# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.37

## tar

Вышла новая версия AVZ !

Основные модификации:

[++] Локализация справки на английский (выбирается автоматически в английской локализации) 
 [++] Справка переведена в формат CHM (совместимость с Vista, Win7, W2K8 ) 
 [++] Новый фунционал - эвристический поиск вредоносных программ по метаданным, базы эвристики постоянно обновляются (в настоящее время - 2 раза в сутки) 
 [+] Расширен и доработан XML протокол (в частности, вывод VendorName и ProductName каждого файла) 
 [+] Поддержка SHA1 хешей. В XML протоколе вычисление SHA1 по умолчанию выключено, включается параметром SHA1=Y|N из скрипта или командной строки. В скриптах добавлена функция CaklFileSHA1 
 [+] Поддержка верификации цифровой подписи и вывода данных о подписях файлов в XML. По умолчанию выключено, включается параметром SignCheck=Y|N из скрипта или командной строки 
 [+] Расширена поддержка Windows 7 и Windows 7 SP1, улучшена работа на x64 (тип процесса в диспетчере процессов, карантин x32 и x64 файлов, доработки визардов для Win7) 
 [+] Протокол исследования - новые интерактивные элементы (в частности: удаление задания), фильтр незначащих пустых строк в Hosts 
 [-] Исправлена ошибка поиска маскировки процессов (несуществующие маскирующиеся процессы в Vista/Win7/W2K3)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## VictorVG

*tar*,

Новая, это какая? Опечатка что номер версии "погулять ушёл"? :Smiley:  Мне сегодня curl принёс 4.37-ю. Речь как понял из лога изменений про неё, верно?

----------


## vladimir50

Чем можно обьяснить?http://s004.radikal.ru/i208/1110/f6/f5fe2011972d.jpg

----------


## Vvvyg

*vladimir50*, дайте правильную ссылку на скриншот. На Ваш компьютер мы заглянуть не можем...

----------


## vladimir50

Подробнее,первый раз тут,пока не разобрался.А разве эта ссылка не правильная?

----------


## vladimir50

http://virusinfo.info/images/attach/png.gif

----------


## Vvvyg

*vladimir50*, папку BASE не распаковали полностью, или вовсе не распаковали.

----------


## vladimir50

Сейчас скачаю.Есть такая и куда ее распакавать?

*Добавлено через 11 минут*

*Добавлено через 4 минуты*

*Vvvyg*,спасибо все получилось,многие не могли дать ответ на этот вопрос!

----------


## Vvvyg

*vladimir50*, распакуйте в папку с AVZ. А лучше весь архив полностью.

----------


## vladimir50

*Vvvyg*,Спасибо,спасибо!

----------


## Vvvyg

*vladimir50*, в этой теме Вы не первый такой вопрос задаёте  :Wink:

----------


## vladimir50

Интересно то,что до этого ,ну месяца 4-5 назад,я просто скачивал и все получалось,без распаковки папки BASE

----------


## akok

*vladimir50*, наверное вы скачивали полиморфную версию.

----------


## VictorVG

*akok*,

Или как вариант сбой архиватора при распаковке. Я получал такие вопросы от друзей. Обычно их причина ошибка оператора - залез в архив файл менеджером, распаковал что под руку попалось, а подкаталоги забыл. Дальше ясно что будет. :Smiley:  Чаще всего причина ошибки спешка. :Smiley:

----------


## dominicc

ds.png что делать если после єтого сообщения когда нажимаеш да АВЗ закрывается??

----------


## olejah

*dominicc*, какая ОС?

----------


## p3tr0id

Здравствуйте!
Перво-наперво есть желание выразить огромный респект автору программы!!! Спасибо!
Ну, конечно, не без задней мысли я сюда забрался. Есть неполадки, может кто сталкивался:

scrn.png

Windows7 x64 SP1, TheBat 5.0.24

----------


## thyrex

Какое отношение это имеет к работе AVZ?

----------

ezheck,  *mrak74*,  *olejah*

----------


## p3tr0id

@thyrex
Да, вероятно не туда напостил, сорри... Занесло почему-то именно сюда.
Плагин для theBat! делают люди не связанные с разработкой АВЗ?
Не нашёл треда про сабж. Где ещё спросить - ума не приложу?
Может там, за этими вопросами, что-то важное написано...

