# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.25

## Зайцев Олег

*Вышла новая версия антивирусной утилиты AVZ - 4.25 + AVZGuard/AVZPM/BootCleaner*
Страница загрузки http://www.z-oleg.com/secur/avz/download.php
Система учета ошибок, замечаний и предложений: http://www.z-oleg.com/secur/avz/report.php

Альтернативное зеркало для скачивания:
*http://depositfiles.com/ru/files/1376577*
дабы уменьшить нагрузку с сервера, попробуйте скачать через эту службу.Hажать на "скачать", напротив  кнопки "бесплатно", подождать 100 секунд и сохранить.


Антивирусная утилита AVZ - 4.25 + AVZGuard/AVZPM/BootCleaner
Архив с утилитой содержит базу вирусов от 17.04.2007 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов (Обратите внимание - базы AVZ обновляются ежедневно и могут быть загружены автоматически средствами самого AVZ - меню "Файл\Обновление баз").
Список доработок и модификаций: 
[-] Исправлены ошибки, возникающие в работе антикейлоггера на различных ОС
[-] Исправлены ошибки, связанные с AVZPM
[+] В дистрибутив вошли все усовершенствования и доработки, которые были введены в 4.24r1 - 4.24r4 
[++] BootCleaner - функция карантина файлов, драйверов и служб, расширенное протоколирование. 
[++] Менеджер автозапуска - добавлено более десятка различных экзотических методик автозапуска. Плюс расширены проверки ключей автозапуска, выполняемые скриптами эвристики 
[++] Новый менеджер - менеджер Active Setup. Данный менеджер подключен к базе безопасных, исследованию системы и автокарантину. 
[++] Расширена и доработана справочная система и документация 
[++] Скрипты - команда сканирование реестра и поиск заданного образца с выводом результатов в протокол, имя команды RegSearch 
[+] Протокол - цветовое выделение важных событий 
[+] Сортировка модулей в диспетчере процессов по всем столбцам (по умолчанию - по имени модуля) 
[+] Отчет о открытых порта - добавлен PID процессов 
[+] Антируткит - проверка экспортируемых функций ядра 
[+] Скрипты - усовершенствована команда карантина файлов, добавлено протоколирование карантина 
[+] Скрипты - команда остановки всех процессов с заданным именем 
[+] Формирование кода возврата при выходе из AVZ 
[+] Добавлена возможность перемещения карантина и папки Infected в отдельную папку для запуска AVZ с BootCD или иного ReadOnly носителя 
[+] Добавлена возможность задания произвольной папки в качестве каталога для временных файлов 
[+] Протоколирование карантина (успешность, ошибки) 
[-] Скрипты, исправлена функция CreateQurantineArchive (она помещала в архив самую старую папку карантина вместо самой новой) 
[-] Ключ AG=Y - исправлена ошибка в обработке ключа 
[-] В профилях не сохранялась настройка действий для HackTool - исправлено 

Кроме того, обновлена версия плагина для TheBat - в нем устранен сбой проверки почты, который возникал при некоторых сочетаниях настроек.
--------
Кроме того, обновился плагин для TheBat.

Начиная с версии 4.24 справка дублируется печатной документацией в PDF формате, текущая имеет размер 165 листов и размещена по адресу http://www.z-oleg.com/avz.pdf, размер файла 2 мб. Однако лучше прользоваться on-line справкой http://www.z-oleg.com/secur/avz_doc/, поскольку она оперативно обновляется и пополняется.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ego1st

что-то меня зелёный цвет сначало прям напрёг..

----------


## Макcим

Олег, расскажите пожалуйста про новую "подстветку". Что она означает?

----------


## drongo

Complete scanning result of "avz4.zip", received in VirusTotal at 03.06.2007, 13:02:10 (CET).

Antivirus	Version	Update	Result
AntiVir	7.3.1.38	03.06.2007	no virus found
Authentium	4.93.8	03.05.2007	no virus found
Avast	4.7.936.0	03.05.2007	no virus found
AVG	7.5.0.447	03.05.2007	no virus found
BitDefender	7.2	03.06.2007	no virus found
CAT-QuickHeal	9.00	03.05.2007	no virus found
ClamAV	devel-20060426	03.06.2007	no virus found
DrWeb	4.33	03.06.2007	no virus found
eSafe	7.0.14.0	03.05.2007	suspicious Trojan/Worm
eTrust-Vet	30.6.3458	03.06.2007	no virus found
Ewido	4.0	03.06.2007	no virus found
FileAdvisor	1	03.06.2007	no virus found
Fortinet	2.85.0.0	03.06.2007	no virus found
F-Prot	4.3.1.45	03.06.2007	no virus found
F-Secure	6.70.13030.0	03.06.2007	no virus found
Ikarus	T3.1.1.3	03.06.2007	no virus found
Kaspersky	4.0.2.24	03.06.2007	no virus found
McAfee	4976	03.05.2007	no virus found
Microsoft	1.2204	03.06.2007	no virus found
NOD32v2	2097	03.05.2007	no virus found
Norman	5.80.02	03.06.2007	no virus found
Panda	9.0.0.4	03.06.2007	no virus found
Prevx1	V2	03.06.2007	no virus found
Sophos	4.15.0	03.06.2007	no virus found
Sunbelt	2.2.907.0	03.05.2007	no virus found
Symantec	10	03.06.2007	no virus found
TheHacker	6.1.6.070	03.06.2007	no virus found
UNA	1.83	03.05.2007	no virus found
VBA32	3.11.2	03.05.2007	no virus found
VirusBuster	4.3.19:9	03.05.2007	no virus found


Недоделанный у esafe эвристик, как файл запакованный , так сразу подозреваемый.Напиши eSafe,в противном случае жди писем от пользователей  :Smiley: ))

----------


## santy

Первое что бросилось в глаза - подсветка важных событий в протоколе... это класс!  :Smiley: .

----------


## Зайцев Олег

> Олег, расскажите пожалуйста про новую "подстветку". Что она означает?


Это то, о чем пишет *santy* в посте номер 5 - важные с точки зрения анализа события выделяются цветом. Пока все выделяется красным, поскольку AVZ еще преводится на 6-уровневую оценку событий (просто сообщение в логе, обраружен зловред, подозрение на зловред, подозрение анализаторов (например, перехват или внедренная DLL), безопасный объект, ошибка). Каждому событию со временем будет назначен отдельный цвет и будет введено подавление событий любого типа в логе. Сейчас оно уже есть - если указать ключ командной строки MiniLog=Y, то в протокол попадут только важные события.

----------


## SuperBrat

> Первое что бросилось в глаза - подсветка важных событий в протоколе... это класс! .


Респект. 
У меня старая версия 4.23 обновила базы, используя файлы новой версии. По количеству скачиваемых файлов я догадался, что вышла новая версия, потом еще увидел объявление Ego1st. А вообще, это так задумывалось? Раньше более старые версии кричали, что надо скачать версию посвежее.

----------


## Зайцев Олег

> Респект. 
> У меня старая версия 4.23 обновила базы, используя файлы новой версии. По количеству скачиваемых файлов я догадался, что вышла новая версия, потом еще увидел объявление Ego1st. А вообще, это так задумывалось? Раньше более старые версии кричали, что надо скачать версию посвежее.


Это сделано специально - базы не изменились по формату, поэтому жесткой блокировки обновления и требования о замене версии нет. Я включу ее недели через две. У блокировки есть минус - дикая нагрузка на сайт из-за тысяч загрузок в день.

----------


## Erekle

Спасибо! Автозапуск, Active Setup, подсветка - хорош.
Зато расширения проводника, и так ограниченно показываемые в последнее время, свелись к нулю.

Небольшое замечание. Есть Trojan.Zonebac / Trojan-Downloader.Win32.Agent.awf. Пришёл в обличии "package" без расширения; есть его расплодившиеся копии-exe под разными именами. Даю на скан. Опции - максимум. Все чисты и все не опознаны как безопасные.
Это - если они лежат прямо. Если в архиве и если папка для временних файлов (не менял - Temp) занесён в исключениях антивируса, - то же самое.
Но если папку Темп предоставить антивирусу - с известными последствиями  :Smiley:  - то в таком случае имеем тот же результат, но первородный "package", несмотря на опцию проверять все файлы, по протоколу находится в базе безопасных.
Понятно, что времени на анализ не осталось, но почему (якобы) в базе?

----------


## RiC

Олег, хотелось бы ещё несколько Функций в Boot cleaner'e - 

1. Copy ("Source","Target") - проcтое копирование файла - нужно, альтернатива есть - Recovery Console, но она не всегда под рукой.

2. Rename ("Source","Target") - переименование файла.
Причём здесь важен порядок выполнения - сначала Rename, потом Copy, и потом всё остальное (Qurantine, Delete ...).

3. DelServiceByFile("FileName") - удалить сервис/драйвер по имени файла - антируткит показывает имя файла, но не всегда показывает имя сервиса, в качестве "мины" может всплыть корявая регистрация сервиса. что-нибудь типа %system32%\drivers\aaa.sys  :Sad: 

Ещё какой порядок выполнения Карантин/Удаление можно ли в одном скрипте мешать и карантин и удаление ?

----------


## Зайцев Олег

> Небольшое замечание. Есть Trojan.Zonebac / Trojan-Downloader.Win32.Agent.awf. Пришёл в обличии "package" без расширения .... 
> Понятно, что времени на анализ не осталось, но почему (якобы) в базе?


Если честно - ничего не понял  :Smiley:  Что такое "package", какой антивирус и в чем собственно проблема ?

----------


## Зайцев Олег

> Олег, хотелось бы ещё несколько Функций в Boot cleaner'e - 
> 
> 1. Copy ("Source","Target") - проcтое копирование файла - нужно, альтернатива есть - Recovery Console, но она не всегда под рукой.
> 
> 2. Rename ("Source","Target") - переименование файла.
> Причём здесь важен порядок выполнения - сначала Rename, потом Copy, и потом всё остальное (Qurantine, Delete ...).
> 
> 3. DelServiceByFile("FileName") - удалить сервис/драйвер по имени файла - антируткит показывает имя файла, но не всегда показывает имя сервиса, в качестве "мины" может всплыть корявая регистрация сервиса. что-нибудь типа %system32%\drivers\aaa.sys 
> 
> Ещё какой порядок выполнения Карантин/Удаление можно ли в одном скрипте мешать и карантин и удаление ?


1, 2 - однозначно будет к очередной версии
3 - возможно 

Карантин в BC имеет жеткий приоритет над удалением - т.е. в одном скрипте их можно и нужно применять, но сначала сработают все операции карантина, затем - все операции удаления (даже если в скритпе команды удаления стоят до команд карантина) . А вот обычные DeleteFile и QuarantineFile срабатывают по месту, в порядке вызова.

----------


## pig

> Если честно - ничего не понял  Что такое "package", какой антивирус и в чем собственно проблема ?


Я проблему понял так:
Если антивирус отбирает у AVZ извлекаемые из упомянутого "package" компоненты, то проверяемый макрообъект причисляется к находящимся в базе безопасных.
Непонятно, на основании чего Erekle сделал вывод о причислении. По цвету?

----------


## Erekle

Нерусский я, видимо от этого.  :Smiley: 
Когда антивирус (Симантек) отбирает у AVZ извлечённые из архива файлы (один из них - под именем "package", без расширения), то этот файл _в логе_ классифицируется (_а не причисляется_, сказал же: "якобы") как находящийся в базе. Хотя когда у антивируса нет такой возможности, тогда этот файл не _протоколируется_, само собой, как находящийся в базе.
В общем, замечание по протоколу, к тому же не имеющее большой важности, т. к. папку для темп-файлов теперь можно устанавливать; следовательно, она будет всегда исключена для антивируса.
Что же касается расширения, оно к тому, что копии этого файла (под названиями lsasss, svcipa, а также под именами приложений антивируса и файерволла, прописанных в автозагрузку и замещённых трояном), - имеющие расширение *exe и так же находящиеся в архивах, - _по протоколу_ не были "опознаны" как находящиеся в базе безопасных.
(KAV классифицирует и "package", и exe-файлы, как _... //PE_Patch.UPX//UPX_ )

----------


## AndreyKa

Видимо, проблема, которую упоминает Erekle, заключается в том, что Симантек антивирус обнуляет размер файла, распакованного AVZ для проверки, если находит в нем вирус. Файл нулевого размера AVZ считает безопасным.

----------


## Зайцев Олег

> Нерусский я, видимо от этого. 
> Когда антивирус (Симантек) отбирает у AVZ извлечённые из архива файлы  ...


Вот теперь понятно ... видимо действительно это особенность Симантека. Фокус в том, что файлы нулевой длинны AVZ действительно считает безопасными. Видимо Симантек или не дает AVZ записать данные в файл, либо усекает его до нулевой длинны.

----------


## Erekle

Похоже, не даёт? - Потому что уведомления об опасности в лице одного и того же файла AVZ появляются снова и снова, пока AVZ не закроется или не приступит к новой задаче. 
Если в архиве, раскрытом AVZ, несколько зловредов, - в изоляторе Симантека можно обозреть их побайтные копии, путь и имя файла для них один и тот же темп-файл AVZ.

----------


## pig

Из сегодняшнего syscure - текстовая часть, сканирование:


```
???????? ???????????? ??????? AVZ ?????? 4.24
???????????? ???????? ? 06.03.2007 21:37:02
????????? ????: 92528 ????????, 2 ????????????, 55 ????????????? ???????, ???? ?? 06.03.2007 11:35
```

Причём знаки вопроса прямо в HTML. Это откуда может произрастать?
http://virusinfo.info/showthread.php?t=8286

----------


## Sergey1974

не подскажет ли кто нибудь как можно включить эти функции у меня они неактивны никак

----------


## Help

> не подскажет ли кто нибудь как можно включить эти функции у меня они неактивны никак


файл помощи в самой программе тебе поможет  :Smiley:

----------


## Sergey1974

> файл помощи в самой программе тебе поможет


.

ну с этого я конечно и начал, но единственно что там написано про это --Инсталляция и включение AVZPM
Для включения AVZPM необходимо выполнить пункт меню "AVZPM/Установить драйвер расширенного мониторинга процессов". Выполнение этого пункта приводит к установке в систему драйвера мониторинга, его регистрации в реестре и загрузке. Драйвер начинает функциони..........

так вот этот пункт меню у меня не доступен(запрещён для выбора)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> не подскажет ли кто нибудь как можно включить эти функции у меня они неактивны никак


Если не активны, значит операционка скорее всего Win9x - под ней драйвера AVZ не работают.

----------


## Sergey1974

> Если не активны, значит операционка скорее всего Win9x - под ней драйвера AVZ не работают.


тогда всё понятно, на этом компе у меня МЕ.

----------


## NightKnight

Уважаемый Олег! 
Впечатлен Вашей программой, особенно тем, что она приспособлена "для анализа ПК, проверка которых другими средствами ничего не дала" – отличное дополнение к другим антиввирусам, которыми я пользуюсь. Очень радует, что AVZ не требует установки. 

Хотелось бы уточнить у Вас несколько моментов:

1) При проверке п.1.1. и 1.2. (rootkit’ов и перехватчиков API) выдаются сообщения:
«Функция kernel32.dll:GetProcAddress перехвачена, метод ProcAddressHijack.GetProcAddress
Внимание, таблица KiST перемещена !
Функция NtClose (19) перехвачена, перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemPowerState (F1) перехвачена перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys  »
И т.п. Всего около 40.
В архиве обсуждения Вашей программы на данном форуме я прочел, что это, возможно результат работы Антивируса Касперского. Действительно ли это так?

2) «7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "taskmgr.exe" = "C:\Program Files\DMoNsoft\PROWiSe\PROWiSe.exe"»
В чем опасность этой программы? Почему AVZ выдает такое сообщение? 

3) «Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll"»
Это связано с работой Outpost’а или сам Outpost не осуществляет скрытую загрузку, и это признак посторонних программ? 

4) «C:\Program Files\MediaCoder\codecs\producer\tools\audiofmtcon  verter.dll >>> подозрение на Trojan-PSW.Win32.QQPass.dr …» 
Ни один из моих антивирусов данный троян не фиксирует. Встречали ли Вы подобное сообщение раньше?  

5) При проверке системы иногда (но не всегда), происходит автоматическое переключение раскладки клавиатуры с помощью PuntoSwitcher. Сталкивались ли Вы с подобным эффектом?

6) Загрузил AVZGuard. Но, когда включил его, перестали работать ярлыки на панели быстрого запуска (при нажатии выдается сообщение о том, что отсутствует доступ к устройству или файлу, возможно из-за того, что недостаточно прав). Является ли это неисправностью программы, или естественным результатом работы AVZGuard (к сожалению, еще не успел полностью изучить справку Вашей программы, возможно эта проблема освещается в ней). 

С уважением.

----------


## Зайцев Олег

> Уважаемый Олег! 
> Впечатлен Вашей программой, особенно тем, что она приспособлена "для анализа ПК, проверка которых другими средствами ничего не дала" – отличное дополнение к другим антиввирусам, которыми я пользуюсь. Очень радует, что AVZ не требует установки. 
> 
> Хотелось бы уточнить у Вас несколько моментов: ....


1. Да, монитор KAV перемещает KiST и перехватывает массу функций для мониторинга за системой. Перехватчик - klif.sys
2. Windows NT позволяет задавать отладчики для процессов. Если это сделано, то вместо процесса будет запущен его отладчик. В данном случае для стандартного менеджера задач задан отладчик - некий PROWiSe.exe. По всей видимости, это какой-то альтернативный менеджер процессов и таким образом он подменил штатный диспетчер. Похожим образом это далает менеджер процессов Руссиновича, а кроме него - десятки разных зловредов, они применяют данный механизм как разновидность экзотического автозапуска и средство блокировки системных задач.
3. Данный ключ позволяет подгружать указанные библиотеку во все запускаемые процессы. Если библиотека опознана, как в данном случае - то это не опасно. А вот если неизвестна - то это почти наверняка зловред. Самый яркий пример - червяк Warezov
4. судя по имени и местоположению файла это ложное подозрение. Файл я советую прислать мне для анализа, если его безопасность подтвердится, то ложняк будет устранен, а файл - помещен в базу безопасных
5. У меня его нет, но прична эффекта ясна - поведенческий анализатор AVZ эмулирует клавиатурный ввод и мышиные события, PuntoSwitcher на это реагирует - вот и результат
6. Да, эта проблема описана в справке. Работать на ПК при активном AVZGuard нельзя, его нужно включать только после закрытия всех программ и тоолько на время убиения зловредов, защищающихся от удаления (сейчас чуть ли не каждый второй зловред агрессивно восстанавливает свои ключи в реестре, пересоздает файлы, перезапускает процессы и т.п. для самозащиты)

----------


## NightKnight

> ...  некий PROWiSe.exe. По всей видимости, это какой-то альтернативный менеджер процессов и таким образом он подменил штатный диспетчер.


Да, это альтернативный менеджер. Файл постараюсь прислать (смотрите ЛС).

Спасибо за Ваши комментарии!

----------


## NiKE2

В этой версии у меня появился баг:
[Сервис] -> [Менеджер внедренных DLL] 
И получаю красные окошки:

"Access violation at address AE8D5FB5. Read of address AE8D5FB5."

Нажимаю Ок:

"Access violation at address 1332DD03 in module 'avz.exe'. Read of address 000000001."

Нажимаю Ок, и опять появляются подобные окошки, и дальше avz виснет.

--
У  меня WinXP pro SP1

----------


## Mad Scientist

> В этой версии у меня появился баг:
> [Сервис] -> [Менеджер внедренных DLL] 
> И получаю красные окошки:
> 
> "Access violation at address AE8D5FB5. Read of address AE8D5FB5."...


Схожая ситуация. До Access violation не доходит, окно все-таки отображается, но почему-то
до отображения происходит штук 20-30 стандартных Beep, которые сливаются в очередь. 

Олег, как насчет "экзотических способов автозапуска":



> Выверка диспетчера автозапуска по "45 экзотическим методам автозагрузки" [в процессе, масса мелких доработок]


(до выхода 4.24)

(опять сошлюсь на http://www.xakep.ru//magazine/xa/081/118/1.asp 
ведь все равно приведенное там пашет, а в менеджере автозагрузки этого нет, т.е. чтоб понять откуда взялся зверь ([Explorer Shell Extentions]) придется ручником перебирать dll загруженные explorer'om...)

----------


## NickGolovko

Олег, уже упоминал я о фичреквесте, но вы, вероятно, его не увидели. К нам на форум ЛК последнее время часто обращаются с жалобами на последствия вирей типа Trojan.Win32.VB.als, которые модифицируют настройки открытия дисков для автозапуска себя любимого. Был бы полезен скрипт восстановления системы "Восстановление параметров открытия дисков", который бы удалял:

- раздел HKCU\Software\Microsoft\Windows\CurrentVersion\Win  dows\MountPoints2 

- и содержимое подраздела

HKCR\Drive\shell.

(т.е. в первом случае в разделе Explorer не должно остаться раздела MountPoints2, а во втором подраздел HKCR\Drive\shell остается, но должен быть пуст).

----------


## Yanis

Олег, спасибо вам за ваши труды. Являюсь поклонником программы с давних пор и постоянно слежу за её развитием. 
Я думаю, что если на сайте AVZ ввести Donate-раздел, то вы сможете хотя бы покрыть свои расходы на содержание этого же сайта.

Интерес заставляет меня задать следующий вопросы. 

1. Когда процесс сканирования будет переведён из главного потока в отдельный поток, c возможностью менять его приоритет?! По моему это добавит удобств и при работе с программой действия пользователя никак не будут влиять на скорость сканирования.

2. Зачем на закладке "Базы AVZ", в окне TAboutDLG, в таблице список выглядит таким образом, что во второй колонке в каждой строке постоянно дублируется фраза "дата сборки"? Ведь в заголовке колонки это уже написано  :Cheesy: 

3. Когда появится нормальное графическое оформление программы? К томуже не мешало бы добавить горячие клавиши для некоторых пунктов меню (Т.к. на 100% не угадаешь для кого какой пункт самый часто используемый, то возможно придётся написать редактор горячих клавиш.)
Может сейчас в меня полетят камни и многие скажут, что это не того рода программа, что бы вешать на неё рюшечки-цветочки. Но грамотное графическое оформление ускоряет работу с программой, способствуя быстрому визуальному запоминанию интерфейса программы. А быстрое освоение программы способствует её популяризации. Заметьте, я говорю именно о грамотном *оформлении*!

Конечно я не облачил тут супер багов и вопросы мои имеют низкую важностью на пути развития программы, но я думаю любые вопросы и нарекания в сторону AVZ, так или иначе помогают её улучшению! Буду рад ответам на них. Спасибо.

----------


## Yanis

Навеяно предпоследним вопросом от *NickGolovko*.
Олег, почему бы не перевести комманды из "Восстановление системы", "Стандартные скрипты" в отдельные скрипты которые, возможно, будут располагаться в отдельной папочке *Scripts* в папке с *AVZ*. Это повысит удобство расширяемости, т.к. для того что бы добавить исправлялку надо будет просто написать скрипт и добавить в папку. 
К тому же написание скриптов автоматизации поможет Вам понять каких подпрограмм не хватает во встроенном скриптовом языке и поможет начинающим разбираться в синтаксисе скриптов посмотреть "живые" примеры.

----------


## Зайцев Олег

> Навеяно предпоследним вопросом от *NickGolovko*.
> Олег, почему бы не перевести комманды из "Восстановление системы", "Стандартные скрипты" в отдельные скрипты которые, возможно, будут располагаться в отдельной папочке *Scripts* в папке с *AVZ*. Это повысит удобство расширяемости, т.к. для того что бы добавить исправлялку надо будет просто написать скрипт и добавить в папку. 
> К тому же написание скриптов автоматизации поможет Вам понять каких подпрограмм не хватает во встроенном скриптовом языке и поможет начинающим разбираться в синтаксисе скриптов посмотреть "живые" примеры.


"Восстановление системы" и "Стандартные скрипты" основаны на скриптовом движке, но скрипты хранятся в обновляемой базе. Т.е. я в любой момент могу добавить новый скрипт или модернизировать существующие, и за счет автообновления это появится у всех пользователей.  Пример - сегодня после обновления баз появится 16й пункт восстановления системы. А "живые примеры" я описываю в справке - там почти на каждую команду есть пример.

----------


## Yanis

Ок. Один из вопросов освещен.

----------


## SuperBrat

Олег, 14 и 15 пункты восстановления системы чем отличаются?

----------


## Зайцев Олег

> Олег, спасибо вам за ваши труды. Являюсь поклонником программы с давних пор и постоянно слежу за её развитием. 
> Я думаю, что если на сайте AVZ ввести Donate-раздел, то вы сможете хотя бы покрыть свои расходы на содержание этого же сайта.
> Интерес заставляет меня задать следующий вопросы....


Раздел Donate делать особого резона нет - он принесет копейки. По поводу вопросов:
1. Возможности регулировки приоритета есть - см. в справке, ключи Priority=[-1|0|1] и SleepScanTime=N
2. Ранее у заголовка была шапка "Информация о базе". Возможно, он еще вернется и информация будет расширена
3. Сложный вопрос  :Smiley:  Исходно у AVZ интерфейса не было вообще. Потом я сделал текущий вариант, не сильно задумываясь о дизайне. К примеру, сейчас большинство пользователей с AVZ работаю так - запускают стандартный скрипт, скидываю логи, получают скрипт чистки ... Конечно, можно сделать разноцветный дизайн, с поддержкой скинов и т.п., но нужно ли ? Другое дело что-т ооптимизировать и т.п. - если есть идеи, поделитесь, подделать что-то тривиально

----------


## Зайцев Олег

> Олег, 14 и 15 пункты восстановления системы чем отличаются?


Реализацией. 14 - достигается средствами AVZ, 15 - стандартными средствами операционной системы. Соответственно если 14 не помогает, то стоит пробовать 15.

----------


## Зайцев Олег

*to Mad Scientist, NickGolovko* 
Это будет в очередной версии, в виде отдельного менеджера. Там не все однозначно, я насчитал уже штук 5 похожих методов автозапуска подобным образом.

----------


## NickGolovko

Автозапуск там не страшен - вопрос в чистке следов  :Smiley:

----------


## NO-REG

Здравствуй Олег, вот на праздники хотел наехать - не получилось  :Wink: 
 Суть такова: после установки новой версии (субжа) сделал первый запуск и был немного удивлён: на недокачаном архиве вывело красным - не ПкЗип архив и повисло- минут 10 нагрузка первого проца ~75%, ни пауза, ни стоп не реагировали. Никакие изменения в настройках тоже не помогли. Немного поразмыслив мозгами прикинул что сначала нужно УДАЛИТЬ "старый" АВЗПР и установить новый - прокатило без проблем.

 Второй вопрос: есть такая мулька - ПроцессЛассо, которая автоматически задаёт приоритеты процессам и их тредам (потокам) зависимо от настроек или же автоматически завершает запрещённые. Довольно часто АВЗ просто закрывался без сообщений, а теперь возникают тормоза и ошибки. Я понимаю что это "конфликт" софтов, но раз его нельзя решить по хорошему, то можно ли хотя бы реализовать автоконтроль приоритета прямо в АВЗ?  (а то в Диспетчере Задач-- Процессы-- Задать приоритет коряво работает)
 Конечно, имеется в виду контроль себя, а там - как руки дотянуться  :Wink:

----------


## NiKe2

Хотел новой версией проверить диск С, но AVZ повисла (также как и описанно выше)

----------


## Зайцев Олег

> Хотел новой версией проверить диск С, но AVZ повисла (также как и описанно выше)


Есть подозрение, что это глюк с обработкой архивов - сейчас идет отработка этой версии, мне прислали сегодня утром архив, на котором наблюдается такой заскок.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## NO-REG

Олег, я тут на досуге захотел почитать документацию в качестве ликбеза (то что ты и предложил в ПДФ), но кажется либо шрифт не встроен, либо у меня такого нету, короче -крякозяблики с картинками...
Это лечится?

