполнение исследования системы
  ExecuteSysCheck(GetAVZDirectory + '\LOG\' + GetComputerName + '_syscheck.htm');
  // Отправляем лог администратору
  SendEmailMessage('mail.domain', 'avz', '[email protected]',
   'AVZ email alert from ' + GetComputerName,
   'Отчет с компьютера "' + GetComputerName + '" ' + #13 +
   'Подозрительные обьекты = ' + InttoStr(GetSuspCount) + #13 +
   'Вредоносные файлы = ' + InttoStr(GetDetectedCount) + #13 +
   'Этот же лог доступен на \\dbase\check\avz\LOG' ,
   false, '', '',
   GetAVZDirectory + '\LOG\' + GetComputerName + '_syscheck.htm', '', '',  
  );
 end;
 
 // Завершение работы AVZ
 ExitAVZ;
end.
```

Запускаем АВЗ, выполнить скрипт, загружаем этот скрипт. Выполнить.
Открываем блокнот. Ждем.
По диспетчеру задач видим, что АВЗ начал проверку и в блокноте имеем следующую запись:


```
testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest
```

Почему такое происходит?
Вроде бы как ничего страшного, НО т.к. скрипт спит 50 секунд, чтобы не мучать автозагрузку, то пользователь может начать работу с какими-либо программами (типа 1С и т.д.). На них не проверял, но будет мало приятного если эта строка попадет туда.

----------


## Зайцев Олег

> Почему такое происходит?
> Вроде бы как ничего страшного, НО т.к. скрипт спит 50 секунд, чтобы не мучать автозагрузку, то пользователь может начать работу с какими-либо программами (типа 1С и т.д.). На них не проверял, но будет мало приятного если эта строка попадет туда.


Это работает антикейлоггер - он изучает поведение попзреваемых на кейдеггре перехватчиков, симулируя клавиатурный ввод. При AVZ запуске скриптом типа этого необходимо просто выключить антикейлоггер и все будет нормально

----------


## Vadim_SVN

Спасибо, Олег.
Строка:

```
 SetupAVZ('KeyloggerSearch=N'); // Выключаем! поиск клавиатурных шпионов и троянских DLL.
```

Решает данную проблему  :Smiley:

----------


## еvg_zosk

> ExecuteStdScr(7);


Имеет ли какие-то функциональные отличия от 2 и 3 стандартного скрипта (кроме попытки автоматического обновления баз).
И в win 7 не может завершить сканирование... валится с ошибкой.


```
Сигнатура проблемы:
  Имя события проблемы:	APPCRASH
  Имя приложения:	avz.exe
  Версия приложения:	4.32.0.0
  Отметка времени приложения:	2a425e19
  Имя модуля с ошибкой:	advapi32.dll
  Версия модуля с ошибкой:	6.1.7600.16385
  Отметка времени модуля с ошибкой:	4a5bd97e
  Код исключения:	c0000096
  Смещение исключения:	00022a53
  Версия ОС:	6.1.7600.2.0.0.256.1
  Код языка:	1049
  Дополнительные сведения 1:	c396
  Дополнительные сведения 2:	c396f6d0bf25ca718fa81ec7f959a449
  Дополнительные сведения 3:	c396
  Дополнительные сведения 4:	c396f6d0bf25ca718fa81ec7f959a449
```

----------


## Zeroes

avz 4.32 with last update
под Win7 выдаёт: 

>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)

Вообще такое выдавать под Win7 не корректно так как эту службу нельзя остановить/задизаблить стандартными средствами OS.

----------


## AndreyKa

В теме http://virusinfo.info/showthread.php?t=72883 AVZ обнаруживает 8 ошибок в LSP.



> Ошибка LSP NameSpace: "" --> отсутствует файл 
> Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра 
> Ошибка LSP NameSpace: "" --> отсутствует файл 
> Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра 
> Ошибка LSP NameSpace: "" --> отсутствует файл 
> Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра 
> Ошибка LSP NameSpace: "" --> отсутствует файл 
> Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра 
> Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 8


Похоже, это глюк из-за экзотических настроек: GPRS + SatGate через SlonAx3G.

----------


## UFANych

При проверке AVZ в логе написал про подозрение на скрытую загрузку через APPInit_dlls, но в менеджере автозагрузки этого не было, и в кнопке лечения в логе тоже. Вычищал вручную. Это такое специально или бага?



```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\Cursors\\size1_l.cur:exaSnrGYA9hVpOFAr+Qy"
```

Есть предложения по "мастеру поиска..." 
1 - добавить проверку политик (и, возможно, сравнение с определёнными в файлах политик):