----------


## olejah

*p3tr0id*, попробуйте обратиться в тех.поддержку автора программы. Не совсем то, но ничего лучше не нашел, может среагирует - http://www.z-oleg.com/secur/avz/report.php

----------


## Nikollay

Всем доброго времени суток.
При запуске по "дефолту" AVZ 4.37 на чистой системе Win 7 x64 SP1 все нормально.
При установке на закладке "параметры поиска" галочки на против 
"Блокировать работу RootKit User-Mode" выскакивает окошечко windows о закрытии программы.
При запуске по дефолту в логе AVZ есть такие строки 

1.2 Поиск перехватчиков API работающих в KernelMode
Ошибка загрузки драйвера- проверка прервана [С000036В]
1А Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера- проверка прервана [С000036В]

Помогите пожалуйста в чем беда?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## regist

*Nikollay*, ни  в чём, для 



> Win 7 x64


это всё нормально.

----------


## Nikollay

*regist*, дык это что получается что под x64 не получиться полномасштабного использования AVZ? жаль.

----------


## regist

> под x64 не получиться полномасштабного использования AVZ


очень даже получится, а антируткит на ней и не требуется

----------

Nikollay

----------


## dan_p

Давно не пользовался АВЗ, а тут новой версией просканировал пару компов - очень много записей в разделе Autorun, причем большинство из "SYSTEM\CurrentControlSet\Services\Eventlog\" и с поголовным "ошибка получения информации о файле". Видимо, Зайцев Олег расширил список проверяемых и добавляемых в отчет разделов реестра по автозапуску (или проводится проверка по указанным в реестре, но отсутствующим на жестком диске файлам). Или эта особенность 64 битных версий Windows 7(обе системы на 7 x64)? 
Минусик в changelog - это значит, что этот пункт ещё не доработан?

----------


## regist

> эта особенность 64 битных версий Windows 7


да, можете перейти по ссылке в моей подписи и пополнить базу чистых AVZ, возможно после этого записей станет меньше.



> Минусик в changelog - это значит, что этот пункт ещё не доработан?


*-* значит, что исправлен существующий баг.
*+* значит что добавлен новый функционал.

----------


## dan_p

> эта особенность 64 битных версий Windows 7
> 			
> 		
> 
> да, можете перейти по ссылке в моей подписи и пополнить базу чистых AVZ, возможно после этого записей станет меньше.


Хочу добавить небольшое замечание - полазил по некоторым сайтам, в том числе по сайту microsoft. Удалось выяснить следующее(по крайней мере, я так понял) - записи EventMessageFile относятся к журналу событий. Изменение статуса программы(либо др. информация, отн. к пр-ме) записывается в журнал определенным образом: указывается "код" события и путь к своеобразному файлу-"библиотеке", где содержатся все "коды" и соответствующие им описания уже в удобоваримом человеческом виде. Параметр реестра "EventMessageFile" отвечает, по всей вероятности, за путь к файлу-"библиотеке". Если этот файл отсутствует, то в скрипте это отображается.
Если моя догадка верна, то не совсем понятно, почему эти записи относятся к autorun, так что, скорее всего, я что-то напутал.
Хотелось бы услышать комментарии Олега по этому поводу...

З.Ы. Ещё группа записей в логе(вторая по величине) - 


```
HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\*\Parameters, ServiceDll
```

Опять же, с ошибкой получения файла на диске. Посерфил в инете, какие-то отголоски Conflicker(он добавляет инфу):


```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\”ServiceDll” = “Path to worm”
```

На сайте майкрософт написано следующее(для Remote Access сервиса):


```
ServiceDll
HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
REG_EXPAND_SZ

Description
Specifies the location of the dynamic-link library (DLL) for the remote access service.

Do not change the value of this entry. If you change this value or move the DLL file, you can prevent the Routing and Remote Access service from starting.

Дословно - определяет расположение динамической библиотеки DLL для сервиса удаленного доступа
Не изменяйте значение этого параметра. Если вы измените значение или переместите DLL файл, вы можете помешать запуску сервиса маршрутизации и удаленного доступа
```

На глаз прикинул, получается около 40 доп. записей. В разделе "Помогите" все логи поголовно такие же. Вопрос, что с этим нужно делать? Просто запомнить?