----------


## Зайцев Олег

> Олег, я тут на досуге захотел почитать документацию в качестве ликбеза (то что ты и предложил в ПДФ), но кажется либо шрифт не встроен, либо у меня такого нету, короче -крякозяблики с картинками...
> Это лечится?


А акробат свежий ? В старых версиях какой-то косяк с отображением шрифтов, в 6.0 CE все должно работать (а теории конечно  :Smiley:  )

----------


## Nick222

> А акробат свежий...


Используйте FoxItReader и не мучайтесь...

----------


## drongo

у меня всё нормально, кроме пункта 5.3  . В нём одни закорючки  :Smiley: ))
версия  8  :Smiley:

----------


## Mad Scientist

"C:\Program Files\Borland\Delphi7\Demos\Corba\Idl2Pas\EJB\euro  converter\Java\CurrencyConverter.jar Invalid file - not a PKZip file"
- это к чему?

Если придавить слайдер полосы прокрутки во время скана, то скан повиснет и не продолжится, пока не отпустишь. Я видел такую же фичу и в других прогах, по крайней мере Application.ProcessMessage при зажатом слайдере не проходит. А вообще как-нибудь можно от этого избавиться?(спрашиваю больше для понимания). Разве процесс сканирования запускается не в отдельном потоке?

----------


## Nick222

> у меня всё нормально, кроме пункта 5.3 . В нём одни закорючки ))
> версия 8


Подтверждаю - п. 5.3 "Модули пространства ядра" - крякозябры - видимо перед экспортом слетел русский шрифт...
Смотрел через FoxItReader.

----------


## Flooter

еще фишка - у меня два диска. Раздел второго я подмонтировал на первый как папку. АВЗ ругается. Не то что бы ругается,но грит что то типа "ахтунг, имя файла такое, а на самом деле - такое" (и подставляет другой, "истинный" путь). 
Это баг или фича?  :Smiley: 
Может стоит как-то отрабатывать такие ситуации, что бы лишний раз не "нервировать" пользователя?

и вдогонку - нельзя ли сделать модуль просмотра содержимого памяти, в хекс- и асм- (эт было бы вообще супер) виде.
Если нельзя, то хотя бы сохранения указанных кусков РАМа в файл на диск (уж на крайняк можно и хиев-ом потом посмотреть)

----------


## Зайцев Олег

> еще фишка - у меня два диска. Раздел второго я подмонтировал на первый как папку. АВЗ ругается. Не то что бы ругается,но грит что то типа "ахтунг, имя файла такое, а на самом деле - такое" (и подставляет другой, "истинный" путь). 
> Это баг или фича? 
> Может стоит как-то отрабатывать такие ситуации, что бы лишний раз не "нервировать" пользователя?
> 
> и вдогонку - нельзя ли сделать модуль просмотра содержимого памяти, в хекс- и асм- (эт было бы вообще супер) виде.
> Если нельзя, то хотя бы сохранения указанных кусков РАМа в файл на диск (уж на крайняк можно и хиев-ом потом посмотреть)


По поводу имен файла - это фича. Связано с тем, что зловред в теории может так маскироваться от обнаружения, вот AVZ и показывает реальный путь к объекту.
Просмотр памяти и файлов в HEX - планируется, так как часто у юзера FAR на ПК нет и посмотреть файл нечем ... насчет ASM - видимо нет смысла, так как тупое дизассемблирование памяти с произвольной точки даст бред. Сохранение образа EXE файла, DLL и есть - функция дампирования в соответствующих менеджерах.

----------


## NO-REG

Думаю для "лентяев", тоесть пости для всех  :Smiley:  пригодились бы 2е такие фичи:

1) встроенная кнопка "Хел ми! Сос ми!.." и т.д в случае не(?) обнаружения коников, грызунчиков и прочих неваляшек;
или как вариант - аналогичный пункт в меню файл "Отправить протокол"

2) на работе на Хрю стоит вышеупомянутый ПроцессЛассо Про и среди его возможностей есть "Завершать все НЕ доверенные процессы", просто удивительно, но машинка работает уже 4 года без проблем. Для винды это что-то, но суть не в том: 
*Олег, насколько реально в АВЗ сделать "драйвер" контроля "не/доверенных" процессов (+служб?) и будет ли это полезно?

----------


## AndreyKa

Не понятки с работой BootCleaner-а в теме http://virusinfo.info/showthread.php?t=8313
Скрипт:



> ClearQuarantine;
>  SetAVZGuardStatus(True);
>  DeleteFile('C:\WINDOWS\System32\npptdpnm.exe');
>  BC_ImportDeletedList; 
>  ExecuteSysClean;
>  BC_QrFile('C:\WINDOWS\System32\npptdpnm.dll');
>  BC_DeleteFile('C:\WINDOWS\System32\npptdpnm.dll');
>  BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
>  BC_Activate;
>  RebootWindows(True);


лог:



> Quarantine path: \??\D:\Install\Antivir\avz4\avz4\Quarantine\2007-03-12\
> QuarantineFile \??\C:\WINDOWS\System32\npptdpnm.dll - succeeded
> DeleteFile \??\C:\WINDOWS\System32\npptdpnm.exe - failed (0xC0000034)
> -- End --


В логе нет упоминания о попытке удалить npptdpnm.dll, и файл не удален на самом деле.

----------


## Зайцев Олег

> Не понятки с работой BootCleaner-а в теме http://virusinfo.info/showthread.php?t=8313
> 
> В логе нет упоминания о попытке удалить npptdpnm.dll, и файл не удален на самом деле.


Ошибка 0xC0000034 - это "Объект не найден". А вот с файлом npptdpnm.dll - это глюк. Он пойман, завтра выйдет апдейт баз, в котором будет исправление это ошибки.

----------


## userr

Олег, а плагин для TheBat какой сейчас версии ? внутри  http://z-oleg.com/avz4thebat.zip лежит avz_thebat.bav вер. 4.23.0.0, md5 ee7855d64ddebb9d6760ee57a3a71349

----------


## Mad Scientist

Видимый процесс с PID=2188, имя = "\Device\HarddiskVolume1\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"
 >> обнаружена подмена имени, новое имя = "c:\progra~1\foxits~1\foxitr~1\foxitr~1.exe"
(это скорее "старое", ипользовавшееся в DOS :Wink: )

----------


## Jolly Rojer

> Здравствуй Олег, вот на праздники хотел наехать - не получилось 
>  Суть такова: после установки новой версии (субжа) сделал первый запуск и был немного удивлён: на недокачаном архиве вывело красным - не ПкЗип архив и повисло- минут 10 нагрузка первого проца ~75%, ни пауза, ни стоп не реагировали. Никакие изменения в настройках тоже не помогли. Немного поразмыслив мозгами прикинул что сначала нужно УДАЛИТЬ "старый" АВЗПР и установить новый - прокатило без проблем.


Скорей всего архив большой на этом AVZ споткнулся, но если в диспетчере задач отображается, что приложенье не работает это не факт что оно намертво висит!Проверено временем!




> Второй вопрос: есть такая мулька - ПроцессЛассо, которая автоматически задаёт приоритеты процессам и их тредам (потокам) зависимо от настроек или же автоматически завершает запрещённые. Довольно часто АВЗ просто закрывался без сообщений, а теперь возникают тормоза и ошибки. Я понимаю что это "конфликт" софтов, но раз его нельзя решить по хорошему, то можно ли хотя бы реализовать автоконтроль приоритета прямо в АВЗ?  (а то в Диспетчере Задач-- Процессы-- Задать приоритет коряво работает)
>  Конечно, имеется в виду контроль себя, а там - как руки дотянуться


А идея в принципе не плохая!




> Хотел новой версией проверить диск С, но AVZ повисла (также как и описанно выше)


Честно сказать за 3 года активного юзанья AVZ подобного практически не наблюдалось. 
А насчет дизайна лично мне все равно, меня AVZ устроит и в режиме коммандной строки.  :Smiley:

----------


## Ego1st

> Честно сказать за 3 года активного юзанья AVZ подобного практически не наблюдалось. 
> А насчет дизайна лично мне все равно, меня AVZ устроит и в режиме коммандной строки.


он многих людей устроит, но вот обычного пользователя.. да ещё удалленно приведёт просто в шок..

Олег посмотри пожалуйста 
http://forum.kaspersky.com/index.php...pic=33853&st=0
второй раз встречаю данного зловреда, и второй раз лечение неудачное SPI\LSP не востанавливаеться..


[чёрт совместите 2 моих последних поста]

----------


## Зайцев Олег

> он многих людей устроит, но вот обычного пользователя.. да ещё удалленно приведёт просто в шок..
> 
> Олег посмотри пожалуйста 
> http://forum.kaspersky.com/index.php...pic=33853&st=0
> второй раз встречаю данного зловреда, и второй раз лечение неудачное SPI\LSP не востанавливаеться..
> 
> 
> [чёрт совместите 2 моих последних поста]


В таком случае стоит выполнить скрипт номер 15 отдельно. Если не поможет - значит, зловред удалил из настроек одного или нескольких системных провайдеров.

----------


## Ego1st

> скрипт номер 15 отдельно


а если вместе 14 и 15 непрокатит?




> Если не поможет - значит, зловред удалил из настроек одного или нескольких системных провайдеров.


это чтож востанавливать систему надо будет? жесть..

мде теперь уже и не скажешь человеку, пропал он..

----------


## MF-B

Ничего более лучшего в плане антивируных программ я еще не встречал
 Недостатки канешна то же есть но в паре Авастом эта программа наконец то удалила всю гадость с одной постоянно больной машины

Забежал сюда на пару секунд - написать СПАСИБО Отличная программа

Еще как нибудь загляну  :Smiley:

----------


## NickGolovko

Олег, можно сделать, чтобы имелась возможность прямо из протокола кидать имя файла (не путь!) в Google?

----------


## NO-REG

Jolly Rojer, как раз архив вроде то и небольшой - 4,2Мб, но битый (недокачаный мп3-файл- отмена на 72%), в винраре открывает и сразу предупреждает про битость.
А виндовзскому диспетчеру задач мало кто доверяет, тем более сразу, но когда так продолжается около 10 минут, то это немного напрягает.
Jolly Rojer, может для релакса например, как в ДрВебе напротив файла крутёлочку поставить [\|/-] или другой индикатор типа "работаю-не работаю".
 Разумеется, при условии что он тоже не зацикливается  :Wink: 
Для страховки я бы предпочёл какой-то таймаут на каждый файл учитывая размер - не успел - вывелось "таймаут" и следующий. Вроде того

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dandy

При выборе в меню "Injected dll-s" AVZ дает AV, после чего повисает, съедая все процессорное время. Запуск с debug=Y не дает никакой инфрмации
Нюанс: Французская Windows XP SP1 корпоративная + все заплатки

----------


## Зайцев Олег

> При выборе в меню "Injected dll-s" AVZ дает AV, после чего повисает, съедая все процессорное время. Запуск с debug=Y не дает никакой инфрмации
> Нюанс: Французская Windows XP SP1 корпоративная + все заплатки


К концу недели выйдет обновленная 4.24, там этот глюк будет устарнен, равно как еще несколько мелких багов.

----------


## RiC

> а если вместе 14 и 15 непрокатит?


Ещё такой вариант есть - http://www.softpedia.com/get/Tweak/N...nSockFix.shtml

----------


## Ego1st

да уж поздно человека нету, я кстати об этой программке знаю.. 
другое дело я надеялся авз справиться..

----------


## Lje

Хорошо что версия 4.23 обновляет базы, а то новая версия пока что-то уж слишком глючная и висучая

----------


## Jolly Rojer

> Jolly Rojer, может для релакса например, как в ДрВебе напротив файла крутёлочку поставить [\|/-] или другой индикатор типа "работаю-не работаю".
>  Разумеется, при условии что он тоже не зацикливается 
> Для страховки я бы предпочёл какой-то таймаут на каждый файл учитывая размер - не успел - вывелось "таймаут" и следующий. Вроде того


Ну это я думаю не ко мне  :Wink:  а к Олегу! Олег народ просит крутилочку...!
Хотя насколько мне известно что шкала прогресса у AVZ есть хоть и не совсем точная, а что поделать прогноз дело не благодарное.

----------


## SuperBrat

> Хорошо что версия 4.23 обновляет базы, а то новая версия пока что-то уж слишком глючная и висучая


Не более, чем прежняя версия. А учитывая как оперативно Олег все поправляет, сидеть на старой версии смерти подобно. Имхо. Лучше помогать ему ее тестировать и вовремя сообщать о глюках здесь. Надеюсь, никого не обидел?  :Wink:

----------


## Зайцев Олег

> Ну это я думаю не ко мне  а к Олегу! Олег народ просит крутилочку...!
> Хотя насколько мне известно что шкала прогресса у AVZ есть хоть и не совсем точная, а что поделать прогноз дело не благодарное.


Крутилку можно сделать - но получается парадокс: на перерисовку крутилки может уходить примерно столько-же ресурсов, сколько на скан файла  :Smiley:  А шкала прогресса статистическая (есть как известно три вида неправды - ложь, гнусная ложь и статистика  :Smiley:  ). Пример: если AVZ наталкивается на архив, то статистика количества файлов и времени сканирования начинает уточняться, в результате я неоднократно видел, как прогресс замирает и даже назад отползает в ходе сканирования.
По поводу зависания на архиве - я ограничил уровень вложенности архивов до 50-70 уровней, иначе могут быть глюки, особенно в распаковщике RAR, который я беру "как есть" ввиду того, что он постоянно обновляется.

----------


## taloran

*Олег*, такой  вот  вопрос:  почему  AVZ  "давится"   при  сканировании   файлoв  с  расширением  chm? В  новой  версии  это  ощущается  меньше, но  в  прошлых  это  был  ахтунг :Sad:  . Как  только  скан  доходил  до  такого  файла, AVZ  вешался  и  перестовал  отвечать. Я  поначалу  прерывал  сканирование, потом  выяснилось  что  всё-таки  AVZ  их  просканит, надо  просто  подождать, но  только  долго( мин15  вроде  или   > , точно  уже  не  помню).
И  ещё:  при  начале  сканирования  AVZ  помечает  красным  перeхватчики  sptd.sys  и  cmdmon.sys. С  sptd  понятно (Daemon  лезет  глубоко  :Cheesy:  ), но  cmdmon  почему  красный, чем Comodo   не  понравился? Если  б  выделился  обычным  чёрным  всё   нормал, но  красным...
 Сканирование  всегда  провожу  на  максимальном  уровне  эвристики  :Wink:

----------


## Ego1st

> cmdmon почему красный, чем Comodo не понравился


тем же самым что и даймон тулз...

----------


## taloran

> тем же самым что и даймон тулз...


 Верно... Только  вместо  красного  был  бы  уместнее  чёрный  или  зелёный...
Посмотрим, что  скажет  *Олег*  :Smiley:

----------


## Зайцев Олег

> Верно... Только  вместо  красного  был  бы  уместнее  чёрный  или  зелёный...
> Посмотрим, что  скажет  *Олег*


Выделение строки красным происходит из-за того, что AVZ фиксирует перехват, т.е. вмешательство в работы системы. Возможно, если перехватчик будет опознан как безопасный, то я сделаю его отображение черным.

----------


## Mad Scientist

Прописал в *"HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\C  urrentVersion\Winlogon"*
в параметр *"UserInit"* вместо *"С:\WINDOWS\system32\userinit.exe,"* 
*"С:\WINDOWS\system32\userinit.exe,C:\test.exe"*
Получилось - в менеджере автозапуска эта строка выделена зелёным.
Т.е. как бы все в порядке.

В отчете:
{*C:\WINDOWS\system32\userinit.exe,C:\test.exe, -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit* } (тоже зелёное)

Т.е. надо для ключей, допускающих мультизагрузку разбивать их, отдельно анализировать по базе безопасных и для каждого создавать отдельную строку в отчете(менеджере автозапуска).

----------


## Mad Scientist

Неплохо бы сделать возможность автозагрузки профиля настоек при запуске программы

----------


## Зайцев Олег

> Неплохо бы сделать возможность автозагрузки профиля настоек при запуске программы


Уже сделано - в момент старта AVZ изет профиль с именем avz.prf в том-же каталоге, что и avz.exe. Если провифиль с таким именем обнаруживается, то он считается профилем по умолчанию и загружается автоматически.

----------


## SEA

У меня возникла проблема. Во время сканирования AVZ выдает ошибку: external exception C000001D. То же самое, только сразу же, при запуске менеджера внедренных dll. Что это и как с этим бороться?

----------


## Зайцев Олег

> У меня возникла проблема. Во время сканирования AVZ выдает ошибку: external exception C000001D. То же самое, только сразу же, при запуске менеджера внедренных dll. Что это и как с этим бороться?


Нужно подождать до понедельника - новый релиз готов, в нем эта ошибка устранена.

----------


## SuperBrat

> Нужно подождать до понедельника - новый релиз готов, в нем эта ошибка устранена.


Попробуйте, до выхода релиза, сразу включать AVZGuard. Мне помогало.

----------


## SEA

> Попробуйте, до выхода релиза, сразу включать AVZGuard. Мне помогало.


Спасибо за совет, попробую. Да и до понедельника ждать уже не долго.

----------


## Nick222

Опять с Батом началось:



> !17.03.2007, 18:40:18: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов


Даже отправить письмо не могу...

Как бы точно продиагностировать причину возникновения проблемы?
Лог АВЗ нормальный вроде.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Erekle

*Менеджер Active Setup* даёт суховатую информацию... Например:
_D:\WINDOWS\system32\regsvr32.exe Microsoft(C) Register Server_

В некоторых других программах:
Autoruns
_Windows Desktop Update Microsoft(C) Register Server d:\windows\system32\regsvr32.exe_

Browser Sentinel
_Windows Desktop Update_
_Описание Windows Shell Common Dll_
_Команда regsvr32.exe /s /n /i:U shell32.dll_
_Файл D:\WINDOWS\system32\shell32.dll_
_Размещение    HKLM Software\Microsoft\Active Setup\Installed Components\{898..._

A2HijackFree
_{89820200-ECBD-11cf-8B85-00AA005B4340} regsvr32.exe /s /n /i:U shell32.dll_

Остальные тоже ограничиваются командой и CLSID-ом (HijackThis - не смотрел).

Windows Desktop Update вроде не должно быть в XP и IE6. На оффсайте упоминается загружаемый Update.exe. Недавно какой-то Update.exe (TR/Crypt.XPACK.Gen // Generic.Dialer. К сожалению, немногие на Вирустотале его опознали) захаживал (лежал на десктопе и не было видно его, прописал себя в исключениях Файерволла Виндоуса.). Если пункт в реестре оставил он, то я буду думать, нужен ли мне Windows Desktop Update.  :Smiley:  Но менеджер указывает лишь на regsvr32...

----------


## Jolly Rojer

Олег, а когда AVZ в полную силу заработает на 64 разрядной операционке?

----------


## Зайцев Олег

Обновилась русскоязычная версия AVZ - пофиксен ряд багов, которые вылезли в ходе тестирования.

----------


## DoSTR

> Обновилась русскоязычная версия AVZ - пофиксен ряд багов, которые вылезли в ходе тестирования.


А номер версии не будет меняться? (типа: 4.24.1)

----------


## Зайцев Олег

> А номер версии не будет меняться? (типа: 4.24.1)


Нет, многозначную версию я не делаю - она в скриптах применяется для контроля версии. Но в окне "О программе" выводится "4.24 r2" - где r - *R*elease, цифра - номер релиза

----------


## The Un4given

Только что скачал свежий архив AVZ, запустил, и вот что получил



> >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных


В чём тут дело?

----------


## userr

Олег, просьба на http://www.z-oleg.com/secur/avz/download.php писать данные (размер, md5) и для Bat plugin.

----------


## Зайцев Олег

> Олег, просьба на http://www.z-oleg.com/secur/avz/download.php писать данные (размер, md5) и для Bat plugin.


ОК, завтра сделаю. Я еще и по архиву AVZ.ZIP данные поправлю. 
----
Как баг в антикейлоггере, исчез ?

----------


## PavelA

@Олег Вопросик возник: BootCleaner добавляет в карантин файлы с расширением dat, а обычный dta. Это баг, или фича :-)

См. карантин к теме 8481.

----------


## Andrey

Олег, почему бы не сделать отдельную утилиту для обновления самой программы, а не только AV баз.

----------


## Mad Scientist

> Прописал в *"HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\C  urrentVersion\Winlogon"*...
> *"С:\WINDOWS\system32\userinit.exe,C:\test.exe"*
> ...


-> C:\test.exe не опознан как безопасный (черный цвет), но удалить/отключить этот параметр невозможно

Здорово! Только, похоже, т.к. *userinit.exe* был опознан как безопасный системный процесс и уделение/отключение его было невозможным, то это свойство было унаследовано и C:\test.exe.
Также при запуске v4.24 r2 почему-то не загружается автоматически avz_profile.prf (ждем до 4.25?, хотя автозагрузка параметров не так уж и необходима)

----------


## Flooter

пожелание: многие зловреды при запуске правят реестр на предмет отключения некоторых ф-ций - возможности запуска регедита, показа скрытых файлов и т.д. 
Нельзя ли сделать фичу, восстанавливающую "нормальное" состояние этих параметров?

ЗЫ: Если это уже реализованно, просьба ногами не пинать, а подсказать хде это  :Smiley:

----------


## AStr

наблюдаю вылет из программы при вызове Менеджера внедренных DLL под w2k/sp4 ws - проверил на 4-х машинах  :Sad:  Под winxp все нормально.

----------


## Зайцев Олег

> пожелание: многие зловреды при запуске правят реестр на предмет отключения некоторых ф-ций - возможности запуска регедита, показа скрытых файлов и т.д. 
> Нельзя ли сделать фичу, восстанавливающую "нормальное" состояние этих параметров?
> 
> ЗЫ: Если это уже реализованно, просьба ногами не пинать, а подсказать хде это


Эта функция есть - Файл/Восстановление системы. Там есть микропрограмма для удаления Policies.

----------


## Ego1st

> пожелание: многие зловреды при запуске правят реестр на предмет отключения некоторых ф-ций - возможности запуска регедита, показа скрытых файлов и т.д. 
> Нельзя ли сделать фичу, восстанавливающую "нормальное" состояние этих параметров?
> 
> ЗЫ: Если это уже реализованно, просьба ногами не пинать, а подсказать хде это


AVZ - файл- востановление системы

----------


## Зайцев Олег

> наблюдаю вылет из программы при вызове Менеджера внедренных DLL под w2k/sp4 ws - проверил на 4-х машинах  Под winxp все нормально.


На W2K проверю - нужно только будет найти W2K SP4.

----------


## Зайцев Олег

> -> C:\test.exe не опознан как безопасный (черный цвет), но удалить/отключить этот параметр невозможно
> 
> Здорово! Только, похоже, т.к. *userinit.exe* был опознан как безопасный системный процесс и уделение/отключение его было невозможным, то это свойство было унаследовано и C:\test.exe.
> Также при запуске v4.24 r2 почему-то не загружается автоматически avz_profile.prf (ждем до 4.25?, хотя автозагрузка параметров не так уж и необходима)


1. Удалить/отключить параметр невозможно, так как он описан как "системный" и для него действует тольк опция "восстановить". Это свойство распространяется на все элементы, найденные из ключа (в данном случая это C:\test.exe и userinit.exe, и у обоих одентичная опция - восстановить, восстанавливающая ключ запуска userinit.exe
2. Профиль по умолчанию должен называться avz.prf, а не avz_profile.prf - поэтому он и не грузится.

----------


## Зайцев Олег

> Олег, почему бы не сделать отдельную утилиту для обновления самой программы, а не только AV баз.


Сделать можно, оно уже сделано в текущей версии апдейтера - но тогда трафик моего сайта возрастет с 400 ГБ до 2-4 терабайт в месяц, и он "ляжет" окончательно. Сейчас в миру гуляет несколько миллионов копий AVZ, из них около 80-100 тыс активных (т.е. в месяц хотя-бы одно обновление баз). Только одно обновление баз порождает непрерывный шквал запросов, я уже думаю сделать еще 1-2 зеркала для баз и avz.zip

----------


## Зайцев Олег

> @Олег Вопросик возник: BootCleaner добавляет в карантин файлы с расширением dat, а обычный dta. Это баг, или фича :-)
> 
> См. карантин к теме 8481.


Это баг, исправлю - расширение должно быть одинаковое

----------


## Nick222

> На W2K проверю - нужно только будет найти W2K SP4


Да, к сожалению Аксесс бла-бла-бла - при попытке запуска Менеджера внедрённых ДЛЛ три раза выскакивает окно об ошибке и АВЗ подвисает намертво...
Скриншот прилагается. 
Система именно такая, как указано.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AStr

> На W2K проверю - нужно только будет найти W2K SP4.


можно и на w2k/w3k server проверить - есть access violation...
на одной w2k/ws тоже, а на 4-х просто закрытие окна AVZ

----------


## Зайцев Олег

> можно и на w2k/w3k server проверить - есть access violation...
> на одной w2k/ws тоже, а на 4-х просто закрытие окна AVZ


В том то и проблема - я тестировал на W2K SP3 rus и W2K3 SP1 Ent Server en - все рабатает. Т.е. у меня проблема в том, что я не могу воспроизвести ситуацию.

----------


## AndreyKa

> при попытке запуска Менеджера внедрённых ДЛЛ три раза выскакивает окно об ошибке и АВЗ подвисает намертво...


На WinServer 2000 SP4 rus то же самое. Процесс AVZ зависает и грузит процессор на полную.
Запускал через терминал.

----------


## PavelA

@Олег 
Что это?? тема 8545
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

----------


## NickGolovko

Просьба заценить записи файла HOSTS.

Протокол живой, лечим Brontok на форуме ЛК.

----------


## Зайцев Олег

> Просьба заценить записи файла HOSTS.
> 
> Протокол живой, лечим Brontok на форуме ЛК.


Ага - надо будет пару тегов воткнуть, чтобы HTML воспринималься как текст  :Smiley:  Кстати, причина этого интересно - часто бывает так, что зловред загружает файл hosts с некоторого сайта и тупо заменяет им системный. Если сайт зловредописателей прикроют, вместо Hosts вернется html страничка, обычно напичканная рекламой - вот и получается казус в логе  :Smiley:

----------


## Mad Scientist

Handl'ы dll (диспетчер процессов)в HEX, а в отчетах(html) в integer

----------


## Jolly Rojer

У меня на W2K3R SP2 Ent Server х64 eng работает,ошибок вроде пока нет.

----------


## DimaT

Вот выдало вдруг в самом конце:



> ---------------------------
> Антивирусная утилита *AVZ*.Идет проверка, *100%* 
> ---------------------------
> Access violation at address 1330ECE3 in module *'avz.exe'*. Read of address FFFFFFFF.
> ---------------------------
> OK


 Кто спровоцировал?