```
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{6E940585-1BFA-4AAC-AF57-181005F0C4D7}]
"ItemData"="C:\\Program Files\\AVG"
"SaferFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{AA3024F3-F853-4664-A38F-D89E653B6539}]
"ItemData"="C:\\Program Files\\AVG\\"
"SaferFlags"=dword:00000000
```

При этом ядро антивируса работало, а user interface не запускался. И что-то наверное не блокировал....

2 - назвать это мастер мастером "обнаружения и устранения проблем"  :Smiley:  А то "мастер поиска ... проблем" чуть-чуть двусмысленно.

И напоследок, в эвристическую проверку - стандартные MS-службы - сравнивать список запущенных служб со списком тех, у кого установлен флаг запуска "Авто". Это как один из симптомов целостности среды.

----------


## Jam500

Всем доброго времени суток.
Может я немного не по теме, но...
мой комп покусали вирусы и пропало абсолютно всё с рабочего стола. Прочитал в нете что можно вылечить АВЗ, скачал, запустил avz.exe, а вместо слов только цифры и вопросительные знаки... :Furious3: 
HELP!!!

----------


## gjf

*Jam500*, добро пожаловать в раздел Помогите - создавайте тему там и Вам помогут.

----------


## polar_owl

Если у пользователя ОС Vista или 7, требуется делать логи по правой кнопке мыши "с правами администратора". Насколько я знаю, в логах никак не отображается, были ли они сделаны таким образом. Там в любом случае пишется, если конечно не совсем ограниченная учетка, что АВЗ работает с правами администратора.
Будет ли какой-нибудь функционал, чтобы было видно каким образом делались логи?

----------


## Rampant

А в чём различие стандартных скриптов №3 и №7?

----------


## Гриша

> А в чём различие стандартных скриптов №3 и №7?


В автоапдейте и перезагрузке.

----------


## Rampant

> В автоапдейте и перезагрузке.


опять не понял, а почему бы не оставить скрипт №7, без указания для кого? я то думал что отличия принципиальные, а тут...

----------


## Гриша

> опять не понял, а почему бы не оставить скрипт №7, без указания для кого? я то думал что отличия принципиальные, а тут...


Саппорт ЛК специально просил Олега добавить новый стандартный скрипт, который идентичен 3 стд.скрипту, но выполняет автоматическое обновление баз и в конце исследования выполняет перезагрузку, поэтому и отметка стоит.

----------


## Rampant

Последнее время стали обращаться юзеры с подозрением на вири, после сканирования АВЗ, все файлы имеют цифровые подписи Майкрософт, что это может быть?



> 7. Эвристичеcкая проверка системы
> >>> C:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
> Файл успешно помещен в карантин (C:\WINDOWS\system32\sfcfiles.dll)
> >>> C:\WINDOWS\system32\comres.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
> Файл успешно помещен в карантин (C:\WINDOWS\system32\comres.dll)
> >>> C:\WINDOWS\system32\msdtc.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
> Файл успешно помещен в карантин (C:\WINDOWS\system32\msdtc.exe)
> >>> C:\WINDOWS\system32\Drivers\tcpip.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
> Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\tcpip.sys)





> Файл сохранён как 100315_213006_virusinfo_cure_4b9e7cae460d3.zip 
> Размер файла 1721018 
> MD5 e2678ed3b4594e86cd5885aec1c1428c

----------


## Зайцев Олег

> Последнее время стали обращаться юзеры с подозрением на вири, после сканирования АВЗ, все файлы имеют цифровые подписи Майкрософт, что это может быть?


Эти файлы как раз не имеют никаких подписей ... если системный файд проходит по базе чистых или опознается MS как "свой" - предупредения не будет. А вот если файл патчен вирусом или какой-то бестолковой украшалкой - будет аларм

----------


## Rampant

Ок, они не проходят по базе Майкрософт, но и не являются злонамеренными, и мне непонятно почему рюшки, должны кого то напрягать?

----------


## pig

А откуда заранее известно, что там именно рюшки, а не спамбот?

----------


## Зайцев Олег

> Ок, они не проходят по базе Майкрософт, но и не являются злонамеренными, и мне непонятно почему рюшки, должны кого то напрягать?


А потому, что никому заранее неизвестно, что это это - украшалка системы, подмена файла зловредом, его злонамеренный патч, заражение файла инфектором ... На нормальных системах такие сообщения не появляются

----------


## Rampant

Ок, согласен, модификации в любом их проявлении, должны определяться. Тогда ещё один вопрос, когда АВЗ принимает решение на лечение заражённого файла, и чем отличается модификация от заражения?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Ок, согласен, модификации в любом их проявлении, должны определяться. Тогда ещё один вопрос, когда АВЗ принимает решение на лечение заражённого файла, и чем отличается модификация от заражения?


А где в логе написано о том, что проводится какое-то лечения ? Это не более чем эвристика, контроль системных файлов, которые часто модифицируются или заражаются зловредами

----------


## Rampant

Я не про данный случай, а вообще.

----------


## pig

А вообще лечение производится на основании чёткого детекта по базам.

----------


## Nerimash

Вопрос к Олегу: Как обстоят дела с добавлением "чистых" файлов в белый список, для х64 систем(Vista & 7). Стандартными скриптами они не карантиняться. А то получается немного печальная ситуация - из 250 присутсвующих в системе дарйверов опознаны как безопасный - 1(один) екзепляр и то наверное драйвер самого AVZ. Проблема не только с драйверами но и с системнымы процессами и службами.

----------


## Alexey_75

Сорри, может ОффТоп, но у моего друга единственный в моей практике компьютер, на котором AVZ 4.30 и 4.32 работают только на английском языке! Может, ларчик и просто открывается, но как?

----------


## ALEX(XX)

> Может, ларчик и просто открывается


Региональные настройки. Если не русские, то АВЗ английская.

----------


## kolk

Добрый день!

Есть ли какая-либо причина, по которой AVZ при запуске на терминальном сервере не предлагает перевести его в режим инсталляции, и при положительном ответе не делает это своими силами?

ExecuteFile('change.exe', 'user /install', 2, 10000, true);
http://support.microsoft.com/kb/320185

По-моему, это избавило бы от многих недоразумений.
(Вначале я даже подумал, что это ст&#243;ит делать безусловно...) 

Заранее спасибо!

----------


## Зайцев Олег

> По-моему, это избавило бы от многих недоразумений.
> (Вначале я даже подумал, что это ст&#243;ит делать безусловно...) 
> 
> Заранее спасибо!


От недоразумений избавляет более простая вещь - прочтение документации по AVZ...  дело в том, что если на терминальном сервере запускается AVZ, то одно из двух - или выполняющий данную операцию админ точно знает,что и как он делает (и делает это правильно), или компании срочно нужен новый админ

----------


## kolk

> От недоразумений избавляет более простая вещь - прочтение документации по AVZ...


Извините, Олег!

1. К сожалению, в текущей документации такого совета нет.
2. AFAIK проблемы возникают не только в сессии, но и на консоли, если установлен терминальный сервер  :Sad: 
3. К такому решению я пришел путем проб и ошибок, и только потом обнаружил этот совет на других сайтах.
4. Наличие в документации конкретной инструкции о запуске на теминальном сервере (скорее всего - change user /install , или указания запускать только из консоли, но, по-моему, запуск из консоли не помогает) также являлось бы чудесным решением.  :Smiley: 

По существу, есть ли у Вас возражения против change user /install ?
Если нету, предлагаю внести это в документацию  :Cool:

----------


## Зайцев Олег

> Извините, Олег!
> 
> 1. К сожалению, в текущей документации такого совета нет.
> 2. AFAIK проблемы возникают не только в сессии, но и на консоли, если установлен терминальный сервер 
> 3. К такому решению я пришел путем проб и ошибок, и только потом обнаружил этот совет на других сайтах.
> 4. Наличие в документации конкретной инструкции о запуске на теминальном сервере (скорее всего - change user /install , или указания запускать только из консоли, но, по-моему, запуск из консоли не помогает) также являлось бы чудесным решением.
> 
> По существу, есть ли у Вас возражения против change user /install ?
> Если нету, предлагаю внести это в документацию


точно нет ? http://z-oleg.com/secur/avz_doc/t_install.htm , http://z-oleg.com/secur/avz_doc/sys_repair.htm - выделено красным. Предполагается, что админ или сам знает, что делать, или ему дадут точные инструкции. Запуск AVZ в разных хитрых режимах на сервере крайне нежелателен, так его задача - исследование, и малварь например на сервере в особом режиме не будет запускаться и ставиться... - потому никаких изменений документации нет и не будет. Но собственно вопрос в другом - если некий "админ" запустит на сервере AVZ и начнет бездумно жать там все кнопки - то он убъет систему и это нормально (и никакая документация не поможет, так как он ее просто читать не будет). Если же запустить AVZ в режиме исследования, то никакого вреда системе не будет, кроме лишних сообщений в логе и отметки о том, что запуск ведется из терминального сеанса. Плюс еще стоит подумать, как много терминальных серверов лечится AVZ и следует ли их вообще им лечить (а запуск любой лечащей утилиты на сервере - это немножко экстремальное занятие, например, к чему приведет включение AVZGuard при активных сеансах юзеров или как им понравится внезапная перезагрузка в результате работы скрипта лечения = загадка) ...

----------


## kolk

Олег, большое спасибо за Ваше мнение!

В свое оправдание могу сказать:
- AVZ запускался после полного бэкапа;
- он так ничего и не разрушил.

IMHO, тут нужно брать тестера, брать всю имеющуюся малварь, и тратить около человеко-месяца ;(
(чтобы выяснить, есть ли такая малварь, которая в режиме инсталляции не видна, а в режиме выполнения видна, или наоборот)

----------


## Rampant

В новой версии курьита (шестой) есть возможность запуска в защищённом режиме, после выбора которого, ни один процесс не сможет запуститься, есть ли ключи запуска АВЗ, для активации AVZGuard? Спасибо.

----------


## Зайцев Олег

> В новой версии курьита (шестой) есть возможность запуска в защищённом режиме, после выбора которого, ни один процесс не сможет запуститься, есть ли ключи запуска АВЗ, для активации AVZGuard? Спасибо.


Да, конечно есть - http://z-oleg.com/secur/avz_doc/t_commandlinespec.htm .
В общем случае запуск ведется так - _avz.exe ag=y am=y_

----------


## Rampant

> avz.exe ag=y am=y


хорошие ключи, а нельзя их прикрутить к запуску из .exe? и решит ли это проблему блокировки АВЗ, многими зловредами, возможно не нужно будет переименовывать и менять расширение. Как вариант, написать кмдшку, с данными ключами, и всегда запускать например с корня системного диска.

----------


## angry_dog

На Windows 7 после завершения сканирования или нажатии кнопки "stop" выскакивает ошибка. Помогите решить проблему, пожалуйста.

----------


## NickM

> На Windows 7 после завершения сканирования или нажатии кнопки "stop" выскакивает ошибка. Помогите решить проблему, пожалуйста.


Вам бы следовало почитать 2 пред.страницы,  http://virusinfo.info/showpost.php?p...&postcount=225

----------


## angry_dog

> http://virusinfo.info/showpost.php?p...&postcount=225


Спасибо за помощь. После перезапуска AVZ, галка "Поиск кейлогеров" на месте. Есть ли возможность отключить её?

----------


## Зайцев Олег

Вышел апдейт баз с эвристикой, которая генерится машиной автоматически. После "первой порции" (которая вышла примерно месяц назад) был получен ряд карантинов, на основе их анализа собрана статистика - и вот реакция машины, что-то расширено, что-то урезано ...

----------


## Kuzz

> Ну вот я обычно выкладываю тут.


Это уже не соответствует действительности. 
Теперь ссылка выглядит так и дает нек-рые дополнительные плюсы))

----------


## chas99

Скажите пожалуйста, можно ли запускать AVZ с параметром REVIZOR через командную строку?
чтобы, например, настроить планировщик на создание базы каталога windows каждый месяц...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Скажите пожалуйста, можно ли запускать AVZ с параметром REVIZOR через командную строку?
> чтобы, например, настроить планировщик на создание базы каталога windows каждый месяц...


начнем с простого - а есть ли такой параметр ? Вроде такого не было ...

----------


## chas99

> начнем с простого - а есть ли такой параметр ? Вроде такого не было ...


согласен =)
тогда по другому сформулирую - можно ли "автоматом" создавать базы Ревизора AVZ ?

----------


## thyrex

> Вышел апдейт баз с эвристикой, которая генерится машиной автоматически.


Теперь в каждых логах подозрение на sptd.sys
Можно ли как-нибудь подкорректировать?

----------


## Зайцев Олег

> Теперь в каждых логах подозрение на sptd.sys
> Можно ли как-нибудь подкорректировать?


А как именно выглядит сообщение ? Дело в том, что в новой базе нет для нее записи ...

----------


## Aleksandra

> А как именно выглядит сообщение ? Дело в том, что в новой базе нет для нее записи ...


Тема http://virusinfo.info/showthread.php?t=75021




> >>> C:\Windows\system32\Drivers\sptd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

----------


## Зайцев Олег

> Тема http://virusinfo.info/showthread.php?t=75021


Изменил, база перевыпущена. В сущности на работу "кибера" в 911 это не повлияет, система всеравно будет пробовать его карантинить, дабы изучить ... но AVZ перестанет ругаться. Причина как оказалось в том, что есть оказывается малвари, маскирующиеся под эмулятор диска - умно, нечего сказать ...

----------


## Aleksandra

> Причина как оказалось в том, что есть оказывается малвари, маскирующиеся под эмулятор диска - умно, нечего сказать ...


Да, есть и на форуме это уже обсуждалось.

----------


## thyrex

> Причина как оказалось в том, что есть оказывается малвари, маскирующиеся под эмулятор диска


Goldun можно вычислить по другим признакам в логе

----------


## Зайцев Олег

> Goldun можно вычислить по другим признакам в логе


машина это и пыталась сделать  :Smiley:  Но суть в том, что пока каарнтинов голдуна всего ничего (штуки 3), да и эмулятор их хелперов мало кто карантинил - данных пшик

----------


## Макcим

А чем он отличается от обычного? Размером?

----------


## thyrex

Да. Причем кардинально

http://forum.kaspersky.com/index.php...dpost&p=929225

----------


## Зайцев Олег

> Да. Причем кардинально
> 
> http://forum.kaspersky.com/index.php...dpost&p=929225


Чтобы машине понять кардинальность отличия, нужно закарантинить довольно много тех и тех ...

----------


## gjf

> Да. Причем кардинально
> 
> http://forum.kaspersky.com/index.php...dpost&p=929225


Размер в логах сразу не увидишь. Правильно некий sergio342 сказал. Незачем эмулятору дисков перехватывать IOCreateFile. Вот это и есть показатель.

Хотя надо отдать должное автору - очень хорошо подогнал под SPTD.

*Добавлено через 5 минут*

А вообще - у нас есть целый раздел для таких случаев, который, почему-то, чаще всего используется как крик последней надежды, если ничего не получается. Почему бы в случаях, когда нашли интересное заражение - не отписываться там? Так коллеги не изобретали бы каждый раз колесо.

----------


## Макcим

> А вообще - у нас есть целый раздел для таких случаев.


К сожалению (или к счастью) этот раздел пользователям не виден. 

*Олег*, можно выводить в лог AVZ информацию об установленном антивирусе + добавить функционал для удаления остатков антивирусов, который были установлены раньше и удалились не полностью? Спасибо.

----------


## thyrex

*Олег*, http://virusinfo.info/showthread.php?t=75429

В теме Goldun. Может удастся закарантинить

----------


## vau67

*Зайцев Олег*, Добрый вечер, извините, вижу вы на сайте, можете помочь? Создать свою тему- это заголовок, текст а дальше, какую кнопку нажимать???
К слову, тема будет как вернуть автозапуск DVD, после работы мастера в AVZ. Еще раз извините. vau67

----------


## grobik

*vau67*, 
СОЗДАТЬ НОВУЮ ТЕМУ это и есть кнопка,которая нажимается последней после заполнения полей.

----------


## AndreyKa

Класс *TFileSearch* функционирует не так как описано в документации:
http://z-oleg.com/secur/avz_doc/script_filesearch.htm
Свойство *FileTime* возвращает дату и время модификации найденного объекта, а не создания. И в формате не *TDateTime*, а в целочисленном (что-то вроде *FILETIME* из Windows API).

----------


## gjf

Возможно ли скриптом считать hex-массив данных из параметра реестра (REG_BINARY) и записать его на диск в виде файла? И впоследствии считать этот файл и внести в реестр? Выкрутасы с TStringList как-то:


```
 i:= RegKeyStrParamRead('HKLM', Key0 , Param0);
 j:= RegKeyStrParamRead('HKLM', Key, Param);
.........
 Dump := TStringList.Create;
 Dump.Add (i);
 Dump.Add (j);
 Dump.SaveToFile(Path+'dump.dat');
 Dump.Free;
........
```

файл записывают, но обратная


```
........
		Dump := TStringList.Create;
		Dump.LoadFromFile (Path+'dump.dat');
		i:= Path[0];
		j:= Path[1];
		Dump.Free;	
.........
```

приводит к считыванию только нескольких первых символов.

Цель - создание дампов-бэкапов HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertif  icates\SPC\Certificates, например.

----------


## wif

На Windows 7 Ult x86 программа 4.32 не работает, во время сканирования системы прерывается работа AVZ Скриншот
Есть ли способы исправить это?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Гриша

http://virusinfo.info/showpost.php?p...&postcount=225

----------


## womak

Проверил систему _AVZ 2 v4.32_, перегрузил компьютер - в системе появилось неизвестное устройство с кодом _ROOT\LEGACY_UTE4MTYW\0000_. Поискал в реестре, нашел что ему соответствует _AVZ-RK Kernel Driver_. 
Это нормальная ситуация? Что делать с этим устройством?

----------


## Гриша

> после проверки в системе появилось неизвестное устройство
> Проверил систему AVZ 2 v4.32, перегрузил компьютер - в системе появилось неизвестное устройство с кодом ROOT\LEGACY_UTE4MTYW\0000. Поискал в реестре, нашел что ему соответствует AVZ-RK Kernel Driver.
> Это нормальная ситуация? Что делать с этим устройством?


Удалить.

----------


## gjf

Невозможно обновиться: файл main037.avz повреждён.

----------


## AndreyKa

> файл main037.avz повреждён


Нормально обновился сейчас.

----------


## gjf

Да, уже в норме.

----------


## Зайцев Олег

> Невозможно обновиться: файл main037.avz повреждён.


Скорее всего глюк на хостинге, такое бывает иногда

----------


## santy

Олег, добрый день.

Это легальный способ блокировки запуска программ?

блокирование запуска программ выполнялось с помощью параметров:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Policies\Explorer]
"DisallowRun"="1"
и ветки
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Policies\Explorer\Disallowrun]
"0"="avp.exe"
"1"="avz.exe"
......
Можно в AVZ как-то показать, если программы таким образом заблокированы?
В активном виде вирусняк блокирует запуск AVZ в любом переименнованном виде (за исключением полиморфных версий  - не проверял), при этом при попытке переменования avz слышится смех. После удаления активного червя, переименование помогает запустить программу.

----------


## gjf

*santy*, то, что Вы привели - политика запрета запуска по имени. И уж точно в Windows не прописано при этом смеяться  :Smiley: 
Видимо, зловред не только так контролирует запуск, но и используя другие методы.

----------


## santy

При входе в папку Курита, тоже слышался смех (активного червя), но при этом видимо напрасный. Так как заблокировать запуск КУрита червь не смог, и были обнаружены все компоненты червя, за исключением блокировок в реестре.

http://www.virustotal.com/ru/analisi...665-1273158331

----------


## thyrex

*Олег*, похоже чистка реестра при удалении esp*.tmp из *Модули расширения системы печати* не работает
Приходится идти через поиск в реестре http://forum.kaspersky.com/index.php...post&p=1357049
Результат работы ниже в теме

----------


## Chizh86

У меня только такой глюк в редакторе AVZ:
Когда редактируешь всё по русски, только скопировал в буфер обмена или сохранил с расширением .txt  получаем  "Oaee quarantine.zip ec iaiee AVZ caa?oceoa ii nnueea.   I?eoeeoa ea?aioei ii nnueea niaeanii i?aaee *I?eneaou cai?ioaiiue ea?aioei* ioee??eoa  aaa?oo oaiu. "

Как то очень не удобно. Где смотреть настройки редактора? Интерфейс русский. Редактор AVZ_se 4.30.  Windows XP SP2 EN, с установленым MUI, региональные настройки выставлены русский. Броузер Mozila 3.5.9 в настройках выставлена кодировка по умолчанию Кирилица (Windows -1251).

----------


## Iron Monk

*Chizh86*, эта проблема лечится переустановкой MS Office.
У меня один в один появилась эта трабла с буфером после установки-удаления Office 2010 Beta.
После переустановки Office 2003 проблема с буфером обмена исчезла.

Если не получилось, попробуйте перед копированием переключиться на русский язык.


> В некоторых случаях происходят ошибки при копировании текста через буфер обмена из одной программы в другую - вставка может превращать текст в "кракозябры". 
> 
> Это может происходить из-за того, что приложение, из которого производится копирование, помещает текст в буфер обмена в 8-битной кодировке, а то, в которое происходит вставка, запрашивает его в Юникоде (так делает, например, Блокнот). Windows "идёт навстречу" и перекодирует текст. При копировании в буфер помещается также информация о языке. Это может делать само приложение, а если не делает, то Windows просто смотрит, на какой язык ввода было переключено приложение в момент копирования. Если на русский, то используется страница 1251 и при вставке всё нормально. Но если текст русский, а окно приложения было переключено в английский, кодирование пойдёт через 1252 страницу и вместо русских букв пойдут "кракозябры". В таких случаях может помочь предварительное переключение приложения, из которого производится копирование, на русский.


Или:

```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage]