----------


## regist

> Вопрос к helper-ам, вы к этим записям уже привыкли и просто их игнорируете?


не то чтобы совсем игнорируем, просто постепенно опыт набирается и бегло такие записи просматриваешь так как сразу узнаешь в них легала.

----------


## dan_p

> не то чтобы совсем игнорируем, просто постепенно опыт набирается и бегло такие записи просматриваешь так как сразу узнаешь в них легала.


А эти записи не битые - файлы на диске есть, а он отображает "ошибка получения информации о файле"

----------


## PavelA

> ошибка получения информации о файле


 - файл заблокирован, скорее всего.

З.Ы. Пообщаться с Олегом можно на форуме Касперского или по электронке. На этом файле он больше не появляется.

----------


## Nick K

необходимо выполниить сканирование и предоставить логи, но на первом же этапе застопорился...
не удается выполнить "Обновление баз"
пишет - Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip

оба источника пробовал

----------


## Bratez

*Nick K*, на сайте z-oleg.com можно скачать свежие базы в виде архива и распаковать вручную. В крайнем случае сделайте логи без обновлений, там посмотрим.

----------


## nisome

День добрый. После обновления на версию 4.37  при запуске скрипта из командной строки 


> xvz.exe HiddenMode=1 Script=scan1.txt


  начала появляться ошибка, препятствующая работе AVZ (см. рисунок). 
Что теперь не так работает?  :Huh: 



```
begin
// Script=<имя скрипта> - загрузка и выполнение указанного скрипта.
// Данный ключ обрабатывается последним, независимо от его положения в командной строке
// xvz.exe HiddenMode=1 Script=R:\Static\_Menu\System\Monitors\Plus\xvz_se\MyScripts\scan1.txt

// Настройка
SetupAVZ('HiddenMode=1');
{0 -  Стандартный режим, окно видимо и доступно пользователю
1 - Окно AVZ невидимо, в трее отображается иконка. Пользователь может развернуть окно нажатием мышью на иконку. Пользователю доступно связанное с иконкой меню, позволяющее остановить и запустить сканирование.
2  - Окно AVZ невидимо, в трее отображается иконка, однако меню иконки заблокировано и пользователь не может развернуть окно AVZ
3 - Окно AVZ невидимо, иконка в трее не отображается.
Настройка режима работы полезна в случае запуска AVZ для проверки рабочих мест пользователей из logon-скрипта или при помощи автозапуска.}
// если сканирование не завершилось за 20 минут, прервать его
ActivateWatchDog(20*60);
SetupAVZ('RootKitDetect=Y');
SetupAVZ('AntiRootKitSystemUser=Y');
SetupAVZ('DelVir=N');
SetupAVZ('ScanSystemIPU=Y');
SetupAVZ('ModeVirus=0');
SetupAVZ('ModeAdvWare=0');
SetupAVZ('ModeSpy=0');
SetupAVZ('ModePornWare=0');
SetupAVZ('ModeRiskWare=0');

SetupAVZ('Priority=-1');
SetupAVZ('SleepScanTime=20'); // Задержка не заданное кол-во миллисекунд выдается после сканирования каждого файла

// Обновление
if ExecuteAVUpdateEx ('',1,'','','') then
  AddToLog('Обновление AV баз успешно выполнено');


if GetAVZPMStatus then
 AddToLog('AVZ PM активен')
else
AddToLog('AVZ PM не активен');

ExecuteSysChkIPU;

// Сканирование
ExecuteStdScr(2);
// RunScan;

{1. Поиск и нейтрализации RootKit UserMode и KernelMode
2. Скрипт сбора информации для раздела "Помогите" virusinfo.info
3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info
4. Скрипт сбора неопознанных и подозрительных файлов
5. Обновление баз с автоматической настройкой
6. Удаление всех драйверов и ключей реестра AVZ}

// Отправка письма

 SendEmailMessage('mail.xxxxx.xx.xx', 'AVZ [email protected]', '[email protected]',
                  'AVZ email report from "'+ GetComputerName+'"',
                  'Report from computer "' + GetComputerName + '" '+#13 +
                  'SuspCount = ' + InttoStr(GetSuspCount) + #13 +
                  'DetectedCount = ' + InttoStr(GetDetectedCount) ,
                  false, '', '',
                  GetAVZDirectory + 'log/virusinfo_syscheck.zip',
                  '',
                  ''
                  );



// ---------------
ExitAVZ;
end.
```