----------


## Silencer

На Win2k AS sp4 и WinXP Prof SP1 вылезает три раза Access Violation при запуске "Менеджер внедренных DLL";
На WinXP SP2 такая ошибка появляется при проверке (не всегда), как только выводится строка 
"5. Поиск перехватчиков событий..."

----------


## Зайцев Олег

> На Win2k AS sp4 и WinXP Prof SP1 вылезает три раза Access Violation при запуске "Менеджер внедренных DLL";
> На WinXP SP2 такая ошибка появляется при проверке (не всегда), как только выводится строка 
> "5. Поиск перехватчиков событий..."


Это известный баг, проявился в 4.24, к вторнику-среде планируется его окончательно пофиксить (он проявляется хитро - не на всех системах и не всегда).

----------


## Nick222

Вопрос, он же предложение:
Нельзя ли как-то упростить внесение файлов в список безопасных - например, ввести понятие "локально безопасных" файлов - которые сам юзер помечает как безопасные и они заносятся в локальную базу безопасных файлов - потом АВЗ автоматически берёт эти файлы, их MD5, названия программ, сайты, откуда они взяты - и отправляет Вам, где эти файлы проверяются. Затем они уже вносятся в общую базу безопасных.

Просто масса программ, явно безопасных, мозолит глаза в анализаторах и логах: Ява, Аваст, КламВин, Тотал Коммандер, Бат, Миранда и прочее...

Или есть простой путь пометки файлов как безопасных, я просто о нём не знаю?  :Smiley:

----------


## Muffler

> Или есть простой путь пометки файлов как безопасных, я просто о нём не знаю?


Есть. Выполните процедуру описанную здесь.

----------


## Nick222

Спасибо, залил  :Smiley:

----------


## Зайцев Олег

> Спасибо, залил


Спасибо, я потихоньку скачиваю эти архивы и помещаю в базу чистых.
------
Сегодня кстати знаменательное событие - утром был пойман и прописан в базу 100.000-й зловред  :Smiley:

----------


## santy

> Спасибо, я потихоньку скачиваю эти архивы и помещаю в базу чистых.
> ------
> Сегодня кстати знаменательное событие - утром был пойман и прописан в базу 100.000-й зловред


Поздравляю!

Кажется, совсем недавно было 10-15тыс. Хотя это и сомнительный повод для нас. Такими темпами растет количество вредоносных программ!

----------


## Nick222

> потихоньку скачиваю эти архивы и помещаю в базу чистых


Надеюсь, с предварительной проверкой - мало ли чего юзера накачают...  :Wink:

----------


## Зайцев Олег

> Поздравляю!
> 
> Кажется, совсем недавно было 10-15тыс. Хотя это и сомнительный повод для нас. Такими темпами растет количество вредоносных программ!


В том то и беда - количество разновидностей и модификаций зловредов растет со страшной силой. К примеру только одних Hoax программ за последние полгода лично мной зафиксировано 224 разновидности, пинчей более 700 ...

----------


## Nick222

Интересно, что фактически Интернет уже давно походит на имунную систему живого организма - с примерно теми же реакциями и агентами - а участники Сети как составляющие этой системы  :Smiley:

----------


## NickGolovko

> пинчей более 700 ...


дамрай трудится не покладая рук. Для каждого клиента у него индивидуальный пинч.  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## АлександрУ

Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003

----------


## Зайцев Олег

> Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
> Он должен работать после загрузки???
> Ключи в реестре есть, файл есть, сообщений об ошибках нет.
> ver.4.24 r2
> win xp home
> Win2003


Должен. Я советую:
0. Удалить AVZPM и перезагрузиться. Обновить базы. После обновления на всякий случай перезапустить AVZ. 
1. Включить AVZPM, провести сканирование и убедиться, что в логе есть отметка о его использовании и нет ошибок
2. Перезагрузиться и повторить опыт. После перезагрузки PM должен работать

----------


## АлександрУ

В системе XPhome рецепт помог, win2003 проверю позже..
Обновляюсь ежедневно, где была проблема не понял.
А удаление avz - это только удаление каталога avz?
При попытке ручного удаления в реестре ссылок с AVZRK - система не позволяет..???..AVZPM при этом не работает...
Может в AVZ добавить ключ - чистка реестра(uninstall avz)?

----------


## АлександрУ

Uninstall AVZ нашел в стандартных скриптах - не разу не интересовался этим пунктом...попробовал его - работает.

Опять вылез глюк с AVZPM на системе с XPhome. 
Удалял, обновлял, чистил - не помогло.
Ставлю v.4.24(не r2) - avzpm работает.......

----------


## Oro

Привет




> Спасибо, я потихоньку скачиваю эти архивы и помещаю в базу чистых.


Олег. у нас на проксе стоит ограничение на размер выгружаемых от нас файлов ~250к

Я разбивал большие файлы  на части раром и ли  7зипом
Они собирались? (имен файлов уже к сожалению не помню давненько было)

----------


## Зайцев Олег

> Привет
> 
> 
> 
> Олег. у нас на проксе стоит ограничение на размер выгружаемых от нас файлов ~250к
> 
> Я разбивал большие файлы  на части раром и ли  7зипом
> Они собирались? (имен файлов уже к сожалению не помню давненько было)


Пара архивов RAR у меня открылись нормально, еще 1-2 многотомных не открылись - ругался на повреждение одной из частей архива. Вообще лучше делать не многотомный архив, а именно несколько независимых архивов.

----------


## Alex_Goodwin

> Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
> Он должен работать после загрузки???
> Ключи в реестре есть, файл есть, сообщений об ошибках нет.
> ver.4.24 r2
> win xp home
> Win2003


 У меня такая же проблема была - в AVZ устанавливаю AZVPM, просит перезагрузку. В меню AZVPM сообщается, что он не установлен. щелкаем установить и все ок. Глюк программы, т.к. драйвер на самом деле встал и работает.

----------


## Oro

> Вообще лучше делать не многотомный архив, а именно несколько независимых архивов.


Стараюсь,  но не всегда выходит - бывают файлы (незаархивированные) по 1-2 Мб

----------


## Mad Scientist

Win XP Home Edition -> Access Violation
Когда сканирование доходит до <поиска клавирных перехватчиков>
AVZ 4.24 r2 впадает в Access Violation. 
AVZPM не установлен, винда была замучена разными вирями, в том числе и каким-то уродцем, который после копирования текста в буффер заменял его на "Hello".

----------


## Mad Scientist

> У меня такая же проблема была - в AVZ устанавливаю AZVPM, просит перезагрузку. В меню AZVPM сообщается, что он не установлен. щелкаем установить и все ок. Глюк программы, т.к. драйвер на самом деле встал и работает.


Аналогично. Глюк интерфейса.
Однако, когда после выполнял скрипт "Скрипт сбора неопознанных и подозрительных файлов"
получил:"1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM"

----------


## АлександрУ

Действительно, AVZPM работает после перезагрузки, но AVZ его не видит. Это проблема релиза r2.

----------


## Зайцев Олег

> Действительно, AVZPM работает после перезагрузки, но AVZ его не видит. Это проблема релиза r2.


Да - проблема поймалась, причина - внеочередная замена версии. Я видимо выпущу r3, чтобы убрать эту проблему

----------


## SuperBrat

> Да - проблема поймалась, причина - внеочередная замена версии. Я видимо выпущу r3, чтобы убрать эту проблему


Олег, сделай потом объявление на главной странице z-oleg.com, пожалуйста. Не все приходят на этот форум.

----------


## Зайцев Олег

> Олег, сделай потом объявление на главной странице z-oleg.com, пожалуйста. Не все приходят на этот форум.


ОК, сделаю. Я положил на прежнее место обновленный архив, там 4.24 r4, в ней устранены глюки в антикейлоггере, AVZPM и еще ряд мелочей.

----------


## Dandy

Странности..

Attention !!! The database was last updated 3/6/2007 - it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.24
Scanning started at 4/3/2007 7:36:22 PM
Database loaded: 92528 signatures, 2 NN profile(s), 55 microprograms of healing, signature database released 06.03.2007 11:35
Heuristic microprograms loaded : 367
Digital signatures of system files loaded: 56711
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights 
1. Searching for rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section: .text
 Analysis: ntdll.dll, export table found in section: .text
 Analysis: user32.dll, export table found in section: .text
 Analysis: advapi32.dll, export table found in section: .text
 Analysis: ws2_32.dll, export table found in section: .text
 Analysis: wininet.dll, export table found in section: .text
 Analysis: rasapi32.dll, export table found in section: .text
 Analysis: urlmon.dll, export table found in section: .text
 Analysis: netapi32.dll, export table found in section: .text
1.2 Searching for kernel-mode API hooks
 Driver loaded successfully 
 SDT found (RVA=0846E0)
 Kernel ntkrnlpa.exe found in the memory at the address 804D7000
   SDT = 8055B6E0
   KiST = 80503A70 (284)
Function NtCreateKey (29) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2DF
>>> Function recovered successfully !
Function NtDeleteKey (3F) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2F3
>>> Function recovered successfully !
Function NtDeleteValueKey (41) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B31F
>>> Function recovered successfully !
Function NtOpenKey (77) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2CB
>>> Function recovered successfully !
Function NtRenameKey (C0) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B309
>>> Function recovered successfully !
Function NtSetValueKey (F7) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B335
>>> Function recovered successfully !
Function NtTerminateProcess (101) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B34B
>>> Function recovered successfully !
Functions checked: 284, intercepted: 0, restored: 7
1.3 Checking IDT and SYSENTER 
 Analysis for CPU 1
 Analysis for CPU 2
 Checking IDT and SYSENTER - complete
 >>>> Suspicion for Rootkit McAfeeFramework "C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart
1.4 Searching for masking processes and drivers
 The extended monitoring driver (AVZPM) is not installed, examination is not performed
2. Scanning memory
 Number of processes found: 44
 Number of modules loaded: 395
Memory checking - complete
3. Scanning disks
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Program Files\HPQ\IAM\bin\ItMsg.dll --> Suspicion for a Keylogger or Trojan DLL
C:\Program Files\HPQ\IAM\bin\ItMsg.dll>>> Behavioral analysis: 
 Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis  (see FAQ for more details),  because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
 checking disabled by user
7. Heuristic system check
Checking complete
Files scanned: 439, extracted from archives: 0, malicious programs found 0
Scanning finished at 4/3/2007 7:36:36 PM
!!! Attention !!! Recovered 7 KiST functions during Anti-Rootkit operation
This may affect execution of several programs, so it is strongly recommended to reboot 
Time of scanning: 00:00:14
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference  
*Quarantine file error ""C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart", attempt to perform direct disk reading
 Quarantine file error (direct disk reading) "%S"* 
File "C:\Program Files\HPQ\IAM\bin\ItMsg.dll" quarantined succesfully

----------


## EvilPhantasy

Олег, возможно вопрос не в тему, но что будет если AVZ просканирует папку с глубиной пути больше MAX_PATH? Или очееень глубоко вложенный файл, папку с запущенным оттуда процессом? Мне интересно, поскольку мы сейчас занимаемся "исследованием" на тему эксплоитостойкости security софта. Первый этап - внутренние буферы. Пока результаты неутешительные. http://forum.rootkits.ru/viewtopic.php?id=95

----------


## Зайцев Олег

> Олег, возможно вопрос не в тему, но что будет если AVZ просканирует папку с глубиной пути больше MAX_PATH? Или очееень глубоко вложенный файл, папку с запущенным оттуда процессом? Мне интересно, поскольку мы сейчас занимаемся "исследованием" на тему эксплоитостойкости security софта. Первый этап - внутренние буферы. Пока результаты неутешительные. http://forum.rootkits.ru/viewtopic.php?id=95


Я не проверял, но глюк вполне возможен - надо будет завтра поэкспериментировать, весьма интересно. Аналогично кстати с проверкой архивов-матрешек - я недавно поставил контроль глубины в AVZ, так как стали появляться "бомбы" в виде 200-300 архивов внутри друг друга, их рекурсивная раскрутка в частности в RAR архиве однозначно приводила к падению.

----------


## Ego1st

Олег рюшечка конечно но всё таки, можно в логах поменять местами 
"Нейтрализация перехватов функций при помощи антируткита"
"Включить AVZGuard" 

просто начинаешь нажимать поочереди получаеться не очень хорошо "Нейтрализация перехватов функций при помощи антируткита" получаеться после "Включить AVZGuard", я уже так пару раз ошибиться успел..

----------


## drongo

Ещё маленькое предложение в логах для нашего форума, в тексте было бы сказано в каком режиме загружена система, как в бетке hi jack this (Normal mode/ safe mode..)

----------


## Erekle

Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате сообщила, что



> Происшествие: зашла в "файл", запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось


И почему вообще запустила его - не пойму.  :Smiley:  Но в принципе такое может быть? Автокарантин ведь только с копированием, или ошибаюсь?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SuperBrat

> Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате


Erekle, молодец!  :Smiley:  Выражение "с больной головы посоветовал AVZ пользователю" я записал. Один знакомый хирург говорил: "Я по телефону диагноз не ставлю!" Хороший девиз, ему лучше следовать и делать все самому. Автокарантин не страшен, пользователь просто собрал все подозрительные файлы в одной папке (без удаления).

----------


## Зайцев Олег

> Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате сообщила, что
> 
> И почему вообще запустила его - не пойму.  Но в принципе такое может быть? Автокарантин ведь только с копированием, или ошибаюсь?


AVZ в руках такого шустрого пользователя страшнее обезьяны с гранатой  :Smiley:  Именно поэтому в AVZ и появились скрипты - чтобы самодеятельность пользователя свести к нулю. Я почитал указанное обсуждение, логов там не видно, но судя повсему на ПК каша из пары антивирусов, Firewall и парочки троянов. Если в такой ситуации включить автокарантин AVZ, то возможен конфликт AVZ и действующего антивирусного монитора. Вообще автокарантин - это просто сбор файлов, которые не опознаны по базе безопасных.

----------


## PavelA

Олег
В теме 8846 Windows ME не правильно отображается раздел лога Active Setup. Взгляни при случае.

----------


## Erekle

> Выражение "с больной головы посоветовал AVZ пользователю" я записал.
> "Я по телефону диагноз не ставлю!"


 :Smiley:  Конечно...
Точнее, советовали другие и она уже "проводила лечение" (каким образом, можно только гадать), я подвиг на повтороное сканирование, потому что она спрашивала, как его настроить. Но она отклонилась от советов. И я так и не добился лога за всю ночь, несмотря на неоднократные увещевания. Единственное - обрывок лога, интересный по её мнению, да ещё удалённый потом из сообщения из "осторожности".  :Smiley:  У неё два ПК, каша из бывших и нынешних антивирусов-антиспай и активная самодеятельность "для профилактики", да ещё в спешке, что было ясно видно и из других её сообщений на форуме. Только поэтому не отослал её сразу сюда.

----------


## DoggoD

Что-то случилось с AVZPM.. Не могу понять.. Стало происходить (скорее всего) с апреля месяца.. Устанавливаю AVZRK, перезагружаю систему, запускаю AVZ, а драйвер типа не установлен.. В Диспетчере служб и драйверов AVZRK висит, а приложение его не воспринимает..
Вопрос:
Со мной все нормально?

----------


## Зайцев Олег

> Что-то случилось с AVZPM.. Не могу понять.. Стало происходить (скорее всего) с апреля месяца.. Устанавливаю AVZRK, перезагружаю систему, запускаю AVZ, а драйвер типа не установлен.. В Диспетчере служб и драйверов AVZRK висит, а приложение его не воспринимает..
> Вопрос:
> Со мной все нормально?


Нужно обновить AVZ - это баг, проявился в конце марта - начале апреля. Он уже пофиксен, но официально версия AVZ не менялась (в "О программе" отображается дата сборки и релиз после буквы R).

----------


## PavelA

Олег! Просто напомню. посмотри тему 8846, что-то там нето АВЗ отображает.

----------


## Scitalec

Всем привет!
Я достаточно давно наблюдаю и анализирую отечественные и зарубежные
разработки, как в области защиты, так и в области нападения.
Когда я  "открыл" для себя AVZ я отнесся к нему не очень серьезно, но решил активно поганять. С тех пор не расстаюсь с Вашей прогой!
Огромное спасибо за качественный и бесплатный продукт!
Но в связи с переходом на Vista64 по понятным аричинам от AVZ пришлось отказаться. А жаль!
Так вот, мне интересно, планируется ли в принципе переход на Vista/Vista64 и как долго его ждать?
Желаю вам успехов!

----------


## PavelA

@Олег Зайцев

Есть предложение сделать в логе исследования ссылочку на начало протокола. Было бы, думаю, удобно. Сначала сходил вниз, посмотрел протокол, потом вернулся, проанализировал лог.

----------


## AndreyKa

Кнопка Home на клавиатуре уже есть.  :Wink:

----------


## PavelA

Не точно выразился. Хотелось бы именно сверху вниз перепрыгивать.
А такой кнопки на клавиатуре не нашел  :Sad:

----------


## Exxx

А кнопочка End чем не подходит?  :Smiley:

----------


## PavelA

Забыл, старый дядька, никогда этой кнопкой не пользуюсь.
Но, все-таки хотелось попадать на начало лога, а не на самый конец.

----------


## Nick222

Предложение:
При обновлении антивирусной базы сделать так, чтобы АВЗ в конце сообщал - сколько по объёму загружено и какие файлы обновлены (последнее - если требуется).
А то он просто говорит "Загружено и установлено" без конкретики - и это часто нервирует  :Smiley:

----------


## taloran

Так  он  же  сообщает. Счас  только что  обновил, в   окне  выдало  о   загрузке  115 Кб. В  момент  обновления  показывается  список  обновляемых  файлов  :Smiley:

----------


## Nick222

В *момент* обновления - да, но у меня АДСЛ - это сообщение проскакивает очень быстро и потом всё закрывается обезличенным результирующим окном "Загружено и установлено" - а что, сколько и проч. - неясно...

----------


## taloran

Ну  у  меня  тоже, если  обновление  небольшое, всё  аналогично. Правда размер  всё-таки  успеваю  заметить  :20: . Насчёт  лишнего - не  волнуйся, "хлама"  и  пр.  не  загрузится. По  крайней  мере  я  с  таким  не  сталкивался.
А  что  нервирует  кстати  при  обновлении, в  чём  причина  беспокойства?

----------


## anton_dr

Олег, при сканировании компа некоторые строчки пишутся красным цветом. В лог исследования попадает отчет об этом сканировании. Но эти строчки красным уже не подсвечены - не критично, в принципе, но лучше б если б подсветились  :Smiley:

----------


## Ego1st

да есть такое, причем одни и теже строчки могут подсвечиваться, а при повторном могут и не подсвечиваться.. 
вообщем не понятно, когда светяться, коогда нет..

----------


## AStr

**************************************************  ****************

1. Известный антивирусный эксперт Олег Зайцев присоединится к команде "Лаборатории Касперского"

    "Лаборатория Касперского", ведущий разработчик систем защиты от
вирусов, хакерских атак и спама, сообщает о заключении договора о
сотрудничестве с широко известным независимым антивирусным экспертом
Олегом Зайцевым. Олег Зайцев - один из самых авторитетных в России
специалистов по борьбе с компьютерными угрозами, включая шпионские и
хакерские программы. Он является создателем популярного бесплатного
антивирусного приложения AVZ ("Антивирус Зайцева"), предназначенного для
анализа безопасности компьютерных систем и их защиты от различных видов
вредоносных программ.

    Теперь Олег Зайцев войдет в число сотрудников отдела антивирусных
исследований Департамента инновационных технологий "Лаборатории
Касперского". Сотрудничество с таким признанным экспертом в области
информационной безопасности, несомненно, поможет расширить спектр
продуктов и услуг "Лаборатории Касперского" и еще больше повысить их
качество.

    "Мы - инновационная технологическая компания, которая
заинтересована в специалистах самого высокого класса, способных не
только выполнять сложнейшие задачи, но ставить их. Олег - именно
такой человек, профессионал, понимающий ситуацию и знающий тенденции
развития нашей индустрии, способный находить верные решения и правильно
их реализовывать. Я очень рад тому, что он присоединился к нашей
команде", - отметил Евгений Касперский, руководитель антивирусных
исследований "Лаборатории Касперского".



**

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ego1st

> **************************************************  ****************
> 
> 1. Известный антивирусный эксперт Олег Зайцев присоединится к команде "Лаборатории Касперского"
> ................
> **


http://virusinfo.info/showthread.php...newpost&t=8976

----------


## Nick222

"Известный антивирусный эксперт Олег Зайцев присоединится к команде «Лаборатории Касперского»"
http://www.kaspersky.ru/news?id=207732495

И чего?!?

----------


## santy

Угу, жаль что Олег не присоединился к команде Eset или DrWeb.  :Smiley: . Тем не менее, Олег, искренне поздравляю со столь важным событием в жизни. Желаю вместе с работой над КАВ не забывать о собственном детище АВЗ, который там необходим на антивирусном фронте среди всего многообразия инструментов.

----------


## Nick222

Боюсь, что многообразия уже не будет  :Sad:

----------


## Muffler

A AVZ тоже касперу продали...?

----------


## NickGolovko

Пока сказать ничего конкретного нельзя - доживем до 4.25, увидим.  :Smiley:

----------


## Зайцев Олег

> Пока сказать ничего конкретного нельзя - доживем до 4.25, увидим.


Вот и дожили  :Smiley:  Вышла версия 4.25, в ней нет особо новых фич, зато включены все багфиксы, которые выходили для 4.24. Вообще уже начинает вырисовываться устойчавая тенденция - в версиях с четными номерами добавляется ряд функций, с нечетными - идет правка ошибок и совершенствование. В новой версии обновленная база - сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов

----------


## NickGolovko

> Вот и дожили  Вышла версия 4.25, в ней нет особо новых фич, зато включены все багфиксы, которые выходили для 4.24. Вообще уже начинает вырисовываться устойчавая тенденция - в версиях с четными номерами добавляется ряд функций, с нечетными - идет правка ошибок и совершенствование. В новой версии обновленная база - сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов


А как же моя просьба заранее предупредить?  :Smiley:  Я же не прислал вам выверенную базу переводчика.  :Smiley:

----------


## Rene-gad

@Олег Зайцев
При проверке ПК АВЗ 4.25 выдано следующее сообщение



> C:\downloads\FinePrint\fp560.exe >>>>> Trojan-PSW.Win32.Nilage.bhe


Этот файл - Сетап для менеджера печати, кстати очень удобного  :Smiley:  . Оригинальный файл можно скачать на www.fineprint.com
Прошу проверить.
Спасибо.

----------


## Mad Scientist

Очень рад, что Олег продолжает работу по развитию AVZ в нынешнем бизнес-мире, это благородное дело.

----------


## reseacher

> Версия 4.25


В старых версиях был файлик avzsg.sys (был ещё и avz.sys) нужны ли они сейчас, поскольку в новых версиях начиная с 4.24 такие файлы отсутсвую, если они нужны то почему их нет в дистрибутивах?! :Embarassed:  

Второе - наверное вытекает из первого, попытался использовать версию 4.25 на зараженной машине, включил AVZGuard и AVZPM, перегружаюсь, компьютер начинает искать какой-то драйвер и естественно его не находит, запускаю AVZ - AVZGuard не включен, надо включать заново, драйвер AVZPM работает.

По умолчанию стоит проверять архивы, может лучше по умолчанию проверку архивов отключить, или сделать как дополнение, или скриптом или другим путем быструю проверку критических областей. :Wink:

----------


## NickGolovko

> В старых версиях был файлик avzsg.sys (был ещё и avz.sys) нужны ли они сейчас, поскольку в новых версиях начиная с 4.24 такие файлы отсутсвую, если они нужны то почему их нет в дистрибутивах?! 
> 
> Второе - наверное вытекает из первого, попытался использовать версию 4.25 на зараженной машине, включил AVZGuard и AVZPM, перегружаюсь, компьютер начинает искать какой-то драйвер и естественно его не находит, запускаю AVZ - AVZGuard не включен, надо включать заново, драйвер AVZPM работает.


Теперь драйвера создаются динамически.

Вторая описанная вами проблема есть случайный глюк, связанный с динамическим созданием драйверов.  :Wink:

----------


## reseacher

> Теперь драйвера создаются динамически.
> 
> Вторая описанная вами проблема есть случайный глюк, связанный с динамическим созданием драйверов.


Т.е. раз теперь они не нужны из можно удалить, я надеюсь правильно понимаю. Попытался создать файлик надежных программ для помощи, но он у меня получился около 37 мб, а на форуме написано около 20 мб,  я конечно понимаю, что я много программ использую но они все нужны :Cheesy:   :Wink:

----------


## pig

Разбейте на несколько архивов.

----------


## reseacher

> Разбейте на несколько архивов.


Так и сделал, перепаковал раром, но что-то очень уж долго закачивается первая, большая часть, наверное надо уменьшить размер, хотя вроде должно быть нормально ( первая часть 19,0 MB (20 000 000 bytes), вторая часть 7,45 MB (7 815 008 bytes)). :Huh: 

Все нормально, закачалась первая часть, просто канал был немного занят... :Smiley:

----------


## Nick222

У меня почему-то закачалось 39 Мб нормально - такое может быть?

----------


## Kuzz

В топе http://virusinfo.info/showthread.php?t=9176 у человека AVZ выдает кучу 


> Маскировка процесса с PID=3128, имя = ""
> >> обнаружена подмена PID (текущий PID=0, реальный = 3128


Там система Win2003 sp2.
У меня на 2003 сп2 такое же поведение AVZPM.
Похоже, косяк?

----------


## Зайцев Олег

> В топе http://virusinfo.info/showthread.php?t=9176 у человека AVZ выдает кучу 
> Там система Win2003 sp2.
> У меня на 2003 сп2 такое же поведение AVZPM.
> Похоже, косяк?


Возможно. А апача на этом сервере нет ? Я как-то наблюдал похожий глюк именно на ПК с апачем, взаимосвязь установить не удалось.

----------


## SuperBrat

> 1.4 Поиск маскировки процессов и драйверов
> Видимый процесс с PID=836, имя = "\Device\HarddiskVolume1\PROGRA~1\ICQCorp\ICQCorp.  exe"
>  >> обнаружена подмена имени, новое имя = "c:\program files\icqcorp\icqcorp.exe"


Корпоративная аська. Она ничего такого не хотела.  :Wink:  Просто старенькая, 1996 г.

----------


## Kuzz

> Возможно. А апача на этом сервере нет ? Я как-то наблюдал похожий глюк именно на ПК с апачем, взаимосвязь установить не удалось.


Апача нет. Присутствует Squid.
Сегодня попробую проверить это на чистой системе.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Bratez

Ачепятку вот в логе обнаружил:



> <назначение *на* задано>


(это в модулях расширения проводника)
Кстати, такая надпись указывает на отсутствие файла или нет?

----------


## Sibir

Олег, Ваша программа ругается на перехват функций Comodo Firewall-ом. Надеюсь, перехват функций файерволами безопасен?

----------


## drongo

> Олег, Ваша программа ругается на перехват функций Comodo Firewall-ом. Надеюсь, перехват функций файерволами безопасен?


Tак и должно быть,это не опасно. Hадо же как-то фаерволу защищать ваш комп  :Smiley: Если есть подозрения, выполните правила в разделе "помогите", посмотрим.
 Читайте: http://www.z-oleg.com/secur/avz_doc/faq_3.htm

----------


## Sibir

Теперь нет подозрений. :-) Спасибо.