"1252"="c_1251.nls"
```

----------


## Chizh86

*Iron Monk*, спасибо,  первый совет прокатывает. Точно нужно выставить русский, перед копирование в буфер обмена, тогда вставляется нормально. А второй завтра на работе проверю.

----------


## gjf

> Версия Windows: *5.2.3790*, Service Pack 1 ; AVZ работает с правами администратора
> Восстановление системы: *включено*


Откуда оно в Windows 2003?  :Wink:

----------


## Hanson

Дата выхода 	Название 	                        Последняя версия

24 апреля 2003 	Windows Server 2003 	                        5.2.3790.3959 SP2 (13 марта 2007) 	
25 апреля 2005 	Windows XP Professional x64 Edition 	5.2.3790.3959 SP2 13 марта 2007

----------


## gjf

*Hanson*, http://en.wikipedia.org/wiki/Windows_Server_2003



> Current version 	*5.2.3790*.3959 Service Pack 2 (SP2) (13 March 2007)

----------


## Hanson

*gjf*, win_xp_64

----------


## gjf

*Hanson*, ну что ж я могу поделать-то  :Smiley:  Вопросы все к Гейтсу и Балмеру  :Smiley: 
Речь о логах тут, да и пользователь сразу сказал, что у него 2003-я.

----------


## Torvic99

Подтверждаю на 2003 есть такое дело



> *Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
> Восстановление системы: включено
> *

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## gjf

Короче, немного надо допилить напильником эту фичу. Потмоу как, если не ошибаюсь, на Висте она же не распознаёт отключение (всегда отображает "включено").

*Добавлено через 27 минут*

Кстати, в том же примере, что я привёл выше, видно, что ExecuteSysClean не отрабатывает при удалении провайдеров печати - приходится реестр чистить вручную.

----------


## xmail

Олег, подскажите, можно ли настроить проверку куков в Linux браузере, если AVZ запустить под wine? Программа нормально запускается и работает, но если для сканера можно выбрать директорию сканирования, то для анализатора куков, видимо, используются стандартные пути, т.к. ничего не находит в принципе.

----------


## Chizh86

Чего то обновления баз АВЗ нет, последняя версия от 18.05.2010. Это так надо или что то зависло? На сайте z-oleg база АВЗ от 17.05.2010 


> Версия: 4.32
> База: от 17.05.2010

----------


## AndreyKa

Это обычное дело, когда базы не выходят 1-2 дня.

----------


## Chizh86

*AndreyKa*,  а с чем это связано? Судя по отчёту Кибера, ему есть что добавить хотя бы в базу чистых объектов.

----------


## Зайцев Олег

> *AndreyKa*, а с чем это связано? Судя по отчёту Кибера, ему есть что добавить хотя бы в базу чистых объектов.


А связано это с тем, что есть альфа-бета (или как ее там обозвать) новой версии и приходится фильтровать базы так, чтобы текущую не перекосило. Автоматика это не умеет делать ...

----------


## Chizh86

*Зайцев Олег*,  значит скоро выход?

----------


## Travoed

Сегодня  вечером постоянно при обновлении баз AVZ появляется такая бяка .

----------


## Зайцев Олег

> Сегодня вечером постоянно при обновлении баз AVZ появляется такая бяка .


А сейчас ?

----------


## Travoed

А сейчас вот так .

----------


## AndreyKa

*Олег*, было бы не плохо, добавить проверку наличия тех системных файлов, которые часто патчат трояны. Так как, уже не однократно встречал случаи, когда либо антивирус, либо пользователь удаляют такие файлы, а в логах это не всегда видно. Например: http://virusinfo.info/showthread.php?t=78885

----------


## Зайцев Олег

> *Олег*, было бы не плохо, добавить проверку наличия тех системных файлов, которые часто патчат трояны. Так как, уже не однократно встречал случаи, когда либо антивирус, либо пользователь удаляют такие файлы, а в логах это не всегда видно. Например: http://virusinfo.info/showthread.php?t=78885


Была такая попытка ... окончилась тучей фолсов. Дело в том, что
1. существует масса самосборок (по принципу "супер-пупер гипер XP от пети", "game edition от васи" ... - файлы там нередко не опознаются по базе ЭЦП MS, и защита системных файлов там подавлена
2. системные файлы патчат не только трояны - сущуствует туча украшалок/искажалок и т.п. - они тоже патчат системные файлы, и отличить вирусный патч от украшательского нереально
В 911 киберхелпер обычно карантинит такие файлы и найдя заразу упреждает хелпера о том, что это патченный системный файл

----------


## AndreyKa

*Олег*, вы меня не поняли. Я предложил проверять не то, что файл патченный, а то, что есть он на диске или его нет.

----------


## Зайцев Олег

> *Олег*, вы меня не поняли. Я предложил проверять не то, что файл патченный, а то, что есть он на диске или его нет.


Это можно ... но редко актуально, так как системные файлы защищены и в иделае самовосстановятся (или систма не загрузится без них). Если есть конкретное предложение (т.е. какие файлы), такое можно воткнуть хоть сейчас и поместить в апдейт

----------


## thyrex

> Это можно ... но редко актуально, так как системные файлы защищены


В случае с *sfcfiles.dll*, например, если он убит в dllcache (или отсутствует по причине сборки), ему неоткуда восстановиться. И потом получаем жалобы на сообщение системы типа *Не могу найти программу для установки Volume (mouse)*

Вроде бы еще и *sfc_os.dll* иногда теряется

----------


## AndreyKa

> Если есть конкретное предложение (т.е. какие файлы), такое можно воткнуть хоть сейчас и поместить в апдейт


Для Windows XP, в первом приближении:


```
%program files%\internet explorer\iexplore.exe

%WinDir%\explorer.exe

%System32%
dmserver.dll
imm32.dll
msimg32.dll
sens.dll
sfc_os.dll
sfcfiles.dll
spoolsv.exe
svchost.exe
ws2_32.dll

%System32%\drivers
atapi.sys
ndis.sys
tcpip.sys
```

----------


## AndreyKa

```
%System32%\lpk.dll
```

Тоже не помешало бы добавить:



> lpk.dll восстановил после combofix через безопасный режим


*thyrex*, наверное, в курсе какие ещё файлы *ComboFix* часто удаляет.

----------


## antanta

Наблюдалось более 9000 случаев, когда после "лечения" антивирус тупо выносит системные файлы. Если раньше я мог гордиться продукцией %vendorname%, то теперь все чаще  произношу "И ты, Брут..."
 Это становится проблемой для пользователей, но не для таких "шакалов", как я, чей девиз "Чем хуже, тем лучше". Увы, не тогда, когда сам же и порекомендовал нашкодивший антивирусный продукт.
 Гешпада %vendorname%, уже придумайте что-то. Тот же combofix пытается выудить файло из (Ниа-гарский-водо-пад!!!) dllcache. Что мешает смотреть хотя бы туда  же, плюс делать нычки реестра и системных файлов? Теперь я понял, что именно мешало. Кристалл,  за отдельную плату. Nokia со своим маркетингом нервно курит ... не, как раз чисто расслабляется уже и отдыхает... 
 Запасаемся попкорном, следим за резултатами. Таки и вижу на ютюбе Гитлера, негодующего по поводу  маркетинговой политики %VENDORNAME%

----------


## mbentefor

Господин Зайцев, когда уже следует ожидать новую версию с полной совместимостью с семеркой? Вот я после чистки компьютера востановил настройки, выполнив команди восстановления №1, 6, 8, 10, 13, после чего компютер не загрузился (перед этим все было хорошо). Сделал "Последнюю удачную конфигурацию" - Винда загрузилась, но ТАК коряво, что пропали все настройки, все пункты Пуска, все Избранное огнелиса, и снова включился ЮАЦ, для отключения которого пришлось лазить в реестр (окно с настройкой ЮАЦ было пустым и через 3 секунды закрывалось). Короче пропали все настройки Винды.
(Может у кого-то есть советы по этому поводу?).

+Вылет при проверке системных перехватов (иногда)
+Вылет при проверке на килогеры
+Отображает пустые процессы (завершенные) как подмену ПИД.

С уважением.

----------


## Rene-gad

> Вот я после чистки компьютера востановил настройки, выполнив команди восстановления №1, 6, 8, 10, 13, после чего компютер не загрузился


А зачем Вы это делаете  :Shocked:  ? Спички детям не игрушка! © Где Ваше обращение в Помогите?



> Наблюдалось более 9000 случаев, когда после "лечения" антивирус тупо выносит системные файлы.


Какой антивирус?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mbentefor

>>Где Ваше обращение в Помогите?
А зачем? Больше чем я сделаю мне никто не поможет.

>>Спички детям не игрушка!
Я уже лет пять как перестал быть пользователем.

----------


## Hanson

> >>Где Ваше обращение в Помогите?
> А зачем? Больше чем я сделаю мне никто не поможет.


 :Cheesy: 



> >>Спички детям не игрушка!
> Я уже лет пять как перестал быть пользователем.


 :Cheesy:

----------


## Steve

В форме "Просмотр карантина" есть ошибка GUI связанная с сортировкой(кроме 1го столбца, "Файл") элементов в таблице.

----------


## thyrex

*Олег*

Из скрипта для AVZ