----------


## Irina786

Здравствуйте уважаемые хелперы!
где то два обновления назад при эвристической проверке системы стала появляться такая ошибка

Ошибка скрипта:')' expected, позиция [168:3]
Ошибка микропрограммы 385

проверен комп который давно не был в сети, то же самое
Система XP Pro Sp2 + IE8 

Это что-то программное?

----------


## Vvvyg

*Irina786*, похоже, сбой появился после одного из ноябрьских обновлений базы в модуле, отвечающем за эвристическую проверку. В форуме поддержки AVZ я насчёт этого отписался, поправят со временем. Не обращайте внимания, на результат выполнения стандартных скриптов это существенно не влияет.

----------


## And-ray

Всем доброго здравия ! После сканирования системы в окне протокола появляются следующие записи из них нижняя красного цвета. К сожалению я новичок в этом деле, что такое мини дамп и где его искать не знаю. Прикрепляю к сообщению фото.  АВЗ 4.37, вин.хр хом эдишн SP3. Подобное сообщение уже "поспешил" отправить на http://www.z-oleg.com  ( номер заявки-3177)- поздно заметил ссылку на "Вирусинфо"                       
                                                                                                                                           С уважением Андрей.
7 Эвристическая проверка системы 
Ошибка скрипта:')' expected, позиция [168:3]
Ошибка микропрограммы 385


Подскажите пожалуйста как быть или где лежит  :Rtfm:

----------


## regist

> Подобное сообщение уже "поспешил" отправить на http://www.z-oleg.com


правильно сделали  :Smiley: 




> Подскажите пожалуйста как быть


ждать пока Олег исправит, можно ещё почитать два поста перед вашим №34 и №35.




> или где лежит


по умолчанию лежат здесь:
_C:\Users\имя пользователя\AppData\Local\CrashDumps\avz.exe????. dmp_

----------


## And-ray

Понял, спасибо.

----------


## natalik72

Добрый день!
На компе стоит Windows7 x64 SP1 базовая домашняя версия. Не могу установить драйвер для AVZPM. Запускаю программу от имени администратора. Нажимаю на кнопку и ничего... Никакой реакции программы. До этого использовала AVZPM c Windows XP 32, и привыкла. Очень нравилось, как работает программа. Спасибо большое за разработку! Проконсультируйте, как можно устранить проблему.

----------


## olejah

Добрый день! 
На системах x64 он и не заработает. Он там и не нужен. Это особенность работ именно с системами этой разрядности.

----------


## natalik72

> Добрый день! 
> На системах x64 он и не заработает. Он там и не нужен. Это особенность работ именно с системами этой разрядности.


Спасибо большое! Поняла!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## regist

новая фича в AVZ 




> посредством ExecuteAvUpdate вставить SetupAVZ(ExtUpdates=Y');. В такой ситуации кроме баз будет загружен и сохранен на диск в папке Base файл avzupd.zip. Это обычный ZIP архив, там внутри единственный файл file.dta, который по формату является XML файлом. В этом файле содержится описание всех файлов базы в открытом виде, по каждому файлу есть: 
> -имя файла
> -размер
> -MD5
> -дата сборки
> -количество записей
> В корневом теге AVZ указана дата сборки апдейта в целом.


источник

----------


## tar

прочитал на одном сайте "Для систем Windows 7/Vista не рекомендуется отмечать п.6 (удаление всех Policies) - это может привести к незагружаемости ОС."
Действительно ли это так?

----------


## Vvvyg

Действительно. Трик, обходящий эту проблему - такой скрипт (выполнять *вместо* пю 6 в "Восстановлении системы":


```
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
```

А лучше вообще не злоупотреблять сильнодействующими средствами, а спросить совет для конкретной ситуации в "Помогите".

----------


## NRA

Господа и сударыни, подскажите, AVZ не обновляется/не поддерживается или я просто отстал от жизни?