----------


## Mad Scientist

У человека (общались по ICQ)
Avast выдал при запуске AVZ

0:55:09: Исходное имя файла:   avz_3152_1.tmp
папка :  блаблабла/Локал Сетингс/Темп
описание виря: win32:Trojan-gen {Other}

кстати, куда все время ходит опера 
pagead2.googlesyndication.com ?

----------


## Mad Scientist

1:05:38: вот ещё какая фишка уже 2й раз выскакивает - найдено новое устройство...
 1:06:35: в сведениях строка :
ROOT\LEGACY_AVZRK\0000 
(Это AVZPM - новое устройство)
У того же человека (XP SP2)

----------


## pig

> кстати, куда все время ходит опера 
> pagead2.googlesyndication.com ?


Гугловская рекламокрутилка.

----------


## Edgor

Помогите пожалуйста новичку разобраться с настройкой обновления! Читал хелп но чегото не допонял, может руки кривые. 
Опишу задачу: Имеется локальная сеть, в сети есть сервер который через Инет обновляет базы Nod32 и Касперского. Далее клиенты забирают с этого сервака обновления. Необходимо то же самое настроить для AVZ.

----------


## Зайцев Олег

> Помогите пожалуйста новичку разобраться с настройкой обновления! Читал хелп но чегото не допонял, может руки кривые. 
> Опишу задачу: Имеется локальная сеть, в сети есть сервер который через Инет обновляет базы Nod32 и Касперского. Далее клиенты забирают с этого сервака обновления. Необходимо то же самое настроить для AVZ.


Если сервер под Windows, то это просто. Для этого необходимо:
1. Поставить на сервер AVZ, организовать его запуск через планировщик со скриптом update.txt следующего вида:


```
var
 S : string;
begin
 // Обновление баз
 if ExecuteAVUpdate then S := 'Обновление прошло успешно'
  else S := 'Ошибка обновления баз AVZ';
 // Протоколирование
 AddLineToTxtFile(GetAVZDirectory + 'avz_upd.log',  DateTimeToStr(Now)+' '+S);
 // Завершение работы AVZ
 ExitAVZ;
end.
```

в кроне запуск AVZ будет именть вид
avz.exe HiddenMode=1 script=update.txt

2. далее папку с AVZ расшарить и на клиентских ПК запускать AVZ прямо из нее (размер у него маленький и на сеть нагрузки не будет). Можно это автоматизировать скриптом, и организовать автокарантин подозрительных файлов на сервер.

----------


## PavelA

@Олег Зайцев
Вопросик:
Если используется Boot Cleaner (BC_Activate), то ExecuteSysClean используется после перезагрузке вместе с Boot Cleaner при его работе.

----------


## Зайцев Олег

> @Олег Зайцев
> Вопросик:
> Если используется Boot Cleaner (BC_Activate), то ExecuteSysClean используется после перезагрузке вместе с Boot Cleaner при его работе.


Нет. ExecuteSysClean чистит хвосты в реестре до перезагрузки, а Boot Cleaner добавает что ему положено после перезагрузки.

----------


## PavelA

> Нет. ExecuteSysClean чистит хвосты в реестре до перезагрузки, а Boot Cleaner добавает что ему положено после перезагрузки.




```
begin
deletefile;
importdeletlist;
bc_activaite;
executesysclean;
RebootWindows;
end
```

В этом случае executesysclean что-нибудь почистит или нет?

----------


## NickGolovko

Олег, 

можно сделать функцию скрипта (желательно через драйвер) "заменить файл такой-то оттуда-то файлом таким-то оттуда-то"?

----------


## Зайцев Олег

> ```
> begin
> deletefile;
> importdeletlist;
> bc_activaite;
> executesysclean;
> RebootWindows;
> end
> ```
> ...


да, почистит ... - до перезагрузки. А BC добавит после - добъет оставшиеся неудаленными файлы. Для надежности в начале скрипта следует еще AVZGuard включить - на случай, если зловред в цикле пересоздает свои ключи реестра.

----------


## Зайцев Олег

> Олег, 
> 
> можно сделать функцию скрипта (желательно через драйвер) "заменить файл такой-то оттуда-то файлом таким-то оттуда-то"?


В 4.26 сделаю - функцию BC_CopyFile(from, to).

----------


## Dont.care.a.f!g

Включил AVZPM, максимальную эвристику, блокировку всех руткитов... Запустил сканирование С: и вскоре получил BSOD:
STOP: 0x0000008E (0xC0000005, 0xF78A7810, 0xF34CE524, 0x00000000)
ute4odkw.sys - Address F78A7810 base at F78A6000, DateStamp 45e7c098

(AVZ 4.25)

Minidump: http://uploaded.to/?id=n4h53w
("Вложить файлы" почему-то не работает)

----------


## Kuzz

> Сегодня попробую проверить это на чистой системе.


На свежеустановленой системе, без какого-либо установленого постороннего софта (установка по умолчанию, все роли выключены) АВЗ выдал 8 таких сообщений.
Через минут 5-7 таких строчек уже 12.

P.S. Версию АВЗ в названии темы наверное стоит исправить.

----------


## Mad Scientist

Не планируется ревизор реестра по типу уже существующего ревизора диска?

----------


## eGo®Z

Версия AVZ 4.24 - 4.25
-----------------------
Столкнулся  с  ситуацией,  когда потребовалось работать с AVZ в режиме командной  строки  и с  удивлением  обнаружил, что несмотря на то, что проверка   архивов   в   опциях  командной  строки  включена, параметр CheckArchives=Y (и в интерфейсе это отображается), проверка одиночного zip-файла (тестировался  zip  с  вирусом  внутри)  с  параметром SCANFILE= (или вообще без параметра, что означает отсутствие знака "=") не  выполняется.  Другие контейнеры (mht, msg) и архивы (rar) при этом проверяются (насколько я понял - ace и 7z пока не поддерживаются).
Также,  при  проверке  папок,  почему-то  помечается  и проверяется не только  папка  назначения,  но  и папка на уровень выше: например, при указании "C:\Program Files\The Bat!\MAIL\EZ\Attach\DeBora\" будет  также полностью проверена папка "C:\Program Files\The Bat!\MAIL\EZ\Attach\", но  проявляется это не всегда, т.е. не со всеми каталогами, а только с некоторыми - системы я не нашел.

Теперь о том, чего в программе лично мне не хватает - это интеграции в shellextension (контекстное меню Проводника).
У  меня  часто бывают ситуации, когда приходится бороться с вирусами и им  подобной мерзостью "in wild" и некоторые из них блокируют теми или иными  способами  запуск  любых  exe-приложений,  в т.ч. и в safe mode (если  он  вообще  доступен).  Так  же могут быть заблокированы вызовы диспетчера задач, запуск mmc-консоли и её расширений и т.д. Но  при  этом могут работать (а, как правило, так и есть) ассоциации - т.е.  запуск  приложений  по  зарегистрированным типам файлов, а также контекстное меню Проводника. 
В  результате  через  контекстное меню Проводника AVZ запустить всё же можно.  Так  же  можно  и  установить  это  контекстное  меню  - ведь ассоциация  с  inf-файлом  работает  -  и  по  установке,  и  по  его редактированию.
В  одном  из подобных  случаев  мною,  на  скорую  руку,  была сделана интеграция  AVZ  в  shell  через  inf - все  другие  пути лечения были недоступны  -  HDD  подключить  к другому ПК возможности не было и все другие антивирусы, копируемые для установки, вирусом тут же убивались - DrWEB  вместе  с CureIT, AVP и т.д. Только так от вирусов избавиться и удалось.
inf-файл прилагаю.
ЗЫ: 1. Отредактируйте в конце inf-файла параметр AVZDir для указания расположения папки с AVZ (по умолчанию C:\AVZ4)
2. Также можно на своё усмотрение изменить параметры запуска программы в режиме командной строки - параметры CmdLine и CmdAdd
3. Имя inf-файла менять не стоит

----------


## Nikollay

Всем доброго времени суток.
Вопрос об обновлении.
Есть версия AVZ 4.24 r2 oт 20.03.2007 и упорно не хочет обновляться до текущей.(базы обновляются).
Если такое обновление не возможно (то есть надо по новой скачивать) просьба об этом написать в ответе.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Всем доброго времени суток.
> Вопрос об обновлении.
> Есть версия AVZ 4.24 r2 oт 20.03.2007 и упорно не хочет обновляться до текущей.(базы обновляются).
> Если такое обновление не возможно (то есть надо по новой скачивать) просьба об этом написать в ответе.


Конечно следует обновиться до 4.25, так как весрии X.XX rY - это промежуточные релизы. Но базы 4.24 и 4.25 полностью совместимы, обновление должно идти. А что понимается под "Не хочет обновляться" ? Т.е. выдается какая-то ошибка, или обновление завершается без ошибок но база остается старая ?

----------


## Nikollay

И еще один вопрос что это значит - прямое чтение?
3. Сканирование дисков
Прямое чтение C:\Program Files\ESET\cache\CACHE.NDB
Прямое чтение C:\Program Files\ESET\logs\virlog.dat
Прямое чтение C:\Program Files\ESET\logs\warnlog.dat

----------


## Nikollay

> А что понимается под "Не хочет обновляться" ? Т.е. выдается какая-то ошибка, или обновление завершается без ошибок но база остается старая ?


Нет. В пункте о программе версия остается старой (просто я полагал что  должо обновляться)

----------


## drongo

а она и будет оставаться старой , надо заново новую версию скачивать.

----------


## kostadm

Но вот у меня возникла проблема (виндовоз 2003 серв), что я не могу зайти в систему (присутствует домен) ни под локальным админом ни под сетевым...  Вернее как бы заходит, но потом говорит о закрытии всех подключений и возвращается на круги своя (на приглашение зайти на комп).
Ошибка была вроде для netlogon:
10044 Поддержка указанного типа сокетов в этом семействе адресов отсутствует
-netlogon служба не запускается.
-служба Internet Connection Firewall (IGF) / Internet Connection Sharing (ICS) (Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS))- тоже не запущена (но она мне не столь важна...)
Это к сожалению все то, что я вспомнил.
До сканирования AVZ в сеть заходил (но не пинговались другие компы и не выходил с 2003 в Интернет).
После сканирования AVZ и дальнейшей перезагрузкой в сеть не заходит... (ни под локальным админом, ни в безопасном, ни последней удачной конфигурации).
В AVZ выполнял еще две операции (14. Автоматическое исправление настроек SPl/LSP и 15. Сброс настроек SPI/LSP и TCP/IP (XP+)).
Воот результаты сканирования AVZ и его исправления 14 и 15).

Подскажите, что можно сделать.

""""""""""""""""""""""""""""""""""""""""""""""""""  """""""""""""""""""""""""""
Внимание !!! База поcледний раз обновлялась 03.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
----- порезано ----
Ошибка LSP NameSpace: "Tcpip" --> отсутствует файл C:\Documents and Settings\kost\WINDOWS\System32\mswsock.dll
----- порезано ----

----------


## Зайцев Олег

Смотрим хелп - http://www.z-oleg.com/secur/avz_doc/sys_repair.htm - там же сказано по поводу п.п. 14 "Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии". Судя по логу как раз из терминальной сессии он и запущен. Короче говоря, нужно
1. Зайти админом именно с консоли, а не терминалкой
2. Выполнить http://support.microsoft.com/kb/299357

----------


## Зайцев Олег

> Нет. В пункте о программе версия остается старой (просто я полагал что  должо обновляться)


Естественно - там же пункт меню даже называется "Обновление баз" (см. http://www.z-oleg.com/secur/avz_doc/avz_avupdate.htm) Т.е. обновляется база, а не сам AVZ. Для обновления AVZ следует скачать новую версию и распаковать ее поверх существующей.

----------


## RiC

Баг с удалением сервиса из BC_ ?

Олег посмотри - http://virusinfo.info/showthread.php?t=9449

Лог АВЗ - 
C:\WINDOWS\system32:lzx32.sys:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 

Лог бутклинера -
Quarantine path: \??\C:\Documents and Settings\Lev\Рабочий стол\avz4\Quarantine\2007-05-03\
 Quarantine File \??\C:\WINDOWS\system32\lzx32.sys - succeeded
Quarantine service file pe386 - succeeded
Delete File \??\C:\WINDOWS\system32\lzx32.sys - succeeded
Delete Service & File pe386 - failed (0xC0000121)

Почему в логе АВЗ показывается поток, а в логе Бутклинера файл, и удаление сервиса тоже  кстати неотработало, судя по логу....

----------


## Зайцев Олег

Команда карантина и удаления неправильные (или зловред в двух местах - в чистом виде и в потоке), в даннос случае имя файла C:\WINDOWS\system32\lzx32.sys, а нужно - C:\WINDOWS\system32:lzx32.sys или C:\WINDOWS\system32:lzx32.sys:$DATA. На стадии Delete Service & File судя по всему прибил описание драйвера в реестре...

----------


## kostadm

> Смотрим хелп - http://www.z-oleg.com/secur/avz_doc/sys_repair.htm - там же сказано по поводу п.п. 14 "Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии". Судя по логу как раз из терминальной сессии он и запущен. Короче говоря, нужно
> 1. Зайти админом именно с консоли, а не терминалкой
> 2. Выполнить http://support.microsoft.com/kb/299357


Уважеаемый Зайцев Олег, эти операции производились не в терминалке!,а с консоли под локальным администратором. (прежде чем это делать я прочитал что в хелпе написано..., и я указал что зайти локально не могу, ни под локальным админом, но в безопасном, ни ласт удачной конфигурации...). Рековери консоль с загрузочного диска результатов тоже не дала.  :Sad:

----------


## RiC

> Команда карантина и удаления неправильные (или зловред в двух местах - в чистом виде и в потоке), в даннос случае имя файла C:\WINDOWS\system32\lzx32.sys, а нужно - C:\WINDOWS\system32:lzx32.sys или C:\WINDOWS\system32:lzx32.sys:$DATA. На стадии Delete Service & File судя по всему прибил описание драйвера в реестре...


Скрипт удаления -
begin
 BC_QrSvc('pe386');
 BC_DeleteSvc('pe386');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.
Вроде правильный. При наличии NTFS, PE386 садиться в поток а не в файл, единственно теоритически могли сначала посадить, а потом сконвертить в NTFS. Но самое интересно в том, что во втором логе, после выполнения скрипта PE386й остался жив -
"C:\WINDOWS\system32:lzx32.sys:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла"

----------


## Зайцев Олег

> Скрипт удаления -
> begin
>  BC_QrSvc('pe386');
>  BC_DeleteSvc('pe386');
>  BC_LogFile(GetAVZDirectory + 'boot_clr.log');
>  BC_Activate;
>  RebootWindows(true);
> end.
> Вроде правильный. При наличии NTFS, PE386 садиться в поток а не в файл, единственно теоритически могли сначала посадить, а потом сконвертить в NTFS. Но самое интересно в том, что во втором логе, после выполнения скрипта PE386й остался жив -
> "C:\WINDOWS\system32:lzx32.sys:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла"


Возможно другое - BC убивает по полному пути, если в реестре приписано типа system32:lzx32.sys, то BC его не найдет при выполнении BC_DeleteSvc('pe386'); ... но это так, догадка

----------


## Sonvik

Здраствуйте! Почему когда я нажимаю "Включить AVZGuard" через несколько секунд комп виснет намертво, если при этом загружен драйвер расширенного мониторинга, то windows вываливается в BSOD: там написано что-то про дамп памяти и файл драйвера ujqwodk1.sys.

----------


## drongo

> Здраствуйте! Почему когда я нажимаю "Включить AVZGuard" через несколько секунд комп виснет намертво, если при этом загружен драйвер расширенного мониторинга, то windows вываливается в BSOD: там написано что-то про дамп памяти и файл драйвера ujqwodk1.sys.


сделайте все  логи  по правилам в новой теме.  (http://virusinfo.info/showthread.php?t=1235 ), посмотрим  :Smiley:

----------


## drongo

Есть предложение добавить к цветовой гамме  логов розовый цвет, когда в логе есть такое : *имя содержит национальные символы*(Думаю, понятно почему   :Wink:   ) строка станет розовой.

----------


## Geser

> строка станет розовой


Фиолетовой в крапинку  :Smiley:

----------


## drongo

> Фиолетовой в крапинку


Да хоть малиновой  :Wink:  но отличаться имеет место быть, ввиду постоянно пополняемого семейства пинчей .

----------


## Зайцев Олег

> Да хоть малиновой  но отличаться имеет место быть, ввиду постоянно пополняемого семейства пинчей .


так AVZ же пишет про такие файлы в логе исследования - "имя содержит национальные символы". Кроме того, на XP svchost обязан опознаться по базе чистых - если он в логе, то это уже подозрительно независимо от цвета. А пинчи и другие звери очень давно применяют вставку похожих по начертанию букв в латинские имена, это уже года 3-4 как широко применяется.

----------


## Geser

На самом деле у меня более интересное предложение. Предлогаю те самые национальные символы выделять цветом. Иначе сложно будет что-то сказать о файлах путь к которым типа C:\Винда\system32\... АВЗ будет ругаться на все, в таком случае.

----------


## Зайцев Олег

> На самом деле у меня более интересное предложение. Предлогаю те самые национальные символы выделять цветом. Иначе сложно будет что-то сказать о файлах путь к которым типа C:\Винда\system32\... АВЗ будет ругаться на все, в таком случае.


такая идея рассматривалась - но я забыл ее реализовать. Сейчас внесу в склерозную книжку, чтобы не забыть в версии 4.26

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Xen

Есть конкретное предложение блокировать работу подпрограммы исправления списка LSP при запуске в терминальной сессии =) А то вот недавно товарищу все настройки испоганило, и подозреваю, не ему одному...

----------


## Ego1st

я тут тоже мучался в LSP. пока ветку реестра с другого компа не перенёс ничего неработало..
AVZ не помогал..

----------


## АлександрУ

LSP при запуске в терминальной сессии 

Один раз уже так сделал на сервере W2003.....В конце концов полностью переустанавливал, 20 пользователей отдыхали....

----------


## Mad Scientist

Как я понял, AVZ не создает папки Infected и "Карантин", если работает с носителя ReadOnly. Может сделать в настройках возможность выбора месторасполажения этих папок (по-моему этот вопрос уже поднимался).

----------


## Зайцев Олег

> Есть конкретное предложение блокировать работу подпрограммы исправления списка LSP при запуске в терминальной сессии =) А то вот недавно товарищу все настройки испоганило, и подозреваю, не ему одному...


Да, видимо придется ... никто доку не читает и не задумывается, к чему такие фокусы приведут на серваке. Я воткну жесткую блокировку, но это не спасет от запуска скриптво 14 и 15 из восстановления (15-й вызывает штатную виндовую восстанавливалку, и в терминальной сесии она судя по всему тоже не совсем корректно работает)

----------


## Зайцев Олег

> Как я понял, AVZ не создает папки Infected и "Карантин", если работает с носителя ReadOnly. Может сделать в настройках возможность выбора месторасполажения этих папок (по-моему этот вопрос уже поднимался).


Такая фича уже есть - см. ключи командной строки, там есть ключи для переноса этих папок.

----------


## Xen

> в терминальной сесии она судя по всему тоже не совсем корректно работает


вот почему-то о том же самом подумал...

----------


## drongo

Также, можно сделать дополнительный скрипт специально для серверов  :Wink:

----------


## Зайцев Олег

> Также, можно сделать дополнительный скрипт специально для серверов


Можно ... и его запустят на обычном XP  :Smiley:  Я вот уже думаю в скрипты ставить блокировку по версиям - например волобще блокировать скрипты 14/15 на сервере

----------


## drongo

> Можно ... и его запустят на обычном XP  Я вот уже думаю в скрипты ставить блокировку по версиям - например волобще блокировать скрипты 14/15 на сервере


"Правильной дорогой идёте , товарищь  :Smiley: "
А также блокировать будущий  скрипт для серверов всем, кроме серверов  :Wink: 

ну и сообщение типа :" Скрипт для вашей версии виндоус не подлежит исполнению, выберите другой !"

----------


## drongo

У меня тут ещё наверное совсем бредовая идея возникла при " правилотворении "
(Просто пока по правилам  у нас надо оставлять инет подключённым с выключенными средствами защиты .Без защиты оставлять пользователей на время производства логов считаю не гуманным  :Smiley: )
Что-то типа эмулятора активности сети, при отключённой сети . 
с логами  :Wink:  Всё что будет лезть в инет, можно будет легко увидеть по какому порту, куда , зачем и почему с приятной и  понятной расцветкой.

----------


## anton_dr

Через пару лет, таки темпами, в итоге, весь интерфейс АВЗ будет состоять из одной кнопчки, типа гугловской "мне повезет" - "Чтоб все было зашибись"   :Smiley:

----------


## Nord_cat

После возникновения проблем с LSP на сервере погуглил и мне помогло:
кроме netsh int ip reset выполнить
netsh winsock reset catalog, а также программка LSP-fix

----------


## NickGolovko

Небольшой фичреквест: можно в лог вставить строку "Восстановление системы отключено / включено"?

----------


## Edgor

Можно ли в новой версии добавить возможность обновления из локальной/сетевой папки?!

----------


## Kuzz

> А также блокировать будущий  скрипт для серверов всем, кроме серверов


А еще лучше, эти скрипты переписать в виде:
case WinVer of
 XP:      ...
 Server: ...
чтобы в зависимости от версии виндовса исполнялась нужная ветка скрипта.

----------


## kozakoff

Объясните этот метод перехвата антивируса?

Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights 
1. Searching for rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section: .text
Function kernel32.dll :lol: oadLibraryA (57 :Cool:  intercepted, method APICodeHijack.JmpTo[10003086]
 Analysis: ntdll.dll, export table found in section: .text
 Analysis: user32.dll, export table found in section: .text
 Analysis: advapi32.dll, export table found in section: .text
 Analysis: ws2_32.dll, export table found in section: .text
Function ws2_32.dll:accept (1) intercepted, method APICodeHijack.JmpTo[10002F26]
Function ws2_32.dll:bind (2) intercepted, method APICodeHijack.JmpTo[10003016]
Function ws2_32.dll:closesocket (3) intercepted, method APICodeHijack.JmpTo[10003056]
Function ws2_32.dll:connect (4) intercepted, method APICodeHijack.JmpTo[10002D96]
Function ws2_32.dll:gethostbyname (52) intercepted, method APICodeHijack.JmpTo[10002D66]
Function ws2_32.dll:listen (13) intercepted, method APICodeHijack.JmpTo[10002A56]
Function ws2_32.dll:recvfrom (17) intercepted, method APICodeHijack.JmpTo[10002C96]
Function ws2_32.dll:send (19) intercepted, method APICodeHijack.JmpTo[10002A96]
Function ws2_32.dll:sendto (20) intercepted, method APICodeHijack.JmpTo[10002D06]
 Analysis: wininet.dll, export table found in section: .text
 Analysis: rasapi32.dll, export table found in section: .text
Function rasapi32.dll:RasDialA (21) intercepted, method APICodeHijack.JmpTo[10003B26]
Function rasapi32.dll:RasDialW (22) intercepted, method APICodeHijack.JmpTo[10003CB6]
 Analysis: urlmon.dll, export table found in section: .text
 Analysis: netapi32.dll, export table found in section: .text

в логе программы  (intercepted, method APICodeHijack.JmpTo) отмечен красным.

p.s. в теле сообшения появились смайлы. это что зараза?

----------


## drongo

@ kozakoff,
 Поставьте расширенный мониторинг в авз и сделайте логи по правилам в разделе помогите . Тогда можно точнее сказать.

----------


## Rene-gad

> p.s. в теле сообшения появились смайлы. это что зараза?


Нэту больше


```
Function kernel32.dll :LoadLibraryA (578 ) intercepted, method
```

 :Wink:  . Комбинации 

```
:+L
```

и 

```
8+)
```

 совпадают со смайликами. Пользуйтесь вылючателем _Отключить смайлы в тексте_

----------


## kozakoff

Всем спасибо за ответ. 
После выполнения пункта # 8 раздела помогите, у меня в папке директории AVZ не появляеться папка LOG и не копируеться протокол скрипта. Пробовал четыре раза.Запоминаеться только текстовой файл исследования системы.
Поэтому сделаю скрипт в виде файла avz_sysinfo и представлю на осмотр.
Спасибо.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Mad Scientist

4.25 все время ругается:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=AADE8000, размер=118784, имя = "\SystemRoot\system32\DRIVERS\atinrvxx.sys"

Что за драйвер:
версия: 6.14.10.6238
Описание: ATI WDM Rage Theater MiniDriver RT2
Авт права: Copyright (C) 2004 ATI Technologies Inc.

Также (было и в преждних версиях) - замечает про Аутпост:
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll"
([1056]winlogon.exe-->kernel32.dll-->GetProcAddress, Тип: IAT modification по адресу 0x01001234 обработчик перехватчика расположен в [wl_hook.dll(dll Оутпоста)], также wanarp.sys-->ndis.sys путем FILTNT.SYS(драйвер Оутпоста) - by RKU - а это не опасно?)

P.S. Я добавил в имя chm файла справки символ #(до расширения) и при открытии справка перестает нормально отображаться (XP SP2) - эт такой глюк тоьлько у меня?
(Изфините за оффтоп)

----------


## Mad Scientist

Непонятки с Hide Folders XP, version 2.8.5
что-то не понимаю, как он прячет каталоги, вроде ничего не перехватыват...
AVZ фиксирует только
"C:\Program Files\Hide Folders XP 2\hdr.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Hide Folders XP 2\hdr.dll>>> Поведенческий анализ: 
 Типичное для кейлоггеров поведение не зарегистрировано"
Кроме того, он может прятать себя из диспетчера задач (hfxpcp.exe, code hook), AVZ его видит, но сообщает, что нет маскировки.

----------


## Зайцев Олег

> Непонятки с Hide Folders XP, version 2.8.5
> что-то не понимаю, как он прячет каталоги, вроде ничего не перехватыват...
> AVZ фиксирует только
> "C:\Program Files\Hide Folders XP 2\hdr.dll --> Подозрение на Keylogger или троянскую DLL
> C:\Program Files\Hide Folders XP 2\hdr.dll>>> Поведенческий анализ: 
>  Типичное для кейлоггеров поведение не зарегистрировано"
> Кроме того, он может прятать себя из диспетчера задач (hfxpcp.exe, code hook), AVZ его видит, но сообщает, что нет маскировки.


AVZ считает маскирующимся процесс, который маскируется от него. А многие маскируются только от TaskManager - для этого есть примитивная DLL, прехватывающая функцию только в TaskManager 
По поводу маскировки каталогов - папку можно замаскировать драйвером-фильтром, и быстро найти такую маскировку нельзя, так как по идее нужно просканировать диск через API и напрямую, допустим разбором файловой системы напрямую.

----------


## 1serg

Здравствуйте Олег .После того как скачал версию 4.25 заметил ,что перестали сохраняться обновления ,т.е.  при запуске сканирования в окне проверки обновления датируются 17.04 (с момента выхода этой версии )Хотя если сразу после загрузки не закрывая программу произвести проверку чего либо в окне проверки будет время и дата выпуска последних обновлении .Но стоит закрыть программу и войти вновь сигнатуры будут датированы как я писал выше 17.04(проверял 10 минут назад )Пользуюсь  AVZ с версии 4.23 ,обновлял регулярно и все сохранялось .Подскажите в чем может быть причина ?Спасибо

----------


## SuperBrat

1serg, а зачем AVZ из zip-архива запускать?