```
DeleteFileMask('C:\DODA\JENE', '*.*', true);
DeleteDirectory('C:\DODA\JENE');
```

Из сделанного после лога МВАМ



> Зараженные папки:
> C:\DODA\JENE (Backdoor.Bot)


Очистка папки судя по всему тоже не работает  :Sad:

----------


## Зайцев Олег

> *Олег*
> 
> Из скрипта для AVZ
> 
> 
> ```
> DeleteFileMask('C:\DODA\JENE', '*.*', true);
> DeleteDirectory('C:\DODA\JENE');
> ```
> ...


DeleteFileMask и  DeleteDirectory не сработают, если в папке есть хотя-бы один заблокирвоанный файл (понятное дело, что DeleteFileMask не всегда может удалить все файлы). следовало бы применить отложенное удаление с перезагрузкой и BootCleaner, с последующей повторной попыткой удаления каталога

----------


## Rene-gad

@thyrex
А ссылку на тему дашь?  :Wink:  Я стандартно применяю бутклинер, как сказал Олег, ещё ни один гад не ушёл...

----------


## thyrex

> А ссылку на тему дашь?


http://virusinfo.info/showthread.php?t=79856

*Олег*, в папке не оказалось никаких посторонних файлов. Иначе бы они всплыли в логе МВАМ. Есть предположение, что проблемной могла оказаться команда удаления папки

----------


## Зайцев Олег

> http://virusinfo.info/showthread.php?t=79856
> 
> *Олег*, в папке не оказалось никаких посторонних файлов. Иначе бы они всплыли в логе МВАМ. Есть предположение, что проблемной могла оказаться команда удаления папки


Могло оказаться так - в папке был неудаляемый файл, он был внесен в список отложенного удаления, после перезагрузки он убился - а папка осталась ... отложенное удаление убивает только файлы, но не папку

----------


## olejah

АВЗ опять подозревает sptd - 


> >>> C:\WINDOWS\system32\Drivers\sptd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

----------


## pig

У хелпера на это должен быть безусловный хватательный рефлекс: в карантин и прислать на препарацию. Потому как это либо новая версия, которая ещё не попала в базу безопасных, либо троянская подделка.

----------


## gjf

> АВЗ опять подозревает sptd -


Отмечались подделки под sptd. Отловить можно было по несвойственным перехватам, размеру и md5. Но зачем если всё можно автоматизировать?  :Wink:

----------


## thyrex

> АВЗ опять подозревает sptd


И не только его. Опять куча файлов попадает под подозрение

----------


## olejah

> Потому как это либо новая версия, которая ещё не попала в базу безопасных, либо троянская подделка.


 В том-то и дело, что гарантированно ни то, ни другое, поэтому и решил уведомить. Это именно файл, на который АВЗ то ругается, а то молчит.




> Отмечались подделки под sptd. Отловить можно было по несвойственным перехватам, размеру и md5


 Ага, Goldun, кажется, знаем-знаем, но повторюсь - здесь не тот случай.

----------


## gjf

Тогда вопрос к Олегу.

----------


## Зайцев Олег

> АВЗ опять подозревает sptd -


Пометка "(CH)" означает не более как CyberHelper ... т.е. машина забавляется, видимо с целью прояснить, легитимен ли SPDT или нет. Причин я не знаю, но видимо под этот драйвер "косили" какие-то злореды. Процесс итерационный и повторяется 1-2 раза в неделю, машина посточнно изучает результативность своих действий и корректирует базы AVZ

*Добавлено через 19 секунд*




> Тогда вопрос к Олегу.


Не ко мне  :Smiley:

----------


## thyrex

*Олег*, с блокнотом, косынкой и прочим Кибер тоже забавляется?

----------


## Зайцев Олег

> *Олег*, с блокнотом, косынкой и прочим Кибер тоже забавляется?


А что там с ними не так ? Логика то машины железная, раз принято решение, значит оно обосновано ... например по имеющимся довольно обширным данным обнаружено, что программа X либо опознается как чистая (по бортовой базе, по MS-не важно), либо заражения вирусякой и патчена. Имеющиеся данные это подтверждают, выдвигается гипотеза - что это врено и в глобальном масштабе. Выдвинув гипотезу машина формирует эвристику и смотрит, что из того выйдет. Видит, что фигня выходит - и эаристика доработатеся либо снимется ... все в динамике

----------


## gjf

Олег, при описанной логике есть вероятность:
1. Всегда карантинить tcpip.sys, патченный на количество соединений.
2. Всегда карантинить все исполняемые файлы, заражённые вирутом, салити и прочей файловой заразой.

Как от этого уходит кибер?

И как машина понимает, что "фигня выходит"?

----------


## thyrex

> А что там с ними не так ?


Загадочный всплеск активности Кибера по подозрению этих файлов

----------


## Зайцев Олег

> Загадочный всплеск активности Кибера по подозрению этих файлов


Это нормально. Оно идет по синусоиде - выдвигается набор гипотез, создается эвристика - затем идет накопление данных (так как начинают поступать каркантины), часть гипотез снимается - так как для каждой ведется оценка эффективности по тому, как много зверей наловлено и было ложных тревог

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Гриша

> Загадочный всплеск активности Кибера по подозрению этих файлов


Покажи конкретные примеры отчетов.

----------


## Зайцев Олег

> Олег, при описанной логике есть вероятность:
> 1. Всегда карантинить tcpip.sys, патченный на количество соединений.
> 2. Всегда карантинить все исполняемые файлы, заражённые вирутом, салити и прочей файловой заразой.
> 
> Как от этого уходит кибер?
> 
> И как машина понимает, что "фигня выходит"?


1. совершенно не обязательно ... важно не то, патчен файл или нет - важно, является ли он зверем ...
2. это машина прекрано понимает - что есть собственно легитимный файл и могут быть его-же варианты, чем-то патченный или зараженные
Как уходит - это страшная тайна  :Smiley:  (методики в стадии патентования). Не раскрывая сути идеи могу сказать, что в этом то и главный плюс ИИ - система непрерывно учится, формируя мнение (причем точнее сказать "текущее мнение") по всем вопросам. Плюс у машины есть анализаторы, позволяющие изучать файлы самоcтоятельно - они не идеальны, но для первичного анализа вполне годится ... 
Но тем не менее всплеск всплеском, а цифры - цифрами. А они таковы: эвристиками кибера откарантинено *7366* уникальных файлов, из них *5042* оказались малвари, причем *2188* - новейшие
Посмотрел, в последнее время гнев святой инквизиции пал на три системных файла:
C:\WINDOWS\system32\notepad.exe - логика в том, что системный файл, обычно познается как чистый ... и при этом в недавнее время засветилися ряд малварей, в частности один настырный кейлоггер, подменяющий собой блокнот (он несколько раз карантинился "кибером" в 911, называется not-a-virus:Monitor.Win32.KeyLogger.aca и not-a-virus:Monitor.Win32.KeyLogger.oo, его много ловилось 12.05.2010), и есть ряд флешечных червяков, "косящих" под блокнот
C:\WINDOWS\system32\sol.exe - логика аналогична, в нормальной системе файл должен опознаваться как чистый, неопознанные файлы чаще всего заражены (лидирует P2P-Worm.Win32.Polip)
C:\WINDOWS\system32\msdtc.exe - аналогично, есть ряд малварей, подменяющих его

плюс файл sptd.sys - с ним интереснее, логика машины немножко иная ... нормальный файл как оказалось имеет характерную закономерность - он подписан. Т.е. если откарантинить его и проверить подпись, и она валидна - то почти наверняка файл чистый, и он приоритетный кандидат в базу чистых, а вот если нет ... - то есть шанс, что это зверь (есть например Trojan-Spy.Win32.Goldun.aza - недавно попадался). Плюс оказывается результаты изучения sptd.sys показывает похожесть легитимных драйверов друг на друга, тогда как подменяющий его зверь отличается и машине это хорошо заметно. Отсюда и вердикт - карантинить и изучать, а там разберемся

----------


## AndreyKa

*Олег*, команда *ExecuteRepair(13);*не справляется с предназначением: http://virusinfo.info/showthread.php?t=79962
Пришлось удалять hosts через BC, а затем еще 

```
FSResetSecurity('C:\WINDOWS\system32\drivers\etc');
```

вызвать, чтобы привести в норму.
Думаю, достаточно будет добавить в начало функции ExecuteRepair(13); вызов 

```
FSResetSecurity('%System32%\drivers\etc');
FSResetSecurity('%System32%\drivers\etc\hosts');
```

----------


## Зайцев Олег

> *Олег*, команда *ExecuteRepair(13);*не справляется с предназначением: http://virusinfo.info/showthread.php?t=79962
> Пришлось удалять hosts через BC, а затем еще 
> 
> ```
> FSResetSecurity('C:\WINDOWS\system32\drivers\etc');
> ```
> 
> вызвать, чтобы привести в норму.
> Думаю, достаточно будет добавить в начало функции ExecuteRepair(13); вызов 
> ...


Очень может быть ... добавил:


```
 FSResetSecurity(GetHostsFileName);
```

сегодня попадет в апдейт

----------


## Kuzz

> Думаю, достаточно будет добавить в начало функции ExecuteRepair(13); вызов


Уже помогало в нес-ких случаях

----------


## AndreyKa

> Очень может быть ... добавил:
> 
> Код:
>  FSResetSecurity(GetHostsFileName);


Этого не достаточно. Права для папки *Etc* тоже надо сбросить.

----------


## Yaesufc

Добрый день!
Что-то словил и теперь пожирает трафик. Антивирами проверял. NOD32,AVZ 4.32 
Пишут, что пользоваться можно.

----------


## polword

> Добрый день!
> Что-то словил и теперь пожирает трафик. Антивирами проверял. NOD32,AVZ 4.32 
> Пишут, что пользоваться можно.


сюда Вам надо

----------


## Chizh86

*Зайцев Олег*, вопрос, а почему не попадают в подозрительные файлы: 

```
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\RECYCLER\S-1-5-21-6599565809-8425513300-413572516-6252\syscr.exe
C:\RECYCLER\\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmdcgr.exe
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe
```

Всегда находятся в секции Active Setup, и ни разу не видел что бы эвристика их определила как подозрительные..

----------


## thyrex

*Олег*, просьба к 20-й процедуре восстановления прикрутить сброс прав на ветку реестра

----------


## thyrex

*Олег*, вернемся также и к сообщению AndreyKa с 13 процедурой

Вот сегодняшняя тема, где помогло только снятие прав на папку

----------


## Зайцев Олег

> *Олег*, вернемся также и к сообщению AndreyKa с 13 процедурой
> 
> Вот сегодняшняя тема, где помогло только снятие прав на папку


Эта операция решила одну проблему и породила большую - теперь все включая гостя с птичьими правами могут править этот файл и ряд других, лежащих рядом ...

----------


## thyrex

> Эта операция решила одну проблему и породила большую


И как тогда, не снимая прав, решать проблему?

----------


## Зайцев Олег

> И как тогда, не снимая прав, решать проблему?


Нужен дроппер зверя или его самодостаточный рабочий экспонат. Чтобы точно изучить, что именно он портит, как он это делает - и принять адекватные меры

----------


## ak_

Олег, вопрос по генератору скриптов. Команды



> Безопасность: IE - запретить автоматические запросы элементов управления ActiveX
>  Безопасность: IE - запретить запуск программ и файлов в IFRAME без запроса


генерируют следующие строки:

```
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
end.
```

Получается, что они пишут в один и тот-же ключ реестра разные значения, т.е. являются взаимоисключающими?

----------


## Зайцев Олег

> Олег, вопрос по генератору скриптов. Команды
> 
> генерируют следующие строки:


Они все верно генерируют ... просто необходимо выбрать что-то одно из двух

----------


## UFANych

Я вот всё хочу спросить - AVZ специально не видит хуки, например, AVG?
Или таки другой уровень? Или не хуки там?

----------


## ak_

> Они все верно генерируют ... просто необходимо выбрать что-то одно из двух


А разве за *iframe* отвечает не параметр *1804*?    



> 1804     Прочее: Запуск программ и файлов в окне IFRAME


http://support.microsoft.com/kb/182569

----------


## polar_owl

Олег, в этой теме:http://virusinfo.info/showthread.php?t=81085
АВЗ удалил KGB Spy (как я понял, легитимная шпионская программа), которую пользователь сам поставил. Это фолс?

----------


## Зайцев Олег

> Олег, в этой теме:http://virusinfo.info/showthread.php?t=81085
> АВЗ удалил KGB Spy (как я понял, легитимная шпионская программа), которую пользователь сам поставил. Это фолс?


Кейлоггер от детей - это нечто  :Smiley:  Скорее всего реакция была на явно злобный драйвер - он вполне может детектироваться

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## polar_owl

Из тестовой части лога:


> c:\program files\kgb\mpk.exe >>>>> Monitor.Win32.KGBSpy.do  успешно удален





> >>>Для удаления файла c:\program files\kgb\mpk.dll необходима перезагрузка
> c:\program files\kgb\mpk.dll >>>>> Monitor.Win32.KGBSpy.cg  успешно удален


Вполне отчетливая реакция утилиты на шпионскую программу... :Smiley: 
А вообще, бедные дети :Smiley:

----------


## Зайцев Олег

> Из тестовой части лога:
> 
> Вполне отчетливая реакция утилиты на шпионскую программу...
> А вообще, бедные дети


Да, я уж видел ... в общем-то Monitor.Win32.KGBSpy известная вещь и в базах он не случайно - это шпион, ничего полезного в нем нет. Что можно сделать с детьми с его помощью - тоже загадка ...

----------


## Nerimash

Есть проблемы с карантином файлов. При карантине следующего файла D:\temp\AVZ_Quar\AESTSr64.exe(да да файл именно находится не в системной папке а в простой) получаю следующий карантин(архив прилагаю). Не подскажете что я делаю не так?

----------


## thyrex

*Олег*, http://virusinfo.info/showthread.php?t=81251
Троянские DNS никак не отметились в логе AVZ

----------


## Зайцев Олег

> *Олег*, http://virusinfo.info/showthread.php?t=81251
> Троянские DNS никак не отметились в логе AVZ


Это нормально - проверка идет по базе трояснких DNS - внести новые несложно

----------


## thyrex

Оперативно. Зря я свой пост удалял  :Smiley: 

Подкорректирую. Они есть в syscheck и отсутствуют в syscure

----------


## Arnee

AVZ 4.32 при старте сканирования выдает ошибку Access violation.После этого ее (утилиту) удается закрыть только через диспетчер.

Пробовал с выключенным KIS - та же история. Ось Windows 7 x64 .

----------


## olejah

> Внимание! Не запускайте AVZ на x64. Мы не несём ответственность проблемы, возникшие в ходе запуска AVZ на системах x64


 - Правила.

 [off] Кстати, может подправить надо правила, я имею в виду 


> Мы не несём ответственность проблемы


, "за" пропущенно, или не суть? [off]

----------


## Гриша

> AVZ 4.32 при старте сканирования выдает ошибку Access violation.После этого ее (утилиту) удается закрыть только через диспетчер.
> 
> Пробовал с выключенным KIS - та же история. Ось Windows 7 x64 .


Используйте поиск по форуму.

----------


## Arnee

> Используйте поиск по форуму.


Посоветуете ввести Avz? Так поиск не ищет "три буквы"  :Cheesy: 

Неважно,как-то так я предполагал...Что правила читать отправят..А после этого еще 31 страницу темы AVZ проштудировать.

----------


## Гриша

> Посоветуете ввести Avz? Так поиск не ищет "три буквы"
> 
> Неважно,как-то так я предполагал...Что правила читать отправят..А после этого еще 31 страницу темы AVZ проштудировать.


http://virusinfo.info/showpost.php?p...&postcount=225

----------


## Nerimash

Ну, я ничего не отключал и АВЗ у меня отработал нормально. Но, заметил следующее: возникают проблемы при простом карантине файлов. Повторюсь, никаких фитч авз не использую, только простой карантин файлов по списку. И даже тут авз выдает непредсказуемые результаты, почему то карантинятся не файлы а папки, но странность даже не в этом, а в том что эти папки не имеют никакого отношения к карантину файлов. 

Вопрос на засыпку, как при помощи Авз можно хоть что то закарантинить ?

----------


## Зайцев Олег

> Вопрос на засыпку, как при помощи Авз можно хоть что то закарантинить ?


командой QuarantineFile('хоть что то', '');

----------


## Nerimash

Ну а чем тогда отличаются "Карантин по списку" и "QuarantineFile" ?

----------


## Зайцев Олег

> Ну а чем тогда отличаются "Карантин по списку" и "QuarantineFile" ?


Документцией ... ну неужели так сложно прочитать букварь:
http://z-oleg.com/secur/avz_doc/t_qrsp.htm
http://z-oleg.com/secur/avz_doc/scri...antinefile.htm

----------


## Nerimash

Это прекрасно, но... после выполнения команды _QuarantineFile('d:\temp\quar\*.*','');_ получаем следующий Output