----------


## Vvvyg

*NRA*, обновляется AVZ теперь аж два раза в сутки. Насчёт поддержки - подраздел по продукту сейчас на форуме Лаборатории Касперского, там автор появляется достаточно регулярно, реагирует на сообщения об ошибках и по запросу пользователей не так давно реализовал новую фичу.

----------


## regist

Вышла новая версия антивирусной утилиты *AVZ - 4.39*

Архив с утилитой содержит базу вирусов от 20.05.2012 - 297616 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 399 микропрограмм эвристики, 9 микропрограмм ИПУ, 234 микропрограммы поиска и устранения проблем, 410088 подписей безопасных файлов. Новая версия содержит ряд доработок и усовершенствований. 


Основные модификации:

[++] Множество доработок в визардах и скриптах эвристики 
[++] Поиск и восстановление повреждений настройки SafeBoot 
[+] Поиск и нейтрализация перехватов UserMode, осуществленных не в начале машинного кода функции 
[+] База чистых - вызовы типа "cmd.exe /c xxxx" более не считаются легитимными - по базе чистых проверяется то, что запускается через CMD, а не сам файл "cmd.exe" 
[+] Блокировка "зацикливания" при сканировании ссылок в файловой системе Win7/Vista 
[+] Скрипты, функция RegSearch - добавлен поиск по значениям параметра REG_MULTI_SZ 
[+] Детектирование "вредоносного кода в реестре" - обнаружение ключей автозапуска, содержащих запуск последовательности команд интерпретатора командной строки    (по сути хранимый в реестре аналог BAT файла) с оценкой потенциальной опасности 
[+] Эвристика на исполняемые файлы в папке автозапуска (предупреждение в протоколе, автокарантин), не опознанные по базе чистых 
[+/-] Скрипты, функция BackupRegKey,ExpRegKey, ExpRegKeyEx - добавлена поддержка параметров типа REG_QWORD, исправлено сохранение REG_MULTY_SZ 
[-] Скрипты, TFileSearch - исправлена ошибка вывода даты найденных файлов 
[+] Скрипты, TFileSearch - добавлена возможность получения даты последней модификации и последнего доступа 
[-] Исправлена команда "Безопасность: IE - запретить запуск программ и файлов в IFRAME без запроса", вставляемая по одноименной ссылке  в протоколе 
[+/-] Исправлена и доработана операция 15 в восстановлении системы 
[+/-] Доработан анализ ключей автозапуска в исследовании системы и менеджере автозапуска (открытие ключей в режиме "только чтение") 
[-] Порты TCP/UDP - исправлена ошибка, которая периодически появлялась на Win7/Win8 (в случае ошибки список портов был пустой) 
[-] Исправлено множество опечаток в русскоязычной документации 
[-] Исправлена проблема с ошибкой чтения значений параметров ключа реестра, доступных только на чтениеСкрыть

----------

Bratez

----------


## NRA

Подскажите ситуацию:
1) AVZ версии 4.41
2) Win-7 x32 Домашняя расширенная
3) при проверке выдаёт


> 1.4 Поиск маскировки процессов и драйверов
> Маскировка процесса с PID=272, имя = ""
>  >> обнаружена подмена PID (текущий PID=0, реальный = 272)
> Маскировка процесса с PID=352, имя = ""
>  >> обнаружена подмена PID (текущий PID=0, реальный = 352)
> Маскировка процесса с PID=448, имя = ""
>  >> обнаружена подмена PID (текущий PID=0, реальный = 44
> Маскировка процесса с PID=856, имя = ""
>  >> обнаружена подмена PID (текущий PID=0, реальный = 856)
> ...


4) AVPTool/CureIt говорят, что в Багдаде всё чики-пуки.
-----------------------------------------------------------
*ВОПРОС:* Это челу в "Помогите" или некие особенности под вынь7 и иже?

----------


## regist

*NRA*, AVZPM случайно не включили?
Это скорее не надо лазить по настройкам и менять их  :Wink: .

- - - Добавлено - - -




> AVZ версии 4.41


для неё уже открыта новая тема http://virusinfo.info/showthread.php?t=141836

@moderator, эту надо бы закрыть, а той присвоить статус важная.

----------