----------


## drongo

Хотелось бы в Gui иметь возможность назначить путь к сохранению (временных файлов работы , карантина итд... )

----------


## drongo

Вот эта заметка навела меня на мысль, что не хватает в AVZ ещё скрипта разблокиратора пункта меню «Выполнить».
Ждём  :Wink:

----------


## Ego1st

Олег столкнулся с такой ерундой (2 раза уже), после лечения AVZ Winsock провайдера проблема с днсками возникает, вообщем непашет.. winsocks fix тоже не помогает, даже со здоровой машины пытался перенести ветки реестра winsocks фиг вам как говориться, может вкурсе что такое.. колекцию из тех malware которые лечил могу скинуть если надо, там большой зоопарк был..

----------


## Ego1st

вспомнил ещё кое что, C:\WINDOWS\System32\poof - Trojan-Proxy.Win32.Wopla.ag почему-то без avzpm невиделся, хотя тут ( http://virusinfo.info/showthread.php?t=8765 ) он его сразу нашел..
 и проблема была с Trojan-Spy.Win32.Banker.cmb файл C:\WINDOWS\system32\ntos.exe в активных процессах не отображался, только в конце лога написано про прямое чтения его, и не под каким предлогом нехотел удаляться, только отложеным удалением получилось.. короче как-то странно было все это..

----------


## Зайцев Олег

> Вот эта заметка навела меня на мысль, что не хватает в AVZ ещё скрипта разблокиратора пункта меню «Выполнить».
> Ждём


Я воткнул в скрипты эвристики поиск bitdefender.exe в системной папке, плюс сейчас попробую сделать разблокировку меню "Выполнить" (я не помню, как этот пункт блокируется в реестре).

----------


## Зайцев Олег

> вспомнил ещё кое что, C:\WINDOWS\System32\poof - Trojan-Proxy.Win32.Wopla.ag почему-то без avzpm невиделся, хотя тут ( http://virusinfo.info/showthread.php?t=8765 ) он его сразу нашел..
>  и проблема была с Trojan-Spy.Win32.Banker.cmb файл C:\WINDOWS\system32\ntos.exe в активных процессах не отображался, только в конце лога написано про прямое чтения его, и не под каким предлогом нехотел удаляться, только отложеным удалением получилось.. короче как-то странно было все это..


C:\WINDOWS\system32\ntos.exe я гонял третьего дня - он не висит в процессах, видимо просто инжектит поток куда-то в момент старта. Свой файл он блокирует ... я внес в эвристику его диагностику.

----------


## drongo

Спасибо , Олег. A об этом : http://virusinfo.info/showpost.php?p...&postcount=247
Я ещё подумал  и ещё если можно, то все базы тоже отдельно хранить.Например вот такой вариант запуска :AVZ.exe и все постоянные файлы не нуждающийся в обновлении   записывается на диск/ флешку с тумблером только для чтения . А базы закачиваються в указанное место(через интерфейс AVZ) на диске .Запускается авз с механически защищённого  носителя - тем самым достигается   100 защита   от заражения самого исполняемого файла.

----------


## Ego1st

Олег, а что про днски невкурсе как лечиться, не сталкивался?

----------


## PavelA

Небольшое предложение
Для того чтобы увидеть то, что попало в карантин,сделать функцию получения списка файлов из карантина.
avz00001.dta - c:\windows\cssrs.exe и тому подобное.
Тогда будет проще анализировать ответ ЛК.

Если есть другой вариант, то подскажите, плс.

----------


## Зайцев Олег

> Небольшое предложение
> Для того чтобы увидеть то, что попало в карантин,сделать функцию получения списка файлов из карантина.
> avz00001.dta - c:\windows\cssrs.exe и тому подобное.
> Тогда будет проще анализировать ответ ЛК.
> 
> Если есть другой вариант, то подскажите, плс.


Вот решение - http://virusinfo.info/showthread.php?p=111743

----------


## PavelA

> Вот решение - http://virusinfo.info/showthread.php?p=111743


Это хорошо  :Smiley: , но пользователя надо просить скачивать эту утилиту дополнительно. А в "Правилах" этого нет (:

----------


## Зайцев Олег

> Это хорошо , но пользователя надо просить скачивать эту утилиту дополнительно. А в "Правилах" этого нет (:


А пользователю то она и не нужна. AVZ в логе пишет, успешен карантин или нет ... а уже получив карантин халпер уже при помощи утилиты оперативно работает с карантином.

----------


## PavelA

> А пользователю то она и не нужна. AVZ в логе пишет, успешен карантин или нет ... а уже получив карантин халпер уже при помощи утилиты оперативно работает с карантином.


Я , как здешний хелпер, карантин не получаю. Вижу только протокол по выполнению первоначальных скриптов. В нем соответствия файлов нет.
Твой вариант работает только в том случае, если карантин лежит у меня на РС, а он на серваке в Инете. Выкачивать его оттуда не всегда возможно, а результаты исследования карантинов приходят на почту из ЛК. В ответах иногда имена реальных файлов, а иногда переименнованые.

После запроса по собственноручно написанному скрипту не вижу протокола и соответствия. Стало доходить, что придется усложнять скрипт. Добавлять AddtoLog & SaveLog.

----------


## Nighty

После обновления AVZ с 2.24R до 2.25 в AVZ "модули пространства ядра" показывает 2 драйвера AVZPM.

Скриншот "модули пространства ядра":
http://img408.imageshack.us/img408/4...titled1mm6.gif

Обновление делалось так:
Обновление баз из 2.24 (тут видимо обновился и драйвер)
Распаковка 2.25 с заменой существующих файлов
Обновление баз из 2.25 (а на этом этапе наверное появился еще один драйвер)
Теперь похоже у меня два драйвера AVZPM сидят в памяти - от 2.24 и от 2.25.
Как убрать лишний?

----------


## Nighty

,    .
   AVZ   ""  .      .    :Cheesy: 

,     Sandboxie.
   AVZ            .
      ,      .
,         - ,         ...

----------

?     ,               Anti-Malware.ru:

----------

> ,    .
>    AVZ   ""  .      .   
> 
> ,     Sandboxie.
>    AVZ            .
>       ,      .
> ,         - ,         ...


Sandboxie -        ...

----------


## Nighty

-         .
    !

----------


## SuperBrat

sysipu.avz,    ?

----------

> sysipu.avz,    ?


     -     v4.26,        .

----------


## Ego1st

> -     v4.26,


  ..

----------


## santy

> -     v4.26,        .


    ?

----------

> ?


   -   .      -     , "" ,    ..

----------


## Nick222

..   :



> Belarc Advisor 7.2 -   ,  ..     . http://www.belarc.com/free_download.html


 ?!?

----------

> ..   :
> 
>  ?!?


   -          ...

----------


## santy

> -   .      -     , "" ,    ..


..      ,  nessus, x-spider, retina  .?
     - ,  ?
     ,    ?

----------


## Baobab

AVZ 
1)     -     .   ""    ?        ?

2)    " ":
    ftp- ,             -     ()     .           Safe'n'Sec  ,         -  , ,       .      AVZ   -       -        :Wink:

----------


## drongo

@Baobab
      AVZ  .

----------


## c

> 2)    " ":
>     ftp- ,             -     ()     .           Safe'n'Sec  ,         -  , ,       .      AVZ   -       -


 AVZ    ,   HIPS  :Wink:

----------


## Baobab

> AVZ    ,   HIPS


  ,        ,              -     -     ?

----------


## SuperBrat

> -     -     ?


     -. AVZ      ,       .  :Wink:     ..       .  :Smiley:  .

----------


## rav

> ()     .           Safe'n'Sec


 -   sandbox HIPS   .

----------

> -. AVZ      ,       .     ..       .  .


 ""   ?  :Smiley:       ... 
*to Baobab*
1.   AVZ    -         
2. HIPS   ,     ,      -  - KAV6   -  +  +  + Firewall.

----------

> ..      ,  nessus, x-spider, retina  .?
>      - ,  ?
>      ,    ?


     -     ,  ,    .          .
,    -    .  ,        .    - " " = " ".      -

----------


## drongo

,     .

http://www.internetsecurityzone.com/Home/

----------


## Alezander

На компе стоит ZoneAlarm Firewall 5.5.062. AVZ 4.24 r4 пишет 

Функция NtConnectPort (1F) перехвачена (8059843A->AADCB5CD), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtDeleteKey (3F) перехвачена (80619062->AADDF110), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtDeleteValueKey (41) перехвачена (80619232->AADDF070), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtLoadKey (62) перехвачена (8061A902->AADDF190), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtOpenProcess (7A) перехвачена (805BFB78->AADDEAB0), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtReplaceKey (C1) перехвачена (8061A7B2->AADDF240), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtRestoreKey (CC) перехвачена (80616FDA->AADDF2C0), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtSecureConnectPort (D2) перехвачена (80597BCE->AADCB6F5), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtSetValueKey (F7) перехвачена (80617292->AADDEFC0), перехватчик C:\WINDOWS\System32\vsdatant.sys

Насколько я знаю, это от фаерволла. А если я нажму галочку блокировать работу Rootkit Kernel Mode, AVZ не восстановит мне эти функции? Фаер будет потом работать нормально?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

> На компе стоит ZoneAlarm Firewall 5.5.062. AVZ 4.24 r4 пишет 
> 
> 
> 
> Насколько я знаю, это от фаерволла. А если я нажму галочку блокировать работу Rootkit Kernel Mode, AVZ не восстановит мне эти функции? Фаер будет потом работать нормально?


*Скачайте новую версию AVZ и обновите её базы.Ваша версия не актуальна.*И ZoneAlarm старая  :Wink: 
После сканирования AVZ с опцией блокировать - нужно перегрузиться , чтобы восстановить работоспособность систем защиты .Если сканировать без опции "блокировать"- перегружаться не имеет смысла, так как перехваты не сняты и значит ничего не нарушалось.

P.S. _Совет: Чтобы найти что-то интересное нужно :
отключиться от интернета ,выгрузить файрвол и антивирус, поставить галочки на блокировать (обе).После сканирования перегрузиться.Фаер будет потом работать нормально!_

----------


## PavelA

@Олег Зайцев Я в теме "В помощь хелперу" написал списочек перхватчиков. Неплохая библиотека различных существующих драйверов
на castelcops.com Часто там проверяю странности из логов.

----------


## Baobab

> 2. HIPS систем существует тьма, как в виде отдельных приложений, так и в виде комплексов - взять тот-же KAV6 для примера - антивирус + монитор + проактивка + Firewall.


Верю  :Smiley: 

но нормальной проги которая разрешает доступ к конкретному файлу только конкретной программе что-то я не нашел, по крайней мере среди русскоязычных описаний программ

----------


## Bratez

В английской версии во время анализа процессов в лог выдается текст на русском языке. Пример тут:
http://virusinfo.info/showpost.php?p...6&postcount=36

----------


## Макcим

При использовании скрипта типа 

```
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%WinDir%\Trojan.exe', '');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
```

 файл Trojan.exe попадает в карантин в нескольких экземплярах. Это можно исправить?

----------


## DoSTR

> Верю 
>  но нормальной проги которая разрешает доступ к конкретному файлу только конкретной программе что-то я не нашел, по крайней мере среди русскоязычных описаний программ


А через файловую систему NTFS не пробывали? Например завести еще одного пользователя с паролем и с только ему дать права доступа, а программу запускать от имени этого юзера.

----------


## Макcим

Это слишком сложно. Вроде бы в DefenseWall есть подобный функционал.

----------


## NickGolovko

> При использовании скрипта типа 
> 
> файл Trojan.exe попадает в карантин в нескольких экземплярах. Это можно исправить?


Нет  :Smiley: 




> В английской версии во время анализа процессов в лог выдается текст на русском языке. Пример тут:
> http://virusinfo.info/showpost.php?p...6&postcount=36


Это не баг, это поврежден файл. Смотрим тут: http://virusinfo.info/showthread.php?t=7355

----------


## Макcим

> Нет


Почему?

----------


## Baobab

> А через файловую систему NTFS не пробывали? Например завести еще одного пользователя с паролем и с только ему дать права доступа, а программу запускать от имени этого юзера.


Спасибо за практический совет! так и сделал

----------


## Bratez

> Это не баг, это поврежден файл. Смотрим тут:


Значит, уже не первый раз - тенденция, однако  :Smiley:

----------


## NickGolovko

> Почему?


Потому что это отдельные команды.  :Smiley:

----------


## aintrust

> При использовании скрипта типа 
> 
> ```
> begin
> SearchRootkit(true, true);
> SetAVZGuardStatus(True);
>  QuarantineFile('%WinDir%\Trojan.exe', '');
>  BC_ImportQuarantineList;
>  BC_Activate;
> ...


Можно, переписав немного скрипт:


```
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 // Поместим файл в карантин
 BC_QrFile('%WinDir%\Trojan.exe');
 // Сформируем журнал (для проверки успешности выполнения)
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 // Активируем подсистему BC
 BC_Activate;
 RebootWindows(true);
end.
```

----------


## Bratez

*@aintrust:*
Т.е., Вы предлагаете не использовать Quarantinefile, а карантинить исключительно через BC? Обычно для надежности все применяют схему, показаную MaXim'ом, в итоге часто получая аж три файла - один от первой функции и аж два от BC. Два вопроса:
1. Почему от BC - два файла?
2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?

P.S. При использовании исключительно инструкций Boot Cleaner'a зачем это? -



> SearchRootkit(true, true);
>  SetAVZGuardStatus(True);

----------


## NickGolovko

> Два вопроса:
> 1. Почему от BC - два файла?
> 2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?
> 
> P.S. При использовании исключительно инструкций Boot Cleaner'a зачем это? -


1. По логу видно: сначала попытка карантина просто пути, а потом /??/<путь>.

2. Теоретически да.

3. Машинально.  :Smiley:  В принципе снятие руткитов и блокировка критических операций не помешают.

----------


## Макcим

А может лучше карантинить и удалять сразу через BC?

----------


## aintrust

> А может лучше карантинить и удалять сразу через BC?


По идее должно быть так, но кто знает, что там написано у Олега (ну, кроме него самого)...  :Wink:  По этой причине уже считается почти что правилом дублировать в скриптах похожий функционал разными подсистемами - отсюда получается, что одно и то же (или очень уж похожее) действие может успешно выполняться по нескольку раз (как в случае с карантином файла). С этим, видимо, придется смириться, т.к. лучше действовать по принципу "хелпер знает больше и лучше пользователя и, если что, разберется", нежели чем пропустить что-либо только из-за того, что вы стопроцентно положились только на одну из подсистем.

----------


## aintrust

> 1. Почему от BC - два файла?
> 2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?
> 
> P.S. При использовании исключительно инструкций Boot Cleaner'a зачем это? -


По сути *NickGolovko* уже прокомментировал, я лишь немного добавлю:
1) это издержки реализации - т.е., по сути, вопрос к Олегу;
2) ну, стопроцентной гарантии я бы не дал!  :Wink:  Если точнее, я бы более полагался на работу подсистемы BC, нежели чем просто на команду _QuarantineFile()_;
3) не нужно, забыл убрать.

----------


## Макcим

Подождем комментарий Олега.

----------


## Geser

Насколько я помню команда обычного карантина, если не указан полный путь, ищет файл используя пути прописанные в переменных окружения. Команда карантина через бут драйвер требует полного пути, потому что переменные окружения для неё не доступны. Следовательно, если полный путь неизвестен попытка карантина через драйвер бессмысленна. А уж сделать что бы команда карантина проверяла на наличие файла в карантине, и не карантинила его повторно должно быть для Олега проже простого.

На самом деле, я думаю команда карантина должна быть всего одна. АВЗ должен автоматически проверять успешность карантина, и если в обычном режиме керантин не удался, автоматически создавать задание карантина для бут драйвера, учитывая все возможные пути, если полный путь не задан. Это было бы идеальным решением. Похожим образом должно работать удаление. Конечно, с той разницей, что при удалении всегда должен задаваться полный путь.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PavelA

> *@aintrust:*
> Т.е., Вы предлагаете не использовать Quarantinefile, а карантинить исключительно через BC? Обычно для надежности все применяют схему, показаную MaXim'ом, в итоге часто получая аж три файла - один от первой функции и аж два от BC. Два вопроса:
> 2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?


Офф: Если между Quarantinefile и BC стоит Deletefile  :Smiley: 

Меньше надо карантинить то, что уже сделал(а) AVZ при исполнении проверок. Если не чистим карантин, то при  написании скрипта часто повторяем посылку в карантин тех же файлов.

----------


## aintrust

> На самом деле, я думаю команда карантина должна быть всего одна. 
> ...
> Похожим образом должно работать удаление. Конечно, с той разницей, что при удалении всегда должен задаваться полный путь.


+1  :Wink:

----------


## Muffler

> from  Зайцев Олег <[email protected]>    hide details  Mar 6  
>  reply-to  Зайцев Олег <[email protected]>   
>  to  [email protected] 
>  date  *Mar 6, 2007 4:32 PM*  
>  subject  AVZ: [Ошибка] [Другое] [Низкая] 
> 
> 
> Здравствуйте, .
> 
> ...


----

----------


## Geser

В любом случае бут драйвер может сравнить имеющийся в карантине файл с тем который он хочет скопировать, и если файлы индентичные не копировать повторно.

И уж если бояться что руткит может подменить содержимое файла, то копирование в карантин не из бут драйвера вообще вредная опция которую нужно убрать.

----------


## Geser

Обнаружил глюки работы англоязычной версии.
1. Не понятно почему не копируются файлы.
2. Не понятно почему такое странное сообщение об ошибке

----------


## aintrust

> В любом случае бут драйвер может сравнить имеющийся в карантине файл с тем который он хочет скопировать, и если файлы индентичные не копировать повторно.
> 
> И уж если бояться что руткит может подменить содержимое файла, то копирование в карантин не из бут драйвера вообще вредная опция которую нужно убрать.


И еще раз +1. Похоже, Олегу будет чем заняться в ближайшее время с точки зрения придания скриптам "интеллекта"...  :Wink:

----------


## Макcим

Будем ждать AVZ 4.26  :Smiley:

----------


## Straga

Приношу извинения за оффтоп.

У меня проблема с компом и, судя по инфе, которую повылавливал в нете, АВЗ может помочь (слетает EXPLORER.EXE, "гасит" рабочий стол, но при включении AVZGuard работает). Но прежде, чем задавать глупые вопросы, я хотел прочесть всю ветку, включая линки на другие. К сожалению вижу такое сообщение:



> Straga, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
> Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?


Например, при переходе по линку hххp://virusinfo.info/showthread.php?p=111743
Подскажите новичку, как и что нужно, чтобы прочесть такие ветки и не отвлекать по мелочам.
Спс.

----------


## Muffler

> Например, при переходе по линку hххp://virusinfo.info/showthread.php?p=111743
> Подскажите новичку, как и что нужно, чтобы прочесть такие ветки и не отвлекать по мелочам.
> Спс.


Ту тему вам не увидеть... Да и к AVZ это относится очень мало.

----------


## Straga

> Ту тему вам не увидеть... Да и к AVZ это относится очень мало.


Спасибо за исчерпывающий ответ.

И, всё-таки, жду направляющих объяснений.

----------


## Bratez

> И, всё-таки, жду направляющих объяснений.


С вашего позволения, направляю вас в раздел "Помогите".
Перед созданием темы просьба внимательно прочитать
и выполнить *Правила*.

----------


## reseacher

И все таки, почему не работает драйвер  или Технология AVZGuard, включаю её, включаю AVZPM, перегружаю компьютер и получаю "не найдено устройство, при просмотре свойств можно увидеть  "Root\LEGACY_AVZ".

Вот кусок лога из ProcessMonitor
"avz.exe","RegOpenKey","HKLM\SYSTEM\CurrentControl  Set\Services\AVZRK","SUCCESS","Desired Access: All Access"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0  02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0  02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0  02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0  02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0  02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"
"avz.exe","RegQueryValue","HKLM\SYSTEM\ControlSet0  02\Services\AVZRK\ImagePath","SUCCESS","Type: REG_SZ, Length: 80, Data: \??\C:\XP\system32\Drivers\uzewmtgx.sys"

"avz.exe","RegCloseKey","HKLM\SOFTWARE\Microsoft\W  indows\CurrentVersion","SUCCESS"
"avz.exe","3164","CreateFile","C:\XP\system32\driv  ers","SUCCESS","Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Open For Backup, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a"
"avz.exe","QueryDirectory","C:\XP\system32\drivers  \uzewmtgx.sys","SUCCESS","Filter: uzewmtgx.sys, 1: uzewmtgx.sys"
"avz.exe","CloseFile","C:\XP\system32\drivers","SU  CCESS",""
"avz.exe","CreateFile","C:\XP\system32\drivers","S  UCCESS","Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Open For Backup, Attributes: n/a, ShareMode: Read, Write, AllocationSize: n/a"
"avz.exe","QueryDirectory","C:\XP\system32\drivers  \uzewmtgx.sys","SUCCESS","Filter: uzewmtgx.sys, 1: uzewmtgx.sys"
"24060","12:52:31,0274622","avz.exe","3164","Close  File","C:\XP\system32\drivers","SUCCESS",""

Могу вложить полные логи из ProcessMonitor для анализа, и скриншоты из менеджера драйвера, если надо (вот только нужно ли сюда?).

Или объясните отупевшому сисадмину ;-), что и как он не так делает?

----------


## Зайцев Олег

> И все таки, почему не работает драйвер или Технология AVZGuard, включаю её, включаю AVZPM, перегружаю компьютер и получаю "не найдено устройство, при просмотре свойств можно увидеть 
> ....
> Или объясните отупевшому сисадмину ;-), что и как он не так делает?


А зачем включается AVZGuard, если не секрет ? Это средство для противодейтсвия зловредам на время из лечения/уничтожения, включается только на время лечения как крайняя мера. Подробности в хелпе ...

----------


## reseacher

> А зачем включается AVZGuard, если не секрет ? Это средство для противодейтсвия зловредам на время из лечения/уничтожения, включается только на время лечения как крайняя мера. Подробности в хелпе ...


Вот и была как раз необходимость включить эту крайнюю меру для чистой загрузки, чтобы удалить трояна  :Embarassed: (...\All Users\Documents\Settings\partnership.dll, ...\system32\rp64.dll)  и проверить откуда они беруться. Выдавал ошибку svchoct, а при нажатии ОК или отмена  - перезагрузка. :Cry:

----------


## aintrust

> Вот и была как раз необходимость включить эту крайнюю меру для чистой загрузки, чтобы удалить трояна (...\All Users\Documents\Settings\partnership.dll, ...\system32\rp64.dll)  и проверить откуда они беруться. Выдавал ошибку svchoct, а при нажатии ОК или отмена  - перезагрузка.


Предлагаю для начала сделать следующее:
1) скачать с сайта http://z-oleg.com последнюю версию _AVZ_ (4.25, кажется), после чего полностью развернуть ее в какой-нибудь каталог;
2) запустить _regedit_, зайти в раздел _HKLM\SYSTEM\CurrentControlSet\Services_ и удалить там все ветки, имена которых начинаются на _AVZ_ (их там будет от одной до трех, по числу драйверов) - таким спосбом вы избавитесь от cтарого "наследия" _AVZ_;
3) потом запустить _AVZ_ (от лица администратора) и проверить его работу во всех режимах, при которых инсталлируются и запускаются драйверы.

----------


## pig

> Вот и была как раз необходимость включить эту крайнюю меру для чистой загрузки, чтобы удалить трояна


AVZGuard работает только до перезагрузки. Это не есть постоянный резидентный монитор.

----------


## Mad Scientist

>> Маскировка драйвера: Base=AADE8000, размер=118784, имя = "\SystemRoot\system32\DRIVERS\atinrvxx.sys"

это от атишной радеоновой 9600 видюхи 
( ATI WDM Rage Theater MiniDriver RT2 v6.14.10.6238 )
каждый раз при сканировании, 
RKUnhooker - ничего, virustotal - ничего

----------


## aintrust

> >> Маскировка драйвера: Base=AADE8000, размер=118784, имя = "\SystemRoot\system32\DRIVERS\atinrvxx.sys"


Вероятнее всего это ошибка (периодически проявляющаяся) _AVZ_. На всякий случай запостите полные логи в разделе "Помогите!".

----------


## Muffler

Просьба пофиксить:




> Quarantine file error (direct disk reading) "%S" 
> File "C:\Program Files\Yahoo!\Common\Ymmapi.dll" quarantined succesfully
> Quarantine file error "System", attempt to perform direct disk reading
>  Quarantine file error (direct disk reading) "%S" 
> Quarantine file error "System", attempt to perform direct disk reading
>  Quarantine file error (direct disk reading) "%S" 
> Quarantine file error "System", attempt to perform direct disk reading
>  Quarantine file error (direct disk reading) "%S" 
> Quarantine file error "System", attempt to perform direct disk reading
> ...

----------


## aintrust

> Просьба пофиксить:


И заодно - грамматическую ошибку (*succesfully* -> *successfully*).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## NickGolovko

> грамматическую ошибку (*succesfully* -> *successfully*).


Пофиксим.

----------


## Kuzz

> На свежеустановленой системе, без какого-либо установленого постороннего софта (установка по умолчанию, все роли выключены) АВЗ выдал 8 таких сообщений.
> Через минут 5-7 таких строчек уже 12.


Я погонял Процесс Хантер, и среди юзермодных методов обнаружения скрытых процессов нашлось 2, выдающих те-же "скрытые процессы". 
Это "Search threads handles" и "Search processes handles".
Они (методы) базируются на переборе всех хендлов? 
А вообще ситуация напоминает http://virusinfo.info/showthread.php?t=10364

----------


## aintrust

> Они (методы) базируются на переборе всех хендлов?


Они базируются на методиках, описанных в статье Обнаружение скрытых процессов.




> А вообще ситуация напоминает http://virusinfo.info/showthread.php?t=10364


Да, это именно она...

----------


## Nick222

Скажите, плз, как читать данную тему через RSS - у меня постоянно слетает подписка?
Прочитал вот это http://virusinfo.info/faq.php?s=&do=...l&titlesonly=0 , но то, что там описано, у меня не работает...

----------


## dawas

Здравствуйте Олег, AVZ до сих пор не умеет лечить Win32.neshta.a
Сегодня попробую прислать его Вам на соответствующий раздел сайта.

----------


## SuperBrat

Иногда получаю такое сообщение:

Такое бывает, если ранее велась интенсивная работа с приводом DVD (писал, читал диски, открывал с диска документы, архивы). Это нормально?

----------


## Зайцев Олег

> Иногда получаю такое сообщение:
> 
> Такое бывает, если ранее велась интенсивная работа с приводом DVD (писал, читал диски, открывал с диска документы, архивы). Это нормально?


Это глюк. Причина - поиск файла Autorun.Inf на дисках. В 4.26 есть фича, позволяющая отличать HDD от CD/DVD, в 4.25 ее нет.

----------


## SuperBrat

Олег, версия 4.26 уже выпущена?

----------


## Зайцев Олег

> Олег, версия 4.26 уже выпущена?


Еще нет - в стадии пререлиза, скоро выйдет.

----------


## RiC

> Еще нет - в стадии пререлиза, скоро выйдет.


Олег, глюки с переводом на английский будут пофикшены ? Может какой-нибудь пререлиз английский всё-таки на тему корректности перевода есть смысл потестить ?

----------


## MAZIAK

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ: 
  1. Реагирует на события: клавиатура, мышь, оконные события
  2. Передает данные процессу: 848 C:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
  3. Выясняет, какое окно находится в фокусе ввода
  4. Опрашивает состояние клавиш
  5. Опрашивает состояние клавиатуры
  6. Опрашивает активную раскладку клавиатуры
  7. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.67% похож на типовой перехватчик событий клавиатуры/мыши

----------


## Зайцев Олег

> Олег, глюки с переводом на английский будут пофикшены ? Может какой-нибудь пререлиз английский всё-таки на тему корректности перевода есть смысл потестить ?