```
Quarantine file: failed (error), attempt of direct disk reading (d:\temp\quar\*.*)
 Quarantine file (direct disk reading) "%S" - failed (error)
Quarantine file: failed (error), attempt of direct disk reading (d:\temp\quar\*.*)
 Quarantine file (direct disk reading) "%S" - failed (error)
File quarantined d:\temp\quar\1394ohci.sys
File quarantined d:\temp\quar\Accelerometer.sys
File quarantined d:\temp\quar\acpi.sys
File quarantined d:\temp\quar\AESTSr64.exe
File quarantined d:\temp\quar\afd.sys
File quarantined d:\temp\quar\agilevpn.sys
File quarantined d:\temp\quar\agrsm64.sys
File quarantined d:\temp\quar\amdxata.sys
File quarantined d:\temp\quar\atapi.sys
File quarantined d:\temp\quar\ataport.sys
File quarantined d:\temp\quar\atieclxx.exe
File quarantined d:\temp\quar\atiesrxx.exe
File quarantined d:\temp\quar\atikmdag.sys
File quarantined d:\temp\quar\atikmpag.sys
File quarantined d:\temp\quar\audiodg.exe
File quarantined d:\temp\quar\battc.sys
File quarantined d:\temp\quar\beep.sys
File quarantined d:\temp\quar\blbdrive.sys
File quarantined d:\temp\quar\bowser.sys
File quarantined d:\temp\quar\cdd.dll
File quarantined d:\temp\quar\cdrom.sys
File quarantined d:\temp\quar\ci.dll
File quarantined d:\temp\quar\circlass.sys
File quarantined d:\temp\quar\Classpnp.sys
File quarantined d:\temp\quar\clfs.sys
File quarantined d:\temp\quar\CmBatt.sys
File quarantined d:\temp\quar\cng.sys
File quarantined d:\temp\quar\compbatt.sys
File quarantined d:\temp\quar\CompositeBus.sys
File quarantined d:\temp\quar\conhost.exe
File quarantined d:\temp\quar\crashdmp.sys
File quarantined d:\temp\quar\csc.sys
File quarantined d:\temp\quar\csrss.exe
File quarantined d:\temp\quar\dfsc.sys
File quarantined d:\temp\quar\discache.sys
File quarantined d:\temp\quar\disk.sys
File quarantined d:\temp\quar\drmk.sys
File quarantined d:\temp\quar\dwm.exe
File quarantined d:\temp\quar\dxapi.sys
File quarantined d:\temp\quar\dxgkrnl.sys
File quarantined d:\temp\quar\dxgmms1.sys
File quarantined d:\temp\quar\enecir.sys
File quarantined d:\temp\quar\fileinfo.sys
File quarantined d:\temp\quar\fltMgr.sys
File quarantined d:\temp\quar\fs_rec.sys
File quarantined d:\temp\quar\fvevol.sys
File quarantined d:\temp\quar\FWPKCLNT.SYS
File quarantined d:\temp\quar\FXSMON.dll
File quarantined d:\temp\quar\hal.dll
File quarantined d:\temp\quar\hdaudbus.sys
File quarantined d:\temp\quar\HdAudio.sys
File quarantined d:\temp\quar\hidclass.sys
File quarantined d:\temp\quar\hidir.sys
File quarantined d:\temp\quar\hidparse.sys
File quarantined d:\temp\quar\hidusb.sys
File quarantined d:\temp\quar\hpdskflt.sys
File quarantined d:\temp\quar\HPHC_Service.exe
File quarantined d:\temp\quar\hpservice.exe
File quarantined d:\temp\quar\http.sys
File quarantined d:\temp\quar\hwpolicy.sys
File quarantined d:\temp\quar\i8042prt.sys
File quarantined d:\temp\quar\iaStor.sys
File quarantined d:\temp\quar\iaStorV.sys
File quarantined d:\temp\quar\inetpp.dll
File quarantined d:\temp\quar\intelppm.sys
File quarantined d:\temp\quar\kbdclass.sys
File quarantined d:\temp\quar\kbdhid.sys
File quarantined d:\temp\quar\kdcom.dll
File quarantined d:\temp\quar\kl1.sys
File quarantined d:\temp\quar\klif.sys
File quarantined d:\temp\quar\klim6.sys
File quarantined d:\temp\quar\klmouflt.sys
File quarantined d:\temp\quar\ks.sys
File quarantined d:\temp\quar\ksecdd.sys
File quarantined d:\temp\quar\ksecpkg.sys
File quarantined d:\temp\quar\ksthunk.sys
File quarantined d:\temp\quar\lltdio.sys
File quarantined d:\temp\quar\localspl.dll
File quarantined d:\temp\quar\lsass.exe
File quarantined d:\temp\quar\lsm.exe
File quarantined d:\temp\quar\luafv.sys
File quarantined d:\temp\quar\mcupdate_GenuineIntel.dll
File quarantined d:\temp\quar\modem.sys
File quarantined d:\temp\quar\monitor.sys
File quarantined d:\temp\quar\mouclass.sys
File quarantined d:\temp\quar\mouhid.sys
File quarantined d:\temp\quar\mountmgr.sys
File quarantined d:\temp\quar\mpsdrv.sys
File quarantined d:\temp\quar\mrxsmb.sys
File quarantined d:\temp\quar\mrxsmb10.sys
File quarantined d:\temp\quar\mrxsmb20.sys
File quarantined d:\temp\quar\msahci.sys
File quarantined d:\temp\quar\msfs.sys
File quarantined d:\temp\quar\msisadrv.sys
File quarantined d:\temp\quar\msrpc.sys
File quarantined d:\temp\quar\mssmbios.sys
File quarantined d:\temp\quar\mup.sys
File quarantined d:\temp\quar\ndis.sys
File quarantined d:\temp\quar\ndistapi.sys
File quarantined d:\temp\quar\ndisuio.sys
File quarantined d:\temp\quar\ndiswan.sys
File quarantined d:\temp\quar\ndproxy.sys
File quarantined d:\temp\quar\netbios.sys
File quarantined d:\temp\quar\netbt.sys
File quarantined d:\temp\quar\netio.sys
File quarantined d:\temp\quar\NETw5s64.sys
File quarantined d:\temp\quar\npfs.sys
File quarantined d:\temp\quar\NPSWF32.dll
File quarantined d:\temp\quar\nsiproxy.sys
File quarantined d:\temp\quar\ntfs.sys
File quarantined d:\temp\quar\null.sys
File quarantined d:\temp\quar\nwifi.sys
File quarantined d:\temp\quar\pacer.sys
File quarantined d:\temp\quar\partmgr.sys
File quarantined d:\temp\quar\pci.sys
File quarantined d:\temp\quar\pciidex.sys
File quarantined d:\temp\quar\pcw.sys
File quarantined d:\temp\quar\PEAuth.sys
File quarantined d:\temp\quar\portcls.sys
File quarantined d:\temp\quar\rasl2tp.sys
File quarantined d:\temp\quar\raspppoe.sys
File quarantined d:\temp\quar\raspptp.sys
File quarantined d:\temp\quar\rassstp.sys
File quarantined d:\temp\quar\rdbss.sys
File quarantined d:\temp\quar\rdpbus.sys
File quarantined d:\temp\quar\RDPCDD.sys
File quarantined d:\temp\quar\RDPENCDD.sys
File quarantined d:\temp\quar\RDPREFMP.sys
File quarantined d:\temp\quar\rdyboost.sys
File quarantined d:\temp\quar\rspndr.sys
File quarantined d:\temp\quar\Rt64win7.sys
File quarantined d:\temp\quar\scsiport.sys
File quarantined d:\temp\quar\sdbus.sys
File quarantined d:\temp\quar\secdrv.sys
File quarantined d:\temp\quar\services.exe
File quarantined d:\temp\quar\smss.exe
File quarantined d:\temp\quar\spldr.sys
File quarantined d:\temp\quar\spoolsv.exe
File quarantined d:\temp\quar\sqlwriter.exe
File quarantined d:\temp\quar\srv.sys
File quarantined d:\temp\quar\srv2.sys
File quarantined d:\temp\quar\srvnet.sys
File quarantined d:\temp\quar\stacsv64.exe
File quarantined d:\temp\quar\stwrt64.sys
File quarantined d:\temp\quar\swenum.sys
File quarantined d:\temp\quar\SynTP.sys
File quarantined d:\temp\quar\SynTPEnh.exe
File quarantined d:\temp\quar\SynTPHelper.exe
File quarantined d:\temp\quar\taskhost.exe
File quarantined d:\temp\quar\tcpip.sys
File quarantined d:\temp\quar\tcpipreg.sys
File quarantined d:\temp\quar\tcpmon.dll
File quarantined d:\temp\quar\tdi.sys
File quarantined d:\temp\quar\tdx.sys
File quarantined d:\temp\quar\termdd.sys
File quarantined d:\temp\quar\tsddd.dll
File quarantined d:\temp\quar\tunnel.sys
File quarantined d:\temp\quar\umbus.sys
File quarantined d:\temp\quar\usbccgp.sys
File quarantined d:\temp\quar\usbd.sys
File quarantined d:\temp\quar\usbehci.sys
File quarantined d:\temp\quar\usbhub.sys
File quarantined d:\temp\quar\usbmon.dll
File quarantined d:\temp\quar\usbport.sys
File quarantined d:\temp\quar\usbuhci.sys
File quarantined d:\temp\quar\usbvideo.sys
File quarantined d:\temp\quar\VBoxDrv.sys
File quarantined d:\temp\quar\VBoxNetAdp.sys
File quarantined d:\temp\quar\VBoxNetFlt.sys
File quarantined d:\temp\quar\VBoxUSBMon.sys
File quarantined d:\temp\quar\vdrvroot.sys
File quarantined d:\temp\quar\vga.sys
File quarantined d:\temp\quar\videoprt.sys
File quarantined d:\temp\quar\vmstorfl.sys
File quarantined d:\temp\quar\volmgr.sys
File quarantined d:\temp\quar\volmgrx.sys
File quarantined d:\temp\quar\volsnap.sys
File quarantined d:\temp\quar\vsmraid.sys
File quarantined d:\temp\quar\vwifibus.sys
File quarantined d:\temp\quar\vwififlt.sys
File quarantined d:\temp\quar\wanarp.sys
File quarantined d:\temp\quar\watchdog.sys
File quarantined d:\temp\quar\Wdf01000.sys
File quarantined d:\temp\quar\WdfLdr.sys
File quarantined d:\temp\quar\wfplwf.sys
File quarantined d:\temp\quar\win32k.sys
File quarantined d:\temp\quar\winlogon.exe
File quarantined d:\temp\quar\wmiacpi.sys
File quarantined d:\temp\quar\wmilib.sys
File quarantined d:\temp\quar\wmpnetwk.exe
File quarantined d:\temp\quar\WSDMon.dll
File quarantined d:\temp\quar\wuauclt.exe
File quarantined d:\temp\quar\WUDFPf.sys
```

Но папка карантина по прежнему пуста.

----------


## Зайцев Олег

> Но папка карантина по прежнему пуста.


Ну я же сказал - прочитать документацию, даже ссылку дал  (не просмотреть, а *очень внимательно* прочитать)

----------


## Nerimash

Тогда возникает другой вопрос, если файл опознан как безопасный то почему в отчете менеджеров авз avz_sysinfo.htm я вижу совсем другую картину?

----------


## Зайцев Олег

> Тогда возникает другой вопрос, если файл опознан как безопасный то почему в отчете менеджеров авз avz_sysinfo.htm я вижу совсем другую картину?


И что - в менеджере прямо так и записано - "файл с именем _'d:\temp\quar\*.*_" небезопасный ?

----------


## Nerimash

Ну можете посмотреть. Поверте такой лог очень тяжело смотреть. есть большая вероятность упустить что нибуть.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## polar_owl

*Nerimash*, я бы для начала проверился бы какой-нибудь сигнатурной утилитой, записанной на болванку, либо ЛайвСиди, либо подключил жесткий диск к другому компу и проверил бы антивирусом со свежими базами....
Далее, главное, не забыть выключить восстановление системы, и сделать лог заново....

----------


## Vadim_SVN

> Ну можете посмотреть. Поверте такой лог очень тяжело смотреть. есть большая вероятность упустить что нибуть.


Мне кажется, что ответ АВЗ довольно достойный, чтобы дальше не изучать сам лог.



> >>>> Danger - the avz.exe file has been modified: its current CRC is not listed in Trusted Objects Database

----------


## Зайцев Олег

> Мне кажется, что ответ АВЗ довольно достойный, чтобы дальше не изучать сам лог.


Тут на самом деле кроме этого полная чертовщина - система суда по логу x64, есть подозрение, что у AVZ нет должных прав в системе и т.п. (и мы видим сочетание всех указаннх факторов)

----------


## Nerimash

C avz.exe  все ок. Это я распаковал ее при помощи upx, никакого вируса у меня нет.

А вот что с логом я действительно не знаю. По базе, я залил последний апдейт из 180 файлов( вы видели этот список драйверов и системных процессов который я приводил) . Робот написал что 90 из них уже добавленно в базу безопасных, через день, походу уже все были добавленны но авз в тупую не хочет обрабатывать этот список.

----------


## Зайцев Олег

> C avz.exe все ок. Это я распаковал ее при помощи upx, никакого вируса у меня нет.


Вот это и последствия вся ких шаманств ...

----------


## Nerimash

тоесть? 

Вот такой же лог с закрытыми браузерами и выключеным Кашмарским.

Правда у меня включен UAC. Я не совсем уверен, работает ли авз корректно с UAC или нет.

----------


## Зайцев Олег

> тоесть? 
> 
> Вот такой же лог с закрытыми браузерами и выключеным Кашмарским.
> 
> Правда у меня включен UAC. Я не совсем уверен, работает ли авз корректно с UAC или нет.


Система Win7 x64 ? Если так, то все просто:
1. AVZ должен запускаться с правами админа (т.е. правая кнопка на нем в проводнике и т.п.). В противном случае права его сильно урезаны и ничего толком работать не будет, или будет - но со сбоями 
2. Нужно понимать, что в x64 системе есть двойной комплект папок и файлов - для x32 и x64 процессов. AVZ смотрит с точки зрения x32 - так как подавляющее большинство зловредов таковые, и как следствие "не видит" файлы от x64 (их маскирует система). Такие файлы видны в логе, но по ним нет данных

----------


## Nerimash

С этим у меня все ок. Фар запускается с правами администратора, тоесть и авз которая запускается ФАРом также будет работать с правами администратора. Для теста запустил АВЗ при помощи explorer'a подобным, описаным вами, способом.

Меня не так интересует двухзначность папок под Win64, как то что АВЗ не хочет определять безопасные файлы как безопасные. Вот и все. Точнее она определяет их но  почему то менеджеры использующиеся для сбора информации в системе не делают этого. 

Кстати по поводу двухзначности системных папок: такова присутствует и в 32-разрядной версии Windows; System - системная папка для Win16 приложений и System32 - для их 32-х розрядных версий. Досcовские 16-x еммулируются ядром ntvdm. Все этот как бы делается в сторону обратной совместимости между программами платформы Microsoft. Правда сейчас только теоретически возможна корректная работа DoS и Win16 приложений.

----------


## AndreyKa

> Это можно ... но редко актуально, так как системные файлы защищены и в иделае самовосстановятся (или систма не загрузится без них). Если есть конкретное предложение (т.е. какие файлы), такое можно воткнуть хоть сейчас и поместить в апдейт


Редко или нет, но всё же актуально  :Smiley:  http://virusinfo.info/showthread.php?t=81954
Естественно, проверять есть ли те файлы, без которых система не загрузится, смысла нет.

----------


## antanta

> Monitor.Win32.KGBSpy известная вещь и в базах он не случайно - это шпион, ничего полезного в нем нет


 "Пиво по утрам - не только вредно, но и полезно". Кстати, когда-то давно мне подобными методами доводилось шпионить и за сынишкой. Ужо этические вопросы оставим...

----------


## NickM

Хотелось бы добавить в "SCU" (база мастера для чистки мусора) удаление дампов Касперского (если оное в базе отсутсвует), уж больно много места отъедают на компьютере пользователя.

----------


## gjf

Это ещё что за "Скрипт обновления, лечения и сбора информации Kaspersky Lab"? Вроде как сегодня с обновлениями приползло. У нас появились новые, альтернативные правила сбора логов?

*Добавлено через 46 секунд*

Кто не заметил - я про ExecuteStdScr(*7*)

----------


## Зайцев Олег

> Это ещё что за "Скрипт обновления, лечения и сбора информации Kaspersky Lab"? Вроде как сегодня с обновлениями приползло. У нас появились новые, альтернативные правила сбора логов?


Да, для саппорта ЛК

----------


## NickM

> Вроде как сегодня с обновлениями приползло.


и не сегодня, и не вчера,

----------


## gjf

Олег, разница в чём - для масс?

----------


## Зайцев Олег

> Олег, разница в чём - для масс?


Разница в том, что этот скрипт рекомендует выполнить саппорт ЛК при обращении пользователя... и он может меняться в любой момент без предупреждения (т.е. его функционал, выполняемые операции и их порядок, именование файлов и т.п.)

----------


## neo4511

> Хотелось бы добавить в "SCU" (база мастера для чистки мусора) удаление дампов Касперского (если оное в базе отсутсвует), уж больно много места отъедают на компьютере пользователя.


Поддерживаю на 100%

*Добавлено через 7 часов 19 минут*

Можно уточнить по поводу AVZ на Live CD, как обстоят дела? Есть ли готовый образ?

----------


## Oyster

> Можно уточнить по поводу AVZ на Live CD, как обстоят дела? Есть ли готовый образ?


Для создания и использования диска с BartPE нужна лицензия на Windows XP, из которой этот диск изготавливается. Распространение такого диска - отдельная песня. Именно поэтому все публично распространяемые лечебные LiveCD делаются на базе Linux.
Если у вас есть дистрибутив XPшки, то можете сделать свой образ самостоятельно - все остальные компоненты распространяются свободно.

----------


## NickM

к теме, http://virusinfo.info/showthread.php?t=82340

на днях тоже столкнулся с 2 компьютерами, в реестре имелось два раздела winlgon, система грузилась до экрана приветсвия, далее черный экран, "левый" раздел убирал с помощью ERD(в нем был указан параметр Shell с рандомным экзешником в системном разделе), возникли вопросы:

1. Справится ли АВЗ с таким случаем (ExecuteRepair)?
2. Как такое возможно (запись в реестр второго раздела winlogon)?

----------


## antanta

> к теме, http://virusinfo.info/showthread.php?t=82340
> 1. Справится ли АВЗ с таким случаем (ExecuteRepair)?
> 2. Как такое возможно (запись в реестр второго раздела winlogon)?


1. Если не грузится рабочий стол (а это так?), то как запускать AVZ?
2. Вероятно, в Regedit *отображаются* одинаковые имена. На самом деле - они разные. Юникод в имени ключа, наверное.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## polar_owl

> в реестре имелось два раздела winlgon


*NickM*, если конечно осталась возможность, можете выложить куст _software_? Я люблю подобные "аномалии" :Smiley:

----------


## NickM

> 1. Если не грузится рабочий стол (а это так?), то как запускать AVZ?
> 2. Вероятно, в Regedit *отображаются* одинаковые имена. На самом деле - они разные. Юникод в имени ключа, наверное.


1. шаманством, win+u и пр.
2. а winlogon-юникод отработает при загрузке?





> *NickM*, если конечно осталась возможность, можете выложить куст _software_? Я люблю подобные "аномалии"


был в отпуске, притащили эти компы на дом, возится долго было лень, загрузился с ERD проверил ключи в реестре, убрал лишнее, перезагрузился, загрузка прошла на ура, быстренько зачистил, и отдал, теперь самому интересно стало, ну ничего думается мне еще попадется, обязательно  выложу,

*Добавлено через 2 часа 12 минут*

*разработчику:*

1. окна пунктов меню "Файл" по разному реагируют на нажатие ESC, одни закрываются др. игнорируют, так задумано?

2. ограниченные возможности работы с клавиатурой в: окне обновления невозможно выбрать/изменить поле "Настройки" + окне "Карантин" невозможно выбрать кнопки "Удалить", "Архивировать", "Автодобавление", "Добавить по списку", "Восстановить" + окне "Отложенное удаление файла" невозможно указать файл через кнопку диалога

3. в окне "Добавление в карантин по списку" присутствует возможность вводить текст с клавиатуры в поле "Протокол", ?

----------


## Nerimash

Олег, на днях запускал проверку АВЗ втроенного в продукты Лаборатории Касперского и был приятно удивлён. Лог сканирования прикрепляю.

Из всего этого следует логичный вопрос: использует ли АВЗ, который встроен в продукти ЛК, другие репутационные базы либо другие технологии проверки "чистых" файлов?

----------


## gjf

*Nerimash*,



> Kaspersky Anti-Virus 2011 11.0.0.232 (database released 04/07/2010;  19:45)


11-я ветка вроде как в бете ещё прибывает...




> C:\PROGRA~2\KASPER~1\KASPER~1\x64\kloehk.dll


Тест проводился на х64? Она в AVZ не поддерживается.

----------


## santy

Интересно, winlogon обрабатывает обе ветки реестра?




> Windows Registry Editor Version 5.00
> 
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ]
> "shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"





> Windows Registry Editor Version 5.00
> 
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
> ...
> ...
> "LegalNoticeCaption"=""
> "LegalNoticeText"=""
> "PowerdownAfterShutdown"="0"
> "ReportBootOk"="1"
> ...

----------


## Nerimash

> *Nerimash*,
> 
> 11-я ветка вроде как в бете ещё прибывает...
> 
> 
> Тест проводился на х64? Она в AVZ не поддерживается.


Это английская версия, соотв. она уже месяц как релиз.  



> Тест проводился на х64? Она в AVZ не поддерживается.


Не совсем понял суть сказанного выше. Что именно не поддерживается? standalone AVZ или AVZ вмонтированный в KIS2011 ? Если второе, то он у меня прекрасно отработал(для теста удалял несуществующие драйвера из реестра).

----------


## Vadim_SVN

> 2. Как такое возможно (запись в реестр второго раздела winlogon)?


Если внимательно присмотреться, то можно увидеть, что во второй ветке присутствует в конце имени раздела пробел

*Добавлено через 22 минуты*




> Интересно, winlogon обрабатывает обе ветки реестра?


Попробовал на виртуалке