Постараюсь в пятницу такой пре-релиз сделать

----------


## Зайцев Олег

> 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
> C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
> C:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ: 
>   1. Реагирует на события: клавиатура, мышь, оконные события
>   2. Передает данные процессу: 848 C:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
>   3. Выясняет, какое окно находится в фокусе ввода
>   4. Опрашивает состояние клавиш
>   5. Опрашивает состояние клавиатуры
>   6. Опрашивает активную раскладку клавиатуры
> ...


Типовой эвристический анализ поведения DLL-кейлоггера - а что собственно не так ?
PS: Кстати, PuntoSwitcher я хотел убрать из базы безопасных из-за того, что в нем есть отключаемая фича кейлоггера.

----------


## tar

AVZ отличная программа. От все других подобных!
Но думаю в логе выделять _красным_ такое не стоит:
--------------------------------
Функция NtCreateFile (25) перехвачена (80557C20->F4E54460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateKey (29) перехвачена (8055E60F->F4E5CBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
Функция NtCreateProcess (2F) перехвачена (805A7DCD->F4D94A20), перехватчик D:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (80574107->F4D94B90), перехватчик D:\WINDOWS\System32\drivers\klif.sys
----------------------------------
И кстати, если во время работы AVZ переключится в текстовый редактор, то в нём появляется "...testtest........" или что-то подобное.
А Punto 2.9 после работы AVZ 4.25 у меня перестает переключать расскладку автоматически в WinXP  :Sad:

----------


## Зайцев Олег

> AVZ отличная программа. От все других подобных!
> Но думаю в логе выделять _красным_ такое не стоит:
> --------------------------------
> Функция NtCreateFile (25) перехвачена (80557C20->F4E54460), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
> Функция NtCreateKey (29) перехвачена (8055E60F->F4E5CBC0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
> Функция NtCreateProcess (2F) перехвачена (805A7DCD->F4D94A20), перехватчик D:\WINDOWS\System32\drivers\klif.sys
> Функция NtCreateProcessEx (30) перехвачена (80574107->F4D94B90), перехватчик D:\WINDOWS\System32\drivers\klif.sys
> ----------------------------------
> И кстати, если во время работы AVZ переключится в текстовый редактор, то в нём появляется "...testtest........" или что-то подобное.
> А Punto 2.9 после работы AVZ 4.25 у меня перестает переключать расскладку автоматически в WinXP


Перехваты выделены и подсвечены правильно ... это же перехват, AVZ его и констатирует (но не делает выводов о вредоносности или полезности - это должен делать человек). По поводу появления слова "test" см. в FAQ (http://www.z-oleg.com/secur/avz_doc/faq_12.htm), проблемы в работе Punto 2.9 для меня малообъяснимы, видимо какой-то глюк в этой программе ...

----------


## pig

Punto и без AVZ время от времени подглюкивает. Как любой сторонний клавиатурный перехавтчик-обработчик.

----------


## aintrust

> Перехваты выделены и подсвечены правильно ... это же перехват, AVZ его и констатирует (но не делает выводов о вредоносности или полезности - это должен делать человек).


В качестве предложения: мне кажется, что во время обсуждения всей этой цветовой раскраски мы говорили о том, что перехваты, сделанные "безопасными" объектами, не стоит выделять красным в финальном логе. Как и в случае с процессами/модулями, есть смысл выделять их в соответствии с их принадлежностью к классу "безопасности" (в данном случае - видимо черным и/или зеленым).

----------


## rav

> перехваты, сделанные "безопасными" объектами, не стоит выделять красным в финальном логе.


А откуда ты знаешь, что под этим перехватом нет вредоносного? Там же всё цепочкой идёт...

----------


## anton_dr

В "стандартные скрипты", если ничего не отмечать и нажать "выполнить отмеченные скрипты", вылезает ошибка - "Не отмечено ни одной операции восстановления"

----------


## aintrust

> А откуда ты знаешь, что под этим перехватом нет вредоносного? Там же всё цепочкой идёт...


А какое отношение имеет цветовая индикация файла модуля-перехватчика к той цепочке, что, возможно, выстроилась после его загруженной копии? Более того, каким бы цветом это в логе ни отражалось, пользователь все равно никак не узнает (и AVZ ему этого никак не подскажет), единственный это модуль в цепочке или нет. Именно по этой причине я предлагаю делать индикацию для конкретного файлового объекта (так же, как это сделано в остальных модулях AVZ), а не для отражения того 
факта, что "где-то там, возможно, что-то может быть еще" (как это реализовано сейчас).

PS. Небольшое добавление: в настоящий момент в окне Списка процессов исполнимый файл процесса отображается зеленым цветом даже в том случае, когда какие-то компоненты процесса (DLL, к примеру) не являются безопасными. Как и в вышеописанном случае, возникает вопрос: "А нужно ли отображать такой процесс зеленым (безопасным) цветом, если внутри него может быть черт-те что?". Олег сейчас "решает" этот вопрос с точки зрения "безопасности" файла процесса, а не всего процесса в целом, т.е. если файл - в списке "безопасных", то и процесс - "безопасный" (а многие ли смотрят на компоненты процесса?). Мое предложение сродни этому: перехват надо рассматривать именно с точки зрения "безопасности" конкретного файла-перехватчика, а не самого факта перехвата. Это еще логичнее и по той причине, что, строго говоря, загруженный в память компьютера модуль и его файловая копия (по которой проверяется в AVZ "безопасность") - суть разные вещи.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

> PS. Небольшое добавление: в настоящий момент в окне Списка процессов исполнимый файл процесса отображается зеленым цветом даже в том случае, когда какие-то компоненты процесса (DLL, к примеру) не являются безопасными. Как и в вышеописанном случае, возникает вопрос: "А нужно ли отображать такой процесс зеленым (безопасным) цветом, если внутри него может быть черт-те что?".


Все правильно. Менять ни чего не нужно. Вспомните историю с Winlogon. Как узнать что он патчен, если будет так как Вы предлагаете?

----------


## aintrust

> Все правильно. Менять ни чего не нужно. Вспомните историю с Winlogon.


Я, к сожалению, не знаю этой истории, поэтому прошу пояснить, как именно соотносится winlogon с тем, что я предлагаю.




> Как узнать что он патчен, если будет так как Вы предлагаете?


Если модуль пропатчен малверной программой на диске, то AVZ вряд ли покажет его где-то зеленым цветом (не совпадут контрольные суммы). Если же пропатчен образ "безопасного" модуля в памяти, и при этом сам файл модуля на диске останется нетронутым, то в большинстве случаев вы вряд ли вообще об этом узнаете без специальных инструментов. 

PS. Справедливости ради надо отметить, что AVZ содержит некий встроенный механизм "сравнения" некоторых областей небольшой группы файлов модулей ядра - однако в целом это слабо меняет общую картину...

PPS. Я смотрю, время на сервере отстает минут на 7-8...

----------


## Макcим

> Я, к сожалению, не знаю этой истории, поэтому прошу пояснить, как именно соотносится winlogon с тем, что я предлагаю.


Если Winlogon зеленый, значит он нормальный, если нет, значит патчен. Если будет так как Вы говорите (dll нет в базе безопасных то и файл не выделять как безопасный), хелперы будут думать что файл патчен... То же самое касается IE...

----------


## aintrust

> Если будет так как Вы говорите (dll нет в базе безопасных то и файл не выделять как безопасный)


Нет-нет, я и не предлагал перекрашивать строку с файлом "безопасного" процесса - я лишь показал, что в такой раскраске кроется небольшой подвох, на который "покупаются" многие пользователи. Реальная же суть моего предложения совсем в другом, и касается оно перехватов в таблице SSDT, цитирую себя же:



> по этой причине я предлагаю делать индикацию для конкретного файлового объекта (так же, как это сделано в остальных модулях AVZ), а не для отражения того 
> факта, что "где-то там, возможно, что-то может быть еще" (как это реализовано сейчас).


И еще:



> Мое предложение сродни этому: перехват надо рассматривать именно с точки зрения "безопасности" конкретного файла-перехватчика, а не самого факта перехвата. Это еще логичнее и по той причине, что, строго говоря, загруженный в память компьютера модуль и его файловая копия (по которой проверяется в AVZ "безопасность") - суть разные вещи.

----------


## drozd

Internet Security 6.02.614 обнаруживает в почтовой базе Thebat (message.tbb),находящейся в отдельном архиве следующие вирусы:
Email-Worm.Win32.Eyeveg.f
Net-Worm.Win32.Mytob.bd
Email-Worm.Win32.Monikey.a
Email-Worm.Win32.Warezov.hb
Email-Worm.Win32.Warezov.jq
Email-Worm.Win32.Warezov.kr
Запускаем avz версия 4.25 от17.04.2007, по отчету-опасных объектов
не обнаружено. 
Вопрос:
1) почему avz не видит эти вирусы, может дело в настройках?
2) можно ли обнаружить вирусы в базах tbb при помощи avz ?
3) можно ли лечить зараженные файлы при помощи avz ?

----------


## PavelA

К сожалению, KIS не умеет лечить базы TheBat!.

1.Что можно делать? 
В протоколе KIS найте те письма, в которых он находит вирусы. Удалить эти письма и сжать базу писем TheBat.
Проверить повторно базу писем TheBat (директория TheBat\Mail\имя_пользователя.

2.AVZ в этом случае помочь вряд ли сможет. Он сможет помочь, если вдруг не дай бог, эти письма открывались и скачивались на диск.

3. Описано в п.1

----------


## Зайцев Олег

> К сожалению, KIS не умеет лечить базы TheBat!.
> 
> 1.Что можно делать? 
> В протоколе KIS найте те письма, в которых он находит вирусы. Удалить эти письма и сжать базу писем TheBat.
> Проверить повторно базу писем TheBat (директория TheBat\Mail\имя_пользователя.
> 
> 2.AVZ в этом случае помочь вряд ли сможет. Он сможет помочь, если вдруг не дай бог, эти письма открывались и скачивались на диск.
> 
> 3. Описано в п.1


AVZ умеет лечить базы TheBat. Для этого нужно подключить к мышу  плагин AVZ, после чего выбрать в меню "Папка/Проверить на наличие вирусов", отметить там нужные папки и запуститиь проверку. Все письма с Malware будут перемещены в папку "Каринтин" - ее несложно просмотреть и очестить. В KIS насколько я помню есть аналогичный плагин - соответственно его можно подключить и пролечиться аналогично.

----------


## Зайцев Олег

> Если Winlogon зеленый, значит он нормальный, если нет, значит патчен. Если будет так как Вы говорите (dll нет в базе безопасных то и файл не выделять как безопасный), хелперы будут думать что файл патчен... То же самое касается IE...


*aintrust* примерно год назад написал "зловреда", который отображался в логе зеленым - демонстрируя тот факт, что объект в памяти и файл на диске - несколько разные вещи. Размышляя над ситуацией я написал еще четыре семпла (основанные на других принципах), которые тоже были "зелеными" в логе, хотя и не присутствовали в базе безопасных. Кроме того, как отмечал выше *rav*, перехваты KiST бывают каскадными (т.е. функцию перехватил зловред, а затем - скажем антивирус). Мы будет видеть последний из перехватов в цепочке - эта проблема тянется еще с 90-х годов, когда руткиты перехватывали прерывания. Именно поэтому речь идет именно о подсветке опознанного файла (т.е. как я понимаю всю строку о перехвате черным, данные о легитимном драйвере - зеленым).

----------


## PavelA

> AVZ умеет лечить базы TheBat. Для этого нужно подключить к мышу  плагин AVZ, после чего выбрать в меню "Папка/Проверить на наличие вирусов", отметить там нужные папки и запуститиь проверку. Все письма с Malware будут перемещены в папку "Каринтин" - ее несложно просмотреть и очестить. В KIS насколько я помню есть аналогичный плагин - соответственно его можно подключить и пролечиться аналогично.


Возможно, я отстал от жизни.  :Sad:  или вирусы до меня не долетают.
Года два назад KAV не KIS не мог бороться с базами "мыши".
Плагина АВЗ тогда по-моему не было.

----------


## pig

Зато плагин KAV точно был.

----------


## Макcим

Если ещё не поздно просить фичу, тогда принимайте заказ  :Wink:  
Хочется простенький сканер файла. Как сейчас сделано "проверить файл по базе безопасных", сделать ещё "проверить файл по сигнатурам". Иногда бывает нужно проверить файл с помощью средств AVZ, чтобы не посылать Вам лишний раз мусор.

----------


## SoV

После выполнения "Удаления всех Policies для текущего пользователя" раздела "Востановление настроек системы" перестала работать сеть, точнее я немогу подключиться к удалённым Socks, Pop, Http и прочим портам, а файлы на соседних компах вижу без проблем...
Система WinXP pro x64
Как быть?

----------


## drongo

> После выполнения "Удаления всех Policies для текущего пользователя" раздела "Востановление настроек системы" перестала работать сеть, точнее я немогу подключиться к удалённым Socks, Pop, Http и прочим портам, а файлы на соседних компах вижу без проблем...
> Система WinXP pro x64
> Как быть?


пункты 5,8 отметить в разделе AVZ( восстановления системы ) , выполнить и перегрузиться.

----------


## SoV

> пункты 5,8 отметить в разделе AVZ( восстановления системы ) , выполнить и перегрузиться.


не помогло  :Sad: 
так же не помогают пункты 14 и 15
причём на 32-х битных системах такой проблемы нет ВООБЩЕ!
как вернуть то, что было затёрто при исполнении пункта 6 ? 
Что можно сделать? ГОРЮ!

----------


## drongo

можно также сюда :http://www.z-oleg.com/secur/avz/report.php 
А зачем собственно нажимали ? Проверяли что будет ? Подождём ответ Олега. Сделайте пока логи по правилам, чтобы посмотреть что имеем.

----------


## SoV

> А зачем собственно нажимали ? Проверяли что будет ? Подождём ответ Олега. Сделайте пока логи по правилам, чтобы посмотреть что имеем.


Нажимал для того, чтобы вернуть пункт "Свойства папки" и возможность редактирования реестра, после действий вируса... всё вышеописаное вернулось, а вот сеть "ушла"  :Sad: 
Подскажи, Где можно прочесть правила создания логов???

----------


## drongo

> Где можно прочесть правила создания логов???


http://virusinfo.info/showthread.php?t=1235 
новую тему открой в разделе Помогите , как указано.

----------


## Зайцев Олег

> Если ещё не поздно просить фичу, тогда принимайте заказ  
> Хочется простенький сканер файла. Как сейчас сделано "проверить файл по базе безопасных", сделать ещё "проверить файл по сигнатурам". Иногда бывает нужно проверить файл с помощью средств AVZ, чтобы не посылать Вам лишний раз мусор.


Это как - не совсем понял ?

----------


## Зайцев Олег

> не помогло 
> так же не помогают пункты 14 и 15
> причём на 32-х битных системах такой проблемы нет ВООБЩЕ!
> как вернуть то, что было затёрто при исполнении пункта 6 ? 
> Что можно сделать? ГОРЮ!


Удаление Policies на сеть не влияет. А вот хаотичное запускание других скриптов и опций + деятельность недобитых зловредов - еще как повлияет  :Smiley:

----------


## Muffler

> Это как - не совсем понял ?


Типа проверить файл по базе зловредов AVZ. Эта фича есть в командной строке, но хорошо было бы её вывести в GUI...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Типа проверить файл по базе зловредов AVZ. Эта фича есть в командной строке, но хорошо было бы её вывести в GUI...


А, это элементарно - добавлю

----------


## aintrust

Заметил очень странный баг в AVZ: при включении режима AVZGuard небольшая часть файлов системных процессов (у меня, к примеру, всегда - snmp.exe) и часть системных DLL (shell32.dll, browseui.dll и многие другие) начинают отображаться черным цветом (вместо зеленого). После выключения AVZGuard все снова приходит в норму.

Детально не разбирался, но полагаю, что AVZGuard как-то мешает AVZ "увидеть" эти файлы, т.к. похожая история происходит и с проверкой цифровой подписи файлов. Вот пример:



> Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл прошел контроль подлинности Microsoft
> Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft


Первое сообщение - AVZGuard не включен, второе сообщение - сразу же после включения AVZGuard.

Кто-нибудь еще имеет такой глюк?

----------


## Зайцев Олег

> Заметил очень странный баг в AVZ: при включении режима AVZGuard небольшая часть файлов системных процессов (у меня, к примеру, всегда - snmp.exe) и часть системных DLL (shell32.dll, browseui.dll и многие другие) начинают отображаться черным цветом (вместо зеленого). После выключения AVZGuard все снова приходит в норму.
> 
> Детально не разбирался, но полагаю, что AVZGuard как-то мешает AVZ "увидеть" эти файлы, т.к. похожая история происходит и с проверкой цифровой подписи файлов. Вот пример:
> 
> Первое сообщение - AVZGuard не включен, второе сообщение - сразу же после включения AVZGuard.
> 
> Кто-нибудь еще имеет такой глюк?


Надо такое проверить. Гипотеза - эти файлы отсутствуют в базе AVZ и есть в базе MS. При включении Guard он давит доступ к этим файлами и система не может проверить их ЭЦП по запросу AVZ.

----------


## aintrust

> Надо такое проверить. Гипотеза - эти файлы отсутствуют в базе AVZ и есть в базе MS. При включении Guard он давит доступ к этим файлами и система не может проверить их ЭЦП по запросу AVZ.


Нет-нет, эти файлы точно есть в базе "безопасных" AVZ - они же при выключении AVZGuard становятся зелеными! Кроме того, проверил специально:



> Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл обнаружен в базе системных и безопасных объектов AVZ
> Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ


Первое сообщение - AVZGuard выключен, второе - сразу после включения.

Странно то, что таких файлов - довольно немного. Попробуй глянуть в DLL-ках системных процессов после включения AVZGuard в окне Диспетчера процессов.

----------


## aintrust

Проверил дома - то же самое, только процессы и DLL-ки другие (к примеру, explorer, winlogon и т.д.). Из порядка 40 процессов после включения AVZGuard "чернеют" 5, причем каждый раз меняют цвет одни и те же процессы (как системные, так и нет) - т.е. определенная стабильность в поведении AVZ имеет место. Проявляется не только в окне Диспетчера процессов, но также и в модулях ядра, и в autoruns и т.д. - видимо, вообще везде.

Явный баг? Или у меня супер-руткит спрятался? =) Кто-нибудь еще, помимо меня, это проверял?

PS. Никакого специально софта, который мог бы провоцировать такое поведение AVZ, у меня не установлено. Версия, кстати, 4.25.

PPS. А вот сейчас мои эксперименты вообще привели к синьке из-за ошибки в драйвере AVZGuard. Олег, ты в последнее время в нем ничего не переделывал случаем?

----------


## Зайцев Олег

> Проверил дома - то же самое, только процессы и DLL-ки другие (к примеру, explorer, winlogon и т.д.). Из порядка 40 процессов после включения AVZGuard "чернеют" 5, причем каждый раз меняют цвет одни и те же процессы (как системные, так и нет) - т.е. определенная стабильность в поведении AVZ имеет место. Проявляется не только в окне Диспетчера процессов, но также и в модулях ядра, и в autoruns и т.д. - видимо, вообще везде.
> 
> Явный баг? Или у меня супер-руткит спрятался? =) Кто-нибудь еще, помимо меня, это проверял?
> 
> PS. Никакого специально софта, который мог бы провоцировать такое поведение AVZ, у меня не установлено. Версия, кстати, 4.25.
> 
> PPS. А вот сейчас мои эксперименты вообще привели к синьке из-за ошибки в драйвере AVZGuard. Олег, ты в последнее время в нем ничего не переделывал случаем?


AVZGuard я очень давно не трогал, наверное порядка года никаких изменений не было. Я проверил для опыта на версии 4.24r4 и на 4.25, там такой баг не проявляется.

----------


## Макcим

У меня *с* AVZGuard, svchost.exe обнаружен в *базе системных и безопасных обьектов*. *Без* AVZGuard, svchost.exe *Файл прошел контроль подлинности Microsoft*. 
browseui.dll и winlogon не зависимо от AVZGuard находится в базе AVZ.

----------


## Muffler

> Кто-нибудь еще, помимо меня, это проверял?


Да, у меня такая же фигня... 



> к примеру, explorer, winlogon и т.д.


...и такие же файлы.

----------


## aintrust

> Я проверил для опыта на версии 4.24r4 и на 4.25, там такой баг не проявляется.


Странно... Попробую завтра помониторить доступ AVZ к этим файлам-"хамелеонам", может поймаю что-нибудь. Беспокоит то, что у меня это проявляется не на одном компьютере и под немного разными операционками (XP SP1/SP2), причем в не слишком похожих конфигурациях софта.

----------


## aintrust

> Да, у меня такая же фигня...


О! Значит, нас уже двое таких "пострадавших"... =)

----------


## aintrust

> У меня *с* AVZGuard, svchost.exe обнаружен в *базе системных и безопасных обьектов*. *Без* AVZGuard, svchost.exe *Файл прошел контроль подлинности Microsoft*. 
> browseui.dll и winlogon не зависимо от AVZGuard находится в базе AVZ.


Максим, для проверки надо сделать следующее:
1) запустить AVZ (желательно когда на компьютере все более-менее спокойно и количество процессов стабильно, т.е. не меняется); 
2) запустить в нем Диспетчер процессов и посчитать количество "черных" процессов, после чего закрыть Диспетчер процессов;
3) сразу же после этого включить режим AVZGuard и проделать то же самое, что и в пункте 2).

Если кол-во "черных" процессов в случаях 2) и 3) совпадет, значит баг у вас, скорее всего, не проявляется. К проверке файлов по базе Майкрософт пока привязываться не имеет смысла - это вторичное.

----------


## AndreyKa

> Кто-нибудь еще имеет такой глюк?


Есть такой глюк. Процессы hkcmd.exe и igfxpers.exe после включения AVZGuard почернели (файлы от драйвера встроенного видео Intel).
AVZ 4.25 Windows XP SP2.

----------


## Макcим

> Если кол-во "черных" процессов в случаях 2) и 3) совпадет, значит баг у вас, скорее всего, не проявляется.


Проявляется. Вот скриншоты. Самое интересное, что проявляется на разных файлах (у Вас на системных, у меня на драйвере к принтеру).

----------


## aintrust

Понятно, глюк имеет место... Спасибо всем, кто принял участие в тестировании!

----------


## anton_dr

Я тоже принимал! Но у меня глюка нет  :Smiley:

----------


## aintrust

> Я тоже принимал! Но у меня глюка нет


Это, конечно, плюс, но баг уже подтвержден - это означает, что он может произойти у кого угодно и в любой ситуации. В общем, его надо изучать, искать и исправлять - и чем скорее, тем лучше.

----------


## tar

Когда смотришь "Менеджер внедренных DLL", то в графе "Анализатор" не видно текста, он уходит за пределы окна.
Например "....Передает данные процессу xxxx c:\w" а дальше не видно  :Sad:

----------


## aintrust

> В общем, его надо изучать, искать и исправлять - и чем скорее, тем лучше.


Ну что же, мне все ясно. Файловый мониторинг показал, что включенный _AVZGuard_ "мешает" _AVZ_ получить информацию о цифровой подписи файлов, как я и предположил ранее. Сейчас для меня остается загадкой лишь то, что этот баг проявляется не у всех.

Итак, подробности. Привожу кусочек лога утилиты _FileMon_ (файл _fmon_guard.zip_) для окна _Диспетчера процессов_ при включенном _AVZGuard_. В этом кусочке представлена информация о тех процессах (не в терминах ОС), которые приводят к "почернению" некоторых файлов после включения _AVZGuard_. Здесь "почернели" следующие файлы (по порядку в логе): _winlogon.exe_, _nvsvc32.exe_ и _explorer.exe_. Как видно из лога, сами эти файлы _AVZ_ читает без проблем (от начала и до конца, и ничто ему не мешает), и, видимо, так же без проблем может посчитать их контрольную сумму для проверки по базе "безопасных" (а они там точно присутствуют). Однако, по непонятной мне причине, _AVZ_ начинает вдруг обращаться к системе за проверкой их цифровой подписи по каталогу Microsoft (странно, ведь никто не просит его это делать!) и тут, ввиду присутствия _AVZGuard_, мешаюшего ему это сделать, _AVZ_ "обламывается". Приняв (что неверно) этот "облом" как ошибку подсчета контрольной суммы, _AVZ_ отрисовывает этот файл черным цветом вместо зеленого. Обратите внимание на еще один момент: файлы _ntdll.dll_, _smss.exe_, _csrss.exe_ также имеют цифровую подпись, но _AVZ_ даже и не пытается ее проверить по каталогу Microsoft (почему, ума не приложу) - он удовлетворяется лишь тем, что просто читает эти файлы, подсчитывает для них контрольную сумму, проверяет по своей базе безопасных и затем показывает зеленым цветом.

Привожу еще один лог (файл _fmon_noguard.zip_), где показано, как происходит операция чтения файла _explorer.exe_ и его проверка по каталогу Microsoft для случая, когда _AVZGuard_ выключен. Как видим, все ОК, с точки зрения _AVZ_ все идет штатным образом, и, как результат, файл показывается зеленым цветом.

----------


## Зайцев Олег

Как материал для размышления - AVZ проверяет так: сначала читает данные из файла и расчитывает CRC файла. Если это не удается (файла нет, доступа нет ...), то файл признается небезопасным независимо от прочих условий. Если CRC удается высчитать (т.е. фай есть, его удалось открыть и прочитать его содержимое), то CRC проверяется по базе чистых. Если файл там обнаруживается, то он признается безопасным и процесс проверки завершается. Если нет, то производится проверка по базе MS. В начале следующей недели пойдут тесты 4.26, в ней я воткну дебаг-вывод для функции проверки файла, если баг проявится, узнаем, в чем точно причина.

----------


## Макcим

Предлагаю сделать сигнатурный детект на пакеры и крипторы, которыми пакуются преимущественно malware.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## aintrust

> ...CRC проверяется по базе чистых. Если файл там обнаруживается, то он признается безопасным и процесс проверки завершается. Если нет, то производится проверка по базе MS.


Я всегда (наивно) полагал, что зеленым цветом отображаются только те файлы, что находятся в базе безопасных _AVZ_, а оказалось, что совсем даже и нет! Я бы, наверное, в таком случае предложил показывать файлы из каталога Майкрософта цветом, отличным от зеленого (синим?), т.к., полагаю, при желании можно обмануть _AVZ_ при проверке файла только по каталогу (надо будет подумать над этим на досуге).

PS. Попробуй смоделировать ситуацию с этим багом у себя, исключив пару-тройку системных файлов из базы безопасных и включив режим _AVZGuard_.

----------


## krserv

Олег, я поставил версию 4.25 (пробовал и русскую и английскую), но почему-то не идет обновление файл main028.avz. -  пробовал два раза на разных языковых версиях, а вот сейчас смотрю на русской  прошло, идет main030.avz Что это может быть, отсутствие доступа к файлу обновления из-за перегрузки сервера обновлений? Вот сейчас написал, что загрузочный файл 031 - поврежден? Запущу еще. Вот все обновления установились. Ошибка возникает из-за перегрузки?
Базу обновлений можно использовать в разных языковых версиях, или нужно обновлять на англоязычную повторно уже из ее интерфейса?

----------


## Зайцев Олег

> Олег, я поставил версию 4.25 (пробовал и русскую и английскую), но почему-то не идет обновление файл main028.avz. -  пробовал два раза на разных языковых версиях, а вот сейчас смотрю на русской  прошло, идет main030.avz Что это может быть, отсутствие доступа к файлу обновления из-за перегрузки сервера обновлений? Вот сейчас написал, что загрузочный файл 031 - поврежден? Запущу еще. Вот все обновления установились. Ошибка возникает из-за перегрузки?
> Базу обновлений можно использовать в разных языковых версиях, или нужно обновлять на англоязычную повторно уже из ее интерфейса?


Я заливал базы на сервер не так давно - канал тормозил и процесс этот шел долго. Если запустить обновление в такой момент - будет ошибка, потом она самоустранится. На всякий случай я перезалью сейчас базы еще разок - в логах автоматики сообщение о проблемах с файлом main031, передача возобновлялась после таймаута.
База общая для en/ru, поэтому можно обновиться один раз и затем подсунуть базу (т.е. всю папку Base) в другую версию.

----------


## Muffler

> Предлагаю сделать сигнатурный детект на пакеры и крипторы, которыми пакуются преимущественно malware.


Предлагаю сделать сигнатурный детект на все пакеры и крипторы в расширеном анализе эвристика.

----------


## Макcим

*Muffler*, как Вы понимаете слово "все"? Вам нужна информация о том упакован файл или нет?

----------


## Muffler

> Вам нужна информация о том упакован файл или нет?


Да, упакован или нет, если да то каким пакером или криптором, но только эту проверку делать в расширеном анализе эвристика...

----------


## Макcим

Тогда к названию пакера\криптора добавить информацию, например что он часто используется в malware.

----------


## Mad Scientist

Вчера столкнулся с runtime2.sys - "Win32/Rootkit.Agent.EY" троян по классификации от Eset - помоем драйвер себя еще и маскировал.
Но главной особенностью было то, что когда AVZ пытается его обнаружить (детектировать работу rootkit, не снимая перехваты), руткит генерит бсод. Еще это было дополнено одним процессом, который тож нельзя было прибить, который загружал процессор на 98%, так что окошки открывались минуты по две, хотел сформатнуть все).

----------


## XL

> Вчера столкнулся с runtime2.sys - "Win32/Rootkit.Agent.EY" троян по классификации от Eset - помоем драйвер себя еще и маскировал.
> Но главной особенностью было то, что когда AVZ пытается его обнаружить (детектировать работу rootkit, не снимая перехваты), руткит генерит бсод. Еще это было дополнено одним процессом, который тож нельзя было прибить, который загружал процессор на 98%, так что окошки открывались минуты по две, хотел сформатнуть все).


Это еще что. Я как-то во второй день после отпуска в мае наткнулся на машинку, в которой прижились оба runtime'ма (1 и 2), poof$proof.sys$еще_какая-то_третьекомпонетная_хрень, патченный ndis.sys и еще пара-тройка троянских низкоуровневых модулей (названия щас не помню уже). Я просидел там часа полтора, а ребутился раз 20 вынужденным образом и не по своей воле. В bsod комп кидал не только доход AVZ до кернелмода, но и запуск gmer. А не сняв хуки кернелмода, делать что-либо на такой машине бессмысленно. Включаешь avz guard и руками чистишь автозапуск, обновляешь страницу и ключики убитые восстанавливаются на глазах. Веселуха...  :Smiley: 
Кое-что обезвредил при помощи RKU (его запуск и снятие хуков не бсодили, видимо, он их аккуратнее снимает), кое-что путем вычисления через менеджер служб и драйверов с последующим ручным написанием скрипта. Звери эволюционируют и становятся агрессивными.

----------


## Макcим

> Звери эволюционируют и становятся агрессивными.


AVZ тоже не стоит на месте. Будем надеятся, что в AVZ 4.26 таких проблем не будет.  :Smiley:

----------


## Зайцев Олег

> Вчера столкнулся с runtime2.sys - "Win32/Rootkit.Agent.EY" троян по классификации от Eset - помоем драйвер себя еще и маскировал.
> Но главной особенностью было то, что когда AVZ пытается его обнаружить (детектировать работу rootkit, не снимая перехваты), руткит генерит бсод.


Видимо, стоит тупой детект загрузки драйвера ... это устранимо

----------


## Jef239

> В начале следующей недели пойдут тесты 4.26,


Олег, а можно бета-версию скачать?

Кстати, что там с ошибкой  в хелпе насчёт сервиса "прислать чистые"?

----------


## aintrust

> Я просидел там часа полтора, а ребутился раз 20 вынужденным образом и не по своей воле.


Пару недель назад имел похожий "секс". Первое желание было вообще не связываться, а сделать полную переустановку, однако "клиент" чуть ли не на коленях упрашивал обойтись без переустановки - слишко много всего "нажитого". Убил всех зверей только связкой RkU + AVZ (RkU - для правильной оценки ситуации с руткитами и для снятия хуков, а AVZ, руки и мозги - для остального)... =)

----------


## santy

смотрел недавно, 27.06.2007 по логам на одной из машин: вначале IMON(nod32) задетектил  "probably unknown NewHeur_PE virus", юзер не нажал кнопку "дисконнект", через несколько секунд монитор прибил в системе файл:
C:\WINNT\System32\drivers\netdtect.sys - Win32/Rootkit.Agent.DP trojan - quarantined - deleted

Интересно, есть ли какие-то данные по тестированию технологии NOD Anti-Stealth?

----------


## Geser

Кстати, очень давно уже говорилось об обнаружении руткитов путём сравнения сканирования диска обычным способом и через драйвер прямого доступа. Я так понимаю это до сих пор не реализовано. Почему?

----------


## Зайцев Олег

> Кстати, очень давно уже говорилось об обнаружении руткитов путём сравнения сканирования диска обычным способом и через драйвер прямого доступа. Я так понимаю это до сих пор не реализовано. Почему?


Это медленно (нужно сначала просканировать через API, затем - напрямую, разбирая файловую систему вручную), и в случае новых зловредов не поможет - они просто не маскируются, так как куда проще и надежнее ограничить доступ к файлу, чем маскировать его.

----------


## drongo

В последнее время участились случаи в разделе "помогите" , заражения серверов 2000, 2003. Очень нужны скрипты лечения  "Настройки SPI/LSP" .

----------


## Geser

> Это медленно (нужно сначала просканировать через API, затем - напрямую, разбирая файловую систему вручную), и в случае новых зловредов не поможет - они просто не маскируются, так как куда проще и надежнее ограничить доступ к файлу, чем маскировать его.


Медленно это не аргумент. Это всёравно что сказать что не нужно в антивирусах делать полное сканирование, потому что это медленно. Функция нужна. А тратить время или нет, это уж пусть каждый решает сам.

А если уж новые зловреды ограничивают доступ, то автоматически напрашивается добавление в протокол сканирования всех файлов доступ к которым ограничен.

----------


## Зайцев Олег

> В последнее время участились случаи в разделе "помогите" , заражения серверов 2000, 2003. Очень нужны скрипты лечения  "Настройки SPI/LSP" .


Уже сдалано, лечение и бекап LSP, помогает в 99.99% случаев. Для определенности начинаем приватные тесты альфы AVZ 4.26 завтра, в закрытом разделе ...

----------


## drongo

Я за пост номер 399  :Wink:  
Олег, на эти 2 опции стоит потратить время ;-)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## aintrust

> Для определенности начинаем приватные тесты альфы AVZ 4.26 завтра, в закрытом разделе ...


Олег, не забудь, пожалуйста, про отладочную печать для выявления бага с "почернением" безопасных файлов в режиме AVZGuard.

----------


## Зайцев Олег

> Олег, не забудь, пожалуйста, про отладочную печать для выявления бага с "почернением" безопасных файлов в режиме AVZGuard.


Уже поздно - полчаса назад тестовая версия положена в приватный раздел. Но я пересоберу ее с добавленных отладочным логом и пришлю ...

----------


## aintrust

> Но я пересоберу ее с добавленных отладочным логом и пришлю ...


Да-да, т.к. бета 4.26 подвержена аналогичной "болезни"...

----------


## XL

Господа, мне в последнее время просто везет на новых зверей. Сегодня наткнулся на интересный случай, я бы даже сказал на очень интересный. Аналогичная фигня рассмотрена здесь:
http://virusinfo.info/showthread.php?p=121596
Итак, что мы имеем:
по адресу *C:\WINDOWS\system32\simp_dll.dll* лежит библиотека, инжектящаяся в (зеленый в логе) svchost.exe. Детектится библиотека как NOD32v2 2389 07.10.2007 Win32/Spabot.NAH (последние три буквы очень символичны  :Smiley:  )
Библиотека залочена и проверяется только прямым чтением. ЕЕ можно удалить файловым монитором НОДА и она до перезагрузки не появляется вновь, т.е. исчезает визуально из папки.
Идем далее. При проверке системы сканером по требованию (или файловым монитором при наведении мышью и выделении файла) в C:\WINDOWS\temp всплывают еще 2 NAH'а с расширением *.tmp, которые тоже детектятся антивирусом . Один из них удаляется и не появляется более, а второй удаляется и тут же появляется с другим именем, снова удаляется и снова появляется, и т.д.
Глядя на эту вакханалию, сразу хочется ее прекратить через AVZ Guard, но не тут то было! Предварительно снимаем хуки (которых не видно) антируткитом, вырубаем НОД, включаем Guard, удаляем через отложенное удаление регенирирующийся *.tmp, а он-гад снова появляется, несмотря на включенный avz_guard!!! Наступает первая стадия удивления.
Вторая стадия приходит, когда мы пишем скрипт вида:



> begin
> SearchRootkit(true, true);
> SetAVZGuardStatus(True);
>  DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
>  BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
>  DeleteFile('C:\WINDOWS\temp\*.tmp');
>  BC_DeleteFile('C:\WINDOWS\temp\*.tmp');
> ExecuteSysClean;
> BC_Activate;
> ...


и после его выполнения видим все на своих местах, а также не видим линков на автозапуск *.tmp и C:\WINDOWS\system32\simp_dll.dll в менеджере автозапуска.
Хочу заметить, что восстановление системы отключено заранее.
Avenger'ом пробовал делать аналогичное удаление - эффект тот же, т.е. нулевой. Я в растерянности....
Клиенту пообещал, что если до завтрашнего вечера решение не найду, будем сносить винду (она со вторым SP...)
Идеи?
Если нужен лог, то он есть, правда чуть разбавлен Jeefo'й.

----------


## Muffler

Давайте лог... 

Лучше всего после вот такого скрипта:



```
begin
ExecuteAVUpdate;
if true then
 AddToLog('[Log][OK]=====>>> AV Update -> Done!')
else
 AddToLog('[Log][Error]=====>>> AV Update -> Error!');

SetupAVZ('UseQuarantine=Y');
SetupAVZ('SCANDRIVE=HDD');
SetupAVZ('ScanAllFiles=Y');
SetupAVZ('CheckArchives=Y');
SetupAVZ('EvLevel=3');
SetupAVZ('ExtEvCheck=Y');
 AddToLog('[Log][Info]=====>>> AVZ SetUp -> Done!');
SearchRootkit(true, true);
 AddToLog('[Log][Info]=====>>> AVZ Anti-Rootkit -> Done!');
 RunScan;
AddToLog('[Log][Info]=====>>> AVZ Scan -> Done!');
ExecuteSysCheck(GetAVZDirectory + 'ext_syscheck.zip');
AddToLog('[Log][Info]=====>>> AVZ Syscheck -> Done!');
CreateQurantineArchive(GetAVZDirectory + 'ext_qurantine.zip');
if true then
   begin
AddToLog('[Log][OK] =====>>> AVZ QrArchive -> OK');
RebootWindows(false);
   end
else
    begin
AddToLog('[Log][Error] =====>>> AVZ QrArchive -> Error');
AddToLog('[Log][Info] =====>>> AVZ -> Try to run this script in SafeMode.');
SetAVZGuardStatus(false);
AddToLog('[Log][Info] =====>>> AVZ -> AVZ Guard OFF');
ExitAVZ;
   end;

end.
```

Нужны файлы *ext_syscheck.zip* и *ext_qurantine.zip*.

----------


## Зайцев Олег

После бета-тестирования выпущен редактор скриптов AVZ. Страница описания и загрузки - http://z-oleg.com/secur/avz/avz_se.php, документация - http://z-oleg.com/secur/avz_se_doc/

----------


## Geser

Олег, у меня вопрос по комманде BC_QrSvc
В примере аргументом является название сервиса. Можно ли в качестве аргумента указывать имя файла сервиса или драйвера?

----------


## Зайцев Олег

> Олег, у меня вопрос по комманде BC_QrSvc
> В примере аргументом является название сервиса. Можно ли в качестве аргумента указывать имя файла сервиса или драйвера?


Нет - такое не поддерживается - BC_QrSvc ищет в реестре ключ с указанным именем в разделе регистрации служб и драйверов. Для карантина файла можно применить  BC_QrFile(' '); - карантин файла по имени. Но он сработает только в случае указания полного имени файла.

----------


## PavelA

Олег! В этой теме в конце лога есть подозрение вполне оправданное на ip6fw.sys, но в модулях ядра его не видно  :Sad: 
http://virusinfo.info/showthread.php?t=10925

В чем тут проблема?

----------


## Макcим

Хотелось бы ещё услышать комментарий по поводу детекта или определения пакера.

*Добавлено через 2 часа 38 минут*
Можно AVZ запустить с диска, сделанным в PE Builder? С помощью ревизора можно не плохо искать руткиты.

----------


## Зайцев Олег

> Хотелось бы ещё услышать комментарий по поводу детекта или определения пакера.
> 
> *Добавлено через 2 часа 38 минут*
> Можно AVZ запустить с диска, сделанным в PE Builder? С помощью ревизора можно не плохо искать руткиты.


По поводу пакеров - для запущенных процессов есть эвристический поиск пакера, чаще всего он угадывает. Детект пакера по сигнатуре возможен, но это замедление сканирования, причем ощутимое. Компромисное решение - можно делать такую проверку для всех файлов, попавших в исследование системы. Но тогда возникает вопрос - кто будет выиискивать пакеры разных версий и брать сигнатуры ? Сигнатуру положим я могу взять, но для этого нужно упаковать 2-3 "дрозофилы" (скажем блокнот и regedit) каждым из пакеров, причем повторить эту операцию в разных режимах пакера. 
Запустить AVZ с диска PE Builder можно, я видел реализации подобных дисков с AVZ на борту.

----------


## Макcим

> Сигнатуру положим я могу взять, но для этого нужно упаковать 2-3 "дрозофилы" (скажем блокнот и regedit) каждым из пакеров, причем повторить эту операцию в разных режимах пакера.


То есть, точного результата все равно не будет? Искать пакер во всех файлах на диске конечно не зачем. Другое дело отдельный файл. Скачал из сети какой-нибудь кейген, проверил антивирусом и AVZ. Предположим антивирус ни чего не нашел, а AVZ определил чем упакован файл и тенденцию использования этого пакера в malware.



> Запустить AVZ с диска PE Builder можно, я видел реализации подобных дисков с AVZ на борту.


А как это сделать? Можете рассказать в "Чаво"? При подозрении на неуловимый руткит в самый раз.

----------


## Зайцев Олег

> То есть, точного результата все равно не будет? Искать пакер во всех файлах на диске конечно не зачем. Другое дело отдельный файл. Скачал из сети какой-нибудь кейген, проверил антивирусом и AVZ. Предположим антивирус ни чего не нашел, а AVZ определил чем упакован файл и тенденцию использования этого пакера в malware.


Точный результат и детект будет, но:
1. Существует туча пакеров и их разновидностей (т.е. для более-менее нормального детекта нужна база на 200-500 сигнатур минимум)
2. Существуют обфускаторы, задача которых - покорежить код распаковщика настолько, чтобы его не узнали антивирусы и прочие анализаторы
3. Множество пакеров применяется как для упаковки полезных программ, так и для зловредов (самый распространенный пример - UPX). Т.е. судить о зловредности файла по его упаковщику - нехорошо. Самый распространенный пример - альтернативная обновлялка баз для DrWEB, на нее AVZ постоянно ругается. Причина - пакер, причем нарушающий формат PE файла ... а программа эта сама по себе не опасна.

----------


## Макcим

Теперь понял бесполезность задумки. А что по PE Builder?

----------


## drongo

Ссылка на подробную инструкцию  изготовления была бы кстати, я как раз решил заняться изготовлением диска с кис 7  :Wink:

----------


## XL

> Давайте лог...


Глядя на то как развивались события, в итоге все сделал аналогично тому, как в ВЫ в той теме в "Помогите" отписались. Действительно, все дело было в пропатченном *ntoskrnl.exe*... Лог очень похож (разве что менее насыщенный), поэтому цеплять его не буду. Век живи - век учись! Теперь буду с большей осторожностью относиться к незеленым системным файлам в отчете.
Другое дело, что когда подсунул винде здоровый ntoskrnl.exe, та начала зависать при запуске. Пришлось стартануть в last good configuration, затем прогрузиться в безопасном режиме и только после этого система начала загружаться в нормальном режиме. После всего в отчет при проверке по базе безопасных ntoskrnl.exe попадать перестал.

Сорри за оффтоп и спасибо за подсказку!

Детект зверя в ntoskrnl.exe



> File avz00002.dta received on 07.11.2007 21:00:35 (CET)
> Current status:    finished 
> 
> Print results Antivirus	Versiуn	Last Update	Result
> AhnLab-V3	2007.7.11.1	20070711	no virus found
> AntiVir	7.4.0.39	20070711	no virus found
> Authentium	4.93.8	20070710	no virus found
> Avast	4.7.997.0	20070711	no virus found
> AVG	7.5.0.476	20070711	no virus found
> ...

----------


## Muffler

Касперский его будет детектить после апдейта баз.

----------


## Макcим

> Ссылка на подробную инструкцию изготовления была бы кстати, я как раз решил заняться изготовлением диска с кис 7


KIS 7 это хорошо, но говорю о возможности создания такого диска с AVZ...

----------


## PavelA

@Олег
Можно такое использовать?

 DeleteFile('C:\WINDOWS\temp\*.tmp');

Есть мнение, что удаление по маске не работает.

----------


## Макcим

Загрузочный диск с AVZ был бы очень кстати http://forum.kaspersky.com/index.php?showtopic=43184

*PavelA*, я использую DeleteFile('C:\WINDOWS\temp\*.*');
Вроде работает.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

> KIS 7 это хорошо, но говорю о возможности создания такого диска с AVZ...


и я об этом, просто хочу один диск сделать, зачем мне несколько дисков тратить  :Wink:

----------


## Зайцев Олег

> PavelA, я использую DeleteFile('C:\WINDOWS\temp\*.*');
> Вроде работает.


Функция DeleteFile убивает файл по его полному имени. Маски не поддерживают.

----------


## Geser

Предлагаю дополнение к скрипрам сбора информации. 
Поиск на всех дисках файлов Autorun.inf анализ и выдача предупреждений при попытке запустить через них исполняемые файлы

----------


## Muffler

> Предлагаю дополнение к скрипрам сбора информации. 
> Поиск на всех дисках файлов Autorun.inf анализ и выдача предупреждений при попытке запустить через них исполняемые файлы


Эвристик AVZ уже это делает.




> 7. Эвристичеcкая проверка системы
> >>> D:\autorun.inf ЭПС: подозрение на  скрытый автозапуск (высокая степень вероятности)
> Проверка завершена

----------


## Зайцев Олег

> Эвристик AVZ уже это делает.


Дополню - 4.26, тесты которого вроде идут к завершению, еще и копается внутри такого INF файла и прослеживает, что конкретный autorun.inf пытается запускать и откуда. Это дает возможность выполнить автокарантин и предметно поругаться в логе

----------


## PavelA

@Олег AVZ часто помещает в карантин msi-файлы многомегабайтные.
Очень затрудительно скачивать 10Мб. Как бы это дело уменьшить.

----------


## Grey

> Дополню - 4.26, тесты которого вроде идут к завершению, еще и копается внутри такого INF файла и прослеживает, что конкретный autorun.inf пытается запускать и откуда. Это дает возможность выполнить автокарантин и предметно поругаться в логе


А вот это отлично
Недавно как раз с таким столкнулся
В офисе на небольшой сетке куча такого, пока повычищал, 2 вечера убил

----------


## aintrust

> Дополню - 4.26, тесты которого вроде идут к завершению


Ага, может форсируешь выпуск версии 4.26, пока сидишь дома в мини-отпуске? =) И, надеюсь, ошибка с "почернением" файлов в режиме AVZGuard там будет исправлена?

----------


## Макcим

Можно сделать, чтобы обновления баз давались только последнему билду?

----------


## Зайцев Олег

> Можно сделать, чтобы обновления баз давались только последнему билду?


Можно - но из за обновления баз и закачки AVZ получается постоянная DDoS ситуация моего сайта. Если включить блокировку, все вообще ляжет ...

----------


## Макcим

Может подумать о смене хостера?

----------


## Muffler

А хостинг то здесь причем?

----------


## Макcим

Ну может не хватает толщины канала...

----------


## Зайцев Олег

> Ну может не хватает толщины канала...


Любой канал и сервер имеют пределы ... Единственный выход - размазать зеркало файлов по куче серверов

----------


## AStr

> Можно сделать, чтобы обновления баз давались только последнему билду?


и еще бы сообщенье, если вышла новая версия

----------


## Макcим

По любому нужно что-то придумать. Слишком многие ленятся проверять обновление билда.

*Добавлено через 3 часа 28 минут*
Есть ещё одно предложение - убрать разделение карантина на даты. Пример из практики. Обращается человек на форум около полуночи. Пока появятся хелперы, напишут скрипт... Карантин полученый во время сбора логов остается в папке за вчерашний день. После выполнения скрипта от хелпера появляется ещё один карантин в папке за сегодняшнее число.

----------


## XL

> Есть ещё одно предложение - убрать разделение карантина на даты.


Да, это было бы полезно. А то карантин перезаписывается и и экспонаты теряются, когда за один день со своей флешки пролечиваешь несколько компов сразу.

----------


## anton_dr

> Любой канал и сервер имеют пределы ... Единственный выход - размазать зеркало файлов по куче серверов


Ты же вроде выкладывал на рапидшару?

----------


## Jef239

> Любой канал и сервер имеют пределы ... Единственный выход - размазать зеркало файлов по куче серверов


Есть второй выход - замерить отдельно трафик на скачивание файлов, на Update AVZ и на чтение документации. Что-то мне кажется, что чтение док должно дать больший трафик, чем закачка файлов...

----------


## Макcим

> А то карантин перезаписывается и и экспонаты теряются


Плюс к сказанному выше будем надеятся, что в AVZ 4.26 появится защита от повторного копирования файла в карантин. Надоело качать по 20 метров с одним файлом в двадцатью экземплярах.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Плюс к сказанному выше будем надеятся, что в AVZ 4.26 появится защита от повторного копирования файла в карантин. Надоело качать по 20 метров с одним файлом в двадцатью экземплярах.


так это есть и сейчас - команда очистки карантина, ее есть резон применять в скрипте.

----------


## Макcим

Это не то, что нужно. Иногда нельзя чистить весь карантин, но для контроля нужно скарантинить файл перед удалением ещё раз. Вот тут и получается что архив 19 метров весит все 40.

----------


## PavelA

Мне кажется, если AVZ пишет, что поместила в карантин, то не надо повторно карантинить эти же файлы. В конце лога все замечательно пишется. Это уже проблема писателя скриптов, а не AVZ.
Вот когда что-нибудь похожее на Mail.bomb в карантин попадает, да еще неск. разных. Тогда карантины и разбухают.

----------


## Nick222

А если на Torrent размещать - тогда народ будет качать друг у друга?
И обновления можно выкладывать накопленные и еженедельные - одним торрентом...

----------


## Muffler

> А если на Torrent размещать - тогда народ будет качать друг у друга?


Да, кстати это хорошая идея, дистрибутивы линукс уже давно так распространяются.

----------


## Макcим

> А если на Torrent размещать - тогда народ будет качать друг у друга?


Не думаю, что это хорошая идея.

----------


## pig

Всех посодют. Объявят торрент вне закона как пособника пиратов.

----------


## Muffler

> Всех посодют. Объявят торрент вне закона как пособника пиратов.


Непонял...

----------


## Макcим

Плюс к предложению убрать разделение карантина на даты предлагаю ещё отказаться от использования virusinfo_cure.zip. Пускай скрипт собирает файлы в общую папку - AVZ - Quarantine. Пользователи не будут путать лог с карантином.

----------


## PavelA

> Плюс к предложению убрать разделение карантина на даты предлагаю ещё отказаться от использования virusinfo_cure.zip. Пускай скрипт собирает файлы в общую папку - AVZ - Quarantine. Пользователи не будут путать лог с карантином.


Не понял, какова будет стр-ра директорий в этом случае.virusinfo_cure.zip полезно иметь и *запрашивать*, когда из логов видно что в первоначальном карантине есть зверье.

----------


## Geser

Воизбежании невыполнимых команд типа 
BC_QrFile('PDRFRAME.sys');
Нужно бы добавить в проверку скрипра перед исполнением и проверку того что для бут драйвера задаются полные пути.

----------


## santy

> Плюс к предложению убрать разделение карантина на даты предлагаю ещё отказаться от использования virusinfo_cure.zip. Пускай скрипт собирает файлы в общую папку - AVZ - Quarantine. Пользователи не будут путать лог с карантином.


думаю, если убрать деление карантина по датам в качестве поддиректорий, тогда следует обязательно включить дополнительное поле - дату попадания файла в карантин, с возможностью сортировки по датам. Включить тогда такие функции: выделить текущий файл, выделить все файлы в карантине (для создания архива), выделить все файлы на текущую дату. Отказаться от virusinfo_cure.zip, по моему, спорное решение, потому что не все хелперы имеют возможность просмотреть, что находится в карантине на зараженной машине, а так по логу после лечения могут просмотреть, какие вредоносные или подозрительные файлы остались еще в системе... хотя..., ничто не мешает выполнить новый check системы.
---
подскажите, что происходит с серверами virustotal, virusscan... как минимум, неделю не доступны.

----------


## SuperBrat

> подскажите, что происходит с серверами virustotal, virusscan... как минимум, неделю не доступны.


Имхо, по virustotal все нормально. Пользуюсь регулярно. Есть еще scanner.virus.org
Он не без недостатков, но для быстрой проверки годится.

----------


## Alvares

> Есть еще scanner.virus.org
> Он не без недостатков


угу, версии антивирей староваты.

----------


## DoSTR

> подскажите, что происходит с серверами virustotal


Вирустотал работает пройдите *именно по этой ссылке:*
http://www.virustotal.com/

----------


## santy

> Вирустотал работает пройдите *именно по этой ссылке:*
> http://www.virustotal.com/


"Все течет... все изменяется." (с) Гераклит.
Совсем еще недавно ходил сюда.

http://www.virustotal.com/xhtml/index_en.html

----------


## Jef239

> "Все течет... все изменяется." (с) Гераклит.
> Совсем еще недавно ходил сюда.
> 
> http://www.virustotal.com/xhtml/index_en.html


Они неделю назад дизайн поменяли... Добавили отсылку через email и через контекстное меню Windows...

----------


## XL

А можно сделать так, чтобы функция ExecuteSysClean чистила реестр в отношении элементов BHO? Сейчас ощущение такое, что именно BHO остаются вне зоны внимания.