```
1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe, Notepad.exe"

2.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ]
"shell"="Explorer.exe, Notepad.exe"
```

Если только 1 - то открывается блокнот
Если 1 (без блокнота) и 2 - нормальная загрузка
Если удалить в 1 вообще параметр shell- нормальная загрузка
Если удалить и 1 и 2 - нормальная загрузка
Т.е. раздел ...\winlogon ] у меня не сыграл никакой роли, также как и убиение параметра shell в оригинальном winlogon

----------


## antanta

*NickM*, Предлагаю небольшой инструмент, который помогает анализировать подобные ситуации. В духе форума, в виде скрипта для AVZ  :Wink: .  Извиняюсь, что не стал переписывать фсю прогу  :Smiley: )
 Тактика такая: 1) сохраняем требуемую ветку в виде файла куста в нашем случае : 

```
 REG SAVE "HKLM\Software\Microsoft NT\CurrentVersion" C:\NT.HIV
```

 2) Натравливаем на этот файл такой вот скрипт: 

```
 var
HiveFile: string;
i: integer;
Delta: integer;
QTChild,OffsetToChild: integer;
OffsetToKey: integer;
P1,P2,P3: string;
NK: integer;
KeySize: integer;
KeyName: String;
begin
HiveFile:= 'C:\NT.HIV';
Delta:=4096;
if FileExists(HiveFile) then LoadFileToBuffer(HiveFile);
QTChild:=GetBufferDWord(Delta+32+24);
OffsetToChild:=Delta+GetBufferDWord(Delta+32+32);
 for i:=0 to (QTChild-1) do
   begin
      OffsetToKey:=4096+GetBufferDWord(OffsetToChild+8+i*8);
      KeySize:= GetBufferWord(OffsetToKey+76);
      KeyName:=GetBufferStr(OffsetToKey+80,KeySize);
      AddToLog(KeyName+'     '+ IntToStr(OffsetToKey+80) + '      '+ IntToStr(KeySize));
      SaveLog('C:\Keys.log');
   end;
end.
```

   В логе будет название ключа, смешение (где в файле хранится имя ключа), и размер имени. Потом открываем любимый хекс-редактор и смотрим, что там у нас на самом деле. 
   Если кто не знает, инфа на русском по структуре файлов реестра тут: http://paullee.ru/regstr4.html

----------


## Зайцев Олег

Закрыто ввиду выхода релиза 4.34

http://virusinfo.info/showthread.php?t=82704

----------