----------


## NO-REG

Привет Олег,

слушай, как думаешь, тебя бы не очень затруднило добавить номер версии (а можно и обновлений) прямо в .caption главного окна?
 Фокус то не хитрый, но для тех, кто использует флэш и локалки будет проще сразу не запутаться с версиями/билдами (некоторые старые то обновляются тоже!).  Или при обновлении хотя бы подскажи что "уже есть более крутая версия"  :Wink: 

Всё, пасибки. 
Слава труду

P.S. Проверка вопроса системы антиспама "NoSpam!" по идее должна предлагать РАЗНЫЕ слова или типа "Введите третье слово из этой строки"
 (хотя тут могут быть казусы с Ынглш спкн пплз)

----------


## NickGolovko

Дивна вторая строка автозапуска во вложенном логе.  :Smiley: 

Шо цэ?  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jef239

> Дивна вторая строка автозапуска во вложенном логе. 
> 
> Шо цэ?


Ты про "D:\Program Files\Comodo\Firewall\CPF.exe"  /background?
И что  тут дивного? Там ещё одна такая есть, с кавычками посредине строки... Видимо так в реестhе и засписано.

----------


## NickGolovko

Значит, не туда смотрите.  :Smiley:

----------


## Зайцев Олег

> Значит, не туда смотрите.


Интересно бы экспортнуть ключик HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager на той машине ...

----------


## Jef239

> Значит, не туда смотрите.


%@$%@ твою %%ть! Ни @%#$ себе! Увидел! 
Мда, пред сном на ЭТО смотреть не стоит....

----------


## NickGolovko

2 Олег: если получится, попрошу.  :Smiley:

----------


## Макcим

Кажется я нашел ещё один баг. Вставляем в дисковод диск и запускаем AVZ. Закрываем AVZ и вытаскиваем диск. При следующем запуске без диска получаем ошибку и AVZ не запускается

----------


## SuperBrat

*Maxim*, тут Олег отвечал:
http://virusinfo.info/showpost.php?p...&postcount=328

----------


## Jef239

> Кажется я нашел ещё один баг. Вставляем в дисковод диск и запускаем AVZ. Закрываем AVZ и вытаскиваем диск. При следующем запуске без диска получаем ошибку и AVZ не запускается


Видел я такое. А вообще-то иногда необходимость вытащить сидюк бывает и по ходу сканирования. И даже когда его проверка запланировна - всё равнот его вынуть могут.

----------


## Pili

Можно ли сделать, чтобы AVZ определял, что он запущен из терминальной сессии и писал об этом в логе? Плюс, если возможно, выдавал окошко юзеру, что хорошо бы запустить AVZ с консоли. 
Разбор логов сделанных AVZ из терминалки затруднен (для примера http://virusinfo.info/showthread.php?t=11417 логи похоже делались из терминалки), в автозапуске напр. стоят такие пути "C:\Documents and Settings\Dean.BIG\WINDOWS\system32\tscupgrd.exe", в режиме запуска с консоли было бы "C:\WINDOWS\system32\tscupgrd.exe". Админам удобнее конечно работать с терминалки, можно ли доработать функционал AVZ для работы в терминальных сессиях?

----------


## Alvares

*Зайцев Олег*, а нельзя ли в лог добавить не только 
*"найдено вредоносных программ 0"*
но и 
*"найдено подозрительных объектов 0"*
в случае, если были подозрения

----------


## Зайцев Олег

> Можно ли сделать, чтобы AVZ определял, что он запущен из терминальной сессии и писал об этом в логе? Плюс, если возможно, выдавал окошко юзеру, что хорошо бы запустить AVZ с консоли.


Сообщение в логе я ввел. Работу с путями тоже тожно сделать - посмотрю ...

*Добавлено через 25 секунд*



> *Зайцев Олег*, а нельзя ли в лог добавить не только 
> *"найдено вредоносных программ 0"*
> но и 
> *"найдено подозрительных объектов 0"*
> в случае, если были подозрения


Это не сложно, добавлю

----------


## Jef239

> Сообщение в логе я ввел. Работу с путями тоже тожно сделать - посмотрю ...
> 
> *Добавлено через 25 секунд*
> 
> Это не сложно, добавлю


*Зайцев Олег*, Раз уж ты предложения принимаешь, то нельзя ли избавить тебя от урной работы? Ну вот странно мне, ПОЧЕМУ ЗАВЕДОМО чистые файлы я должен сначала отправлять тебе, а потом уже получать их MD5 в апдейтах?
То есть я предлагаю эту схему упростить. Сделать опцию "Занесение файла в локальный список заведомо чистых". И всё... А то у меня пара драйверов от OutPost уже полгода в подозрительных болтается... Я их тебе посылал, но я понимаю, у тебя руки не доходят. Или меняются версии быстрее, чем ты их обрабатываешь...

----------


## SuperBrat

*Jef239*, я читал что у Олега этот процесс автоматизирован. Вы не сильно его напрягаете. А вот, на каком этапе пропадают и не доходят заведомо чистые файлы от Opera, DM, Nero, Sun Java и QIP уже две недели, мне было бы интересно узнать.

----------


## Silencer

Подскажите, есть ли функция для скриптов, работающая как  CopyFile(), но с использованием "прямого чтения"?

----------


## Muffler

> Подскажите, есть ли функция для скриптов, работающая как CopyFile(), но с использованием "прямого чтения"?


Сейчас нет, но в 4.26 - будет.

----------


## АлександрУ

В диалоге http://virusinfo.info/showthread.php?t=11497 упоминается runtime2.sys. столкнулся с ним 27-07-2007, пригласили посмотреть "сбойный" пк. При загрузке подвисал в bsod nod32(amon.sys), убрал его,поставил antivir и avz. Antivir убил 11 вирусов, а 12-ый(runtime2.sys) убивал каждый раз при загрузке(название не записал).AVZ подвисал на анализе kist.ПК стал работать, но убить трояна runtime2.sys не смог...не хватило времени для дальнейшего анализа.

----------


## Зайцев Олег

> В диалоге http://virusinfo.info/showthread.php?t=11497 упоминается runtime2.sys. столкнулся с ним 27-07-2007, пригласили посмотреть "сбойный" пк. При загрузке подвисал в bsod nod32(amon.sys), убрал его,поставил antivir и avz. Antivir убил 11 вирусов, а 12-ый(runtime2.sys) убивал каждый раз при загрузке(название не записал).AVZ подвисал на анализе kist.ПК стал работать, но убить трояна runtime2.sys не смог...не хватило времени для дальнейшего анализа.


Я знаю, этот эффект изучается ...

----------


## Alvares

Кстати
_Маскировка процесса с PID=3596, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3596)
_
что это значит? И где ловить перехватчик?
З.Ы. Hijackthis, RkU не показывают такого процесса.

----------


## Jolly Rojer

> и еще бы сообщенье, если вышла новая версия


Дык это вроде как уже достаточно давно реализовано... правда поправлюсь если AVZ совсем старая версия и базы не подходят то тогда будет предложено скачать более свежую версию.

----------


## SuperBrat

1. Постоянно наблюдаю применение хелперами такой конструкции:


```
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
```

Я так понимаю, что лечат далеко не новый зловред. А почему AVZ не имеет алгоритма лечения еще на этапе сбора логов? Или дело в необновленных юзерами базах?
2. AVZ предупреждает о нестандартном местонахождении svchost.exe, например в c:\windows\svchost.exe. Можно еще сделать сигнализацию о наличии файлов с именами "setup.exe", "update.exe", "install.exe" и т.п. в папке "Автозагрузка"?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Я так понимаю, что лечат далеко не новый зловред


1. Этот зловред имеет отвратительную тенденцию - в момент загрузки драйверов антируткита AVZ отправляет машину в BSOD
2. Это сколько угодно - базы можно внести такой контроль

----------


## PavelA

http://virusinfo.info/showthread.php?t=11539 - забавно получилось в секции "Автозапуск"

----------


## Muzzle

Да,тоже заинтересовал этот лог,вроде ещё где-то встречал подобное,найду дам ссылку.

----------


## KID

Привет конфе
Вот клткнул обновить базы и в 2Мб получил:
-----------------------------------
1) При <<3. Сканирование дисков>>
C:\DOX\CHM\MACOSX_TUNE.CHM/{CHM}//XTUNE.EXE >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла 
E:\... ля-ля-ля\такой-то-файл.exe Invalid file - not a PKZip file

==И после этого около сотни (!!!) сообщений типа:

E:\..ля-ля-ля\...\... Cannot create file "c:\Temp\avz_424_1.tmp". Отказано в доступе
-----------------------------------
2) И снова проблема с предварительным не/удалением АВЗРМ после обновления:
Неустановлен --> Установить, всё успешно, надо бутнуться -- ОК
ребут: всё равно нету - надо установить и так по кругу

Удалять нечего - я достался и в ручную убил в скрытых неплаг-и-плей устройствах, но это не решило проблему

----------


## k_d

Уважаемый Олег!
AVZ (версия 4.25) при работе в директории C:\Documents and Settings создает следующие папки:  TL¦T+¦L-\LOCALS~1\Temp
После проверки в Temp остается скрытый файл avz_1672_1.tmp
Должно ли так быть?
Если да, то в чем смысл этих действий?

----------


## SuperBrat

> 1) При <<3. Сканирование дисков>>
> C:\DOX\CHM\MACOSX_TUNE.CHM/{CHM}//XTUNE.EXE >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла


Типично для некоторых электронных книг. Если проверяли файл на Virustotal, то можно пропустить.



> ==И после этого около сотни (!!!) сообщений типа:
> E:\..ля-ля-ля\...\... Cannot create file "c:\Temp\avz_424_1.tmp". Отказано в доступе


Права на запись в папку c:\Temp\ проверили?



> 2) И снова проблема с предварительным не/удалением АВЗРМ после обновления:
> Неустановлен --> Установить, всё успешно, надо бутнуться -- ОК
> ребут: всё равно нету - надо установить и так по кругу
> 
> Удалять нечего - я достался и в ручную убил в скрытых неплаг-и-плей устройствах, но это не решило проблему


Скачайте свежую версию AVZ.

----------


## Jef239

> *Jef239*, я читал что у Олега этот процесс автоматизирован.


 Если автоматизирован - значит есть ДЫРА. В чём проблема для автора вируса/трояна закинуть свой файл под видом чистого?

----------


## aintrust

> Если автоматизирован - значит есть ДЫРА. В чём проблема для автора вируса/трояна закинуть свой файл под видом чистого?


"Проблема для автора вируса/трояна" состоит в том, что перед тем, как попасть в "базу чистых", файл проверяется специально написанным анализатором (а точнее - это программно-аппаратный комплекс), где тщательно и подробно изучается его поведение, и только после этого выносится соответствующий вердикт.

Что касается вашего предложения насчет локальной "базы чистых файлов" - это дельная вещь (я, кстати, предлагал такое уже достаточно давно), но, видимо, кроме меня с вами это никому не нужно... =)

----------


## Jef239

> Что касается вашего предложения насчет локальной "базы чистых файлов" - это дельная вещь (я, кстати, предлагал такое уже достаточно давно), но, видимо, кроме меня с вами это никому не нужно... =)


Я думаю, что нужно это многим. Но... Вполне возможно, что Олегу нужен поток чистых файлов для обучения эвристики. А локальная база, если её сделать без автоматической отсылки, такой поток прервёт.

----------


## aintrust

В АВЗ нет как таковой "обучаемой" эвристики, вся "эвристика" строится на очень детальном изучении поведения существующихся зловредов. Более того, обучение, если бы оно реально для чего-то и понадобилось (ну, к примеру, для нейросети), могло бы быть проведено на основе тех "чистых"/"грязных" файлов, что уже имеются в базе. 

Дело, в общем, не в этом, а, на мой взгляд, именно в том, что число запросов на реализацию этой фичи пока что очень далеко от "критической массы".

----------


## Зайцев Олег

> Дело, в общем, не в этом, а, на мой взгляд, именно в том, что число запросов на реализацию этой фичи пока что очень далеко от "критической массы".


Вот именно. Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл) Обрабатывать как чистый убирая из логов ? (а где гарантия, что пользователь правильно классифицировал безопасный объект ? - вирлабы часто ошибаются, не говоря о пользователях).

----------


## aintrust

> Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл)


Ну, у пользователя может быть много таких файлов, и все их он вряд ли упомнит наизусть. У меня, к примеру, неизвестных АВЗ файлов гораздо больше, чем известных. 

Эта фича имела бы смысл для тех, кто не в силах (или не хочет по какой-либо причине) прислать все свои файлы тебе на анализ через Интернет (это же м.б. десятки гигабайт), но при этом хотел бы отличать старые "надежные" файлы от вновь установленных "ненадежных".

Что касается логов, то в них эти файлы действительно можно/нужно показывать другим цветом - по крайней мере хелпер будет видеть, что эти файлы находятся в базе безопасных пользователя, т.е. теоретически степень доверия к ним может быть немного выше, чем к обычным черным. Хотя, естественно, это не исключает ошибки пользователя - и хелпер должен прекрасно это понимать!

----------


## Jef239

> Вот именно. Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл)


А затем, чтобы отличить новые файлы от уже известных. ОДИН раз я могу узнать, с какой программой этот фал поставился. Но узнавать каждый раз - увольте. И запоминать 20-30 файлов - тоже. Я всё-таки программист, а не сисадмин, у меня своей работы много.



> Обрабатывать как чистый убирая из логов ?


НЕСОМНЕННО. Надоело при каждом анализе получать 2-3 заведомо безопасных файла. Кроме того, не могу поручить запуск AVZ ребёнку. Вот если бы нахождение AVZ подозрительных файлов о чём-то говорило... А так, оно говорит только о том, что столько-то файлов в базу безопасных ещё не включено, а такая=-то программа в очередной раз обновила свои драйвера... Лучше иметь чёткий сигнал для домашних - если AVZ нашёл что-то подозрительное - вырубать комп и ждать меня.



> (а где гарантия, что пользователь правильно классифицировал безопасный объект ? - вирлабы часто ошибаются, не говоря о пользователях).


Это подмена понятий. Есть гарантия, что пользователь выделил ИЗВЕСТНЫЙ ему объект. А опасный он или безопасный - решает пользователь. 
У меня ребёнок играет в игрушки от Рамблеровской аськи. А часть это игрушки AVZ квалифицирует как зловреда. Конкретно - popcarloader.dll. Я даже готов признать, что AVZ прав. Ибо эта dll  действительно передаёт некоторые данные о пользователе (в её описание написано - какие  и под какие гарантии). Но мне ЛИЧНО -больше вреда от того, что ребёнок в игрушку не поиграет, чем от того, что в инет утекут данные о том, во что он играет и сколько.
В любом случае, этот объект не должен вызывать панику у домашних. А вот появление другого, НОВОГО объекта с той же степенью опасности - должно вызывать выключение компа до моего прихода.
Олег, я понимаю, что AVZ - лучший антивирус для ПРОГРАММИСТОВ. Но знал бы ты, как часто им приходится пользоваться обычным юзерам (например, по моим командам с мэйл-агента)... Не пора ли сделать маленькую уступку в сторону юзеров?

*Добавлено через 2 минуты*




> Эта фича имела бы смысл для тех, кто не в силах (или не хочет по какой-либо причине) прислать все свои файлы тебе на анализ через Интернет


 Или просто не устраивает полугодовой срок помещения таких файлов в базу. У меня драйвера OutPost обновляются намного чаще, чем Олег их в базу чистых помещает....

----------


## XL

За последнюю неделю встречается уже третья машина, на которой обитают:



> \SystemRoot\SYSTEM32\spooldr.sys;
> c:\windows\spooldr.exe


AVZ на таких компьютерах не запускается ни в безопасном режиме, ни в обычном. Похоже, что у этой версии Zhelatin стоит детект по имени файла и он тут же завершает процесс. Причем на такой машине не стартует даже седьмой КАВ, не говоря уже про Cure It 4.44 beta и NOD32!!! Единственный антивирь, который на моей памяти загрузил свой GUI при активном звере - это Avira. Убиваю гада через RKU, иначе никак.... Можно что-то придумать? Хотя тут придумать особо и нечего, кроме рандомизации имени файла, как сделано в RKU. Но тогда придется прикручивать инсталлятор...

Мде, нашел описание гада:
http://www.greatis.com/security/Remo...ys_rootkit.htm
час от часу не легче

----------


## sphinx_spb

Не получается обновить AVZ из локальной сети. Создал скрипт такого вида:

begin
 if ExecuteAVUpdateEx('http:\\172.20.1.1:8081\avz\', 1, '','','') then 
  AddToLog('Обновление AV баз успешно выполнено');
end.

Запускаю его. "Скрипт выполнен без ошибок", но "автоматическое обновление завершено с ошибками". Что бы это значило? В каком формате должны лежать базы, не в архиве случайно? И есть ли какой-то другой способ для обновления, ведь загружать и выполнять скрипт каждый раз очень неудобно.

----------


## Зайцев Олег

> Не получается обновить AVZ из локальной сети.


И не получится - для автоапдейта кроме базы нужен файл с ее описанием. Если такая фича критична и нужна, то это можно организовать

----------


## vaber

> За последнюю неделю встречается уже третья машина, на которой обитают:
> 
> AVZ на таких компьютерах не запускается ни в безопасном режиме, ни в обычном. Похоже, что у этой версии Zhelatin стоит детект по имени файла и он тут же завершает процесс. Причем на такой машине не стартует даже седьмой КАВ, не говоря уже про Cure It 4.44 beta и NOD32!!! Единственный антивирь, который на моей памяти загрузил свой GUI при активном звере - это Avira. Убиваю гада через RKU, иначе никак.... Можно что-то придумать? Хотя тут придумать особо и нечего, кроме рандомизации имени файла, как сделано в RKU. Но тогда придется прикручивать инсталлятор...
> 
> Мде, нашел описание гада:
> http://www.greatis.com/security/Remo...ys_rootkit.htm
> час от часу не легче


Угу. Дело все в том, что он убивает процессы из ядра!! Поэтому убивает даже Касперского 7. В драйвере видны строки :Sad: оставил самое интересное)


```
vsdatant.sys
watchdog.sys
zclient.exe
bcfilter.sys
bcftdi.sys
bc_hassh_f.sys
bc_ip_f.sys
bc_ngn.sys
bc_pat_f.sys
bc_prt_f.sys
bc_tdi_f.sys
filtnt.sys
sandbox.sys
mpfirewall.sys
msssrv.exe
mcshield.exe
fsbl.exe
avz.exe
avp.exe
avpm.exe
kav.exe
kavss.exe
kavsvc.exe
klswd.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
rtvscan.exe
savscan.exe
bdmcon.exe
livesrv.exe
inetupd.exe
nod32krn.exe
nod32ra.exe
pavfnsvr.exe
```

Прячет себя на диске перехватом NtQueryDirectoryFile (правка адресов в KiST), причем как-то криво - он прячет все, что имеет имет в названии слово "spooldr" в независимости от место расположения на диске.
Так же следит за загрузкой образов исполняемых файлов и библиотек.
Не дает загрузиться драйверу AVZ.


```
Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Stream read error], шаг [14]
2. Проверка памяти
 Количество найденных процессов: 19
 Количество загруженных модулей: 226
Проверка памяти завершена
```

----------


## RiC

> За последнюю неделю встречается уже третья машина, на которой обитают:
> 
> 
> 
> 
> 			
> 				\SystemRoot\SYSTEM32\spooldr.sys;
> c:\windows\spooldr.exe
> 			
> ...


Переименовать AVZ.exe во что нибудь к примеру 1.exe после выполнить скрипт -


```
begin
 QuarantineFile('%WinDir%\SYSTEM32\spooldr.sys','');
 QuarantineFile('%WinDir%\spooldr.exe','');
 DeleteFile('%WinDir%\spooldr.exe');
 DeleteFile('%WinDir%\SYSTEM32\spooldr.sys');
 RenameFile('%WinDir%\SYSTEM32\drivers\tcpip.sys','%WinDir%\SYSTEM32\drivers\tcpip.bak');
 Sleep(15);
 RebootWindows(true);
end.
```

----------


## sphinx_spb

> И не получится - для автоапдейта кроме базы нужен файл с ее описанием. Если такая фича критична и нужна, то это можно организовать


А где взять такой файл? Или в текущей версии 4.25 это не пройдёт? Тогда конечно хочется такую фичу иметь в следующей версии. Ведь это кстати частично поможет снять нагрузку на ваши сервера  :Smiley:

----------


## Зайцев Олег

> А где взять такой файл? Или в текущей версии 4.25 это не пройдёт? Тогда конечно хочется такую фичу иметь в следующей версии. Ведь это кстати частично поможет снять нагрузку на ваши сервера


Пока это можно сделать так - проследить, что качает AVZ и скачать к себе на сервер. Там первым с сайта качается файл avzupd.zip, он и есть недостающий для апдейта со своего сервера. Т.е. его или вручную вытягивать придется, или в новой версии я сделаю его сохранение в папке base, что собственно несложно - просто для работы AVZ он не требуется, и как следствие не сохраняется.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sphinx_spb

Скачал этот файл вручную, положил в папку с обновлениями на сервере, но ничего не изменилось, клиент не обновляется.

----------


## Макcим

Настройки подключения правильные? Как выглядит путь к папке? Покажите скриншот сообщения об ошибке.

----------


## sphinx_spb

Ну я уже писал. Вот такой скрипт.

begin
 if ExecuteAVUpdateEx('http:\\172.20.1.1:8081\avz\', 1, '','','') then 
  AddToLog('Обновление AV баз успешно выполнено');
end.

Прогрмма пишет: Скрипт выполнен без ошибок.

Однако в логе:
Запуск автоматического обновления
Параметры обновления:Прямое соединение с Internet
Автоматическое обновление завершено с ошибками

И не обновляется. С сервера автора при этом обновляется прекрасно, с теми же настройками.

----------


## Зайцев Олег

> Ну я уже писал. Вот такой скрипт.
> 
> begin
> if ExecuteAVUpdateEx('http:\\172.20.1.1:8081\avz\', 1, '','','') then 
> AddToLog('Обновление AV баз успешно выполнено');
> end.
> 
> Прогрмма пишет: Скрипт выполнен без ошибок.
> 
> ...


А WEB сервер не IIS случайно ? если так, то он дурной ... ему нужно описать миме тип для файлов с расширением .AVZ

----------


## sphinx_spb

> А WEB сервер не IIS случайно ? если так, то он дурной ... ему нужно описать миме тип для файлов с расширением .AVZ


Нет, Апач под W2k3.

----------


## Зайцев Олег

> Нет, Апач под W2k3.


тем не менее нужно положить туда свежайшую базу + свежий zip, и проверить, как апач выдает *.avz файлы на клиенстский ПК (можно даже сниффером сравнить обмен AVZ с моим сайтом и со своим)

----------


## sphinx_spb

У меня такое впечатление, что AVZ не умеет обновляться по нестандартному порту.

----------


## Зайцев Олег

> У меня такое впечатление, что AVZ не умеет обновляться по нестандартному порту.


По идее должен - там стандартный API применяется. Я проверю завтра, WEB серверов у меня в ЛВС много разных - просто проведу ряд опытов

----------


## незарегистриров

А можно ли выполнить автоматический скрипт/коммандную строку Ревизора? (типа Адинфа)

А как на счёт процедуры до самого ЛогОна? (чтобы юзвери не могли прервать)

----------


## sphinx_spb

> По идее должен - там стандартный API применяется. Я проверю завтра, WEB серверов у меня в ЛВС много разных - просто проведу ряд опытов


Олег, ну как успехи?  :Smiley:

----------


## Зайцев Олег

> Олег, ну как успехи?


Я положил апдейт на тестовый WEB сервер на моем ПК, там IIS установлен обычный. Скрипт вида:


```
begin          
 ExecuteAVUpdateEx('http://127.0.0.1', 0, '','','');
end.
```

Все сработало отлично .... затем я перенастроил сервер на порт 8000, скрипт:


```
begin          
 ExecuteAVUpdateEx('http://127.0.0.1:8000', 0, '','','');
end.
```

Все так-же сработало без проблем. И наконец похожий тест с удаленным WEB сервером - тоже все работает.

----------


## aintrust

> Ну я уже писал. Вот такой скрипт.
> 
> begin
>  if ExecuteAVUpdateEx('http:\\172.20.1.1:8081\avz\', 1, '','','') then 
>   AddToLog('Обновление AV баз успешно выполнено');
> end.


Тут все понятно и без дополнительных проверок: в скрипте надо все обратные слеши заменить на прямые, т.е. написать вот так:


```
begin
 if ExecuteAVUpdateEx('http://172.20.1.1:8081/avz/',1,'','','') then 
  AddToLog('Обновление AV баз успешно выполнено');
end.
```

и тогда все будет ОК! =)

----------


## vaber

Во внимательный  :Smiley:

----------


## sphinx_spb

Хм, заработало, спасибо...
Но такие слэши были в документации, насколько я помню, поэтому так и сделал  :Smiley:

----------


## aintrust

> Но такие слэши были в документации, насколько я помню, поэтому так и сделал


Ага, там действительно обратные слеши... =) Ну, ошибки со всеми случаются - как говорится, "доверяй, но проверяй"!

----------


## sphinx_spb

Теперь еще вопрос. Можно ли сделать автозапуск скрипта через какие-то промежутки времени? раз уж авто-обновления в программе нет.

----------


## aintrust

> Можно ли сделать автозапуск скрипта через какие-то промежутки времени?


_AVZ_ позволяет запустить скрипт из командной строки (ключ _script=<имя файла скрипта>_). Если вы поместите такой периодический запуск в планировщик _Windows_ (_"Панель управления" -> "Назначенные задания"_), то, полагаю, добьетесь поставленной цели.

----------


## PavelA

@Олег 
В посл. версии в логах некорректно отображается в разделе "Автозагрузка" строка AppInit_DLLs 
Нормальный скрипт прямо из лога не напишешь. Ранее такого замечено не было.
Ссылка на тему: http://virusinfo.info/showthread.php?t=11991

----------


## k_d

Привет форуму!
У меня с AVZ (версия 4.25) возникает такая странность.
Во время работы в директории C:\Documents and Settings она создает папки: TL¦T+¦L-\LOCALS~1\Temp
После проверки в Temp остается скрытый файл avz_1672_1.tmp
Должно ли так быть?
Если да, то в чем смысл этих действий?

----------


## pig

Подозреваю, что у вас очень заковыристый логин, который неоднозначно переводится из Unicode в ANSI и обратно. AVZ не юникодовая утилита.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## k_d

Огромное спасибо. Наверное в этом дело, т.к. мой логин написан по-русски.

----------


## Зайцев Олег

> @Олег 
> В посл. версии в логах некорректно отображается в разделе "Автозагрузка" строка AppInit_DLLs 
> Нормальный скрипт прямо из лога не напишешь. Ранее такого замечено не было.
> Ссылка на тему: http://virusinfo.info/showthread.php?t=11991


Я посмотрел лог - там не совсем корректно библиотека прописана - в MSDN четко сказано "разделителем является пробел и запятая, поэтому пробелы в имени файла недопустимы"

*Добавлено через 44 секунды*




> Огромное спасибо. Наверное в этом дело, т.к. мой логин написан по-русски.


Данная проблема находится не в AVZ, а в его модулях разархивации. Некоторые не совсем корректно отрабатывают - вот и получается такая проблема ...

*Добавлено через 6 часов 45 минут*

Вышла версия 4.27 - поэтому данная тема закрывается.

----------

