# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 3.80 - тестирование, обсуждение, предложения по доработке

## Зайцев Олег

Вышла новая новая версия AVZ - 3.80. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz3.zip)
Радикальные новшества и пределки:

[++] Внешние скрипты для управления AVZ (для его автоматического запуска на множестве ПК и управления действиями без участия пользователя). Описание языка в справке, подключение скрипта - при помощи ключа Script=<имя файла скрипта>
[++] Новый менеджер - менеджер внедренных DLL. По идее это аналог антикейлоггера, только детализированный. 
[++] Новый менеджер - менеджер расширений системы печати. Отображает мониторы печати и провайдеры. Подключен к исследованию системы и автокарантину. Позволяет отключать любое расширение системы печати - несколько новейших видов троянов прописываются как монитор принтера, что делает их практически необнаружимыми для пользователя
[+] Сохранение даты/времени файла при помещении файла в карантин
[+/-] Переделки в области проверки CAB архивов - частично устранен сбой, возникающий на одном из CAB файлов из Office XP.

----
В новой версии существенно расширена базы вирусов - добавлено около 300 новых "зверей" и, что самое существенное, около *6000* безопасных файлов - я собрал их с большого кол-ва ПК, в сумме проанализировав около 4 ТБ файлов. 
У версии 3.80 в базе 1 нейропрофиль, 55 микропрограмм лечения, 355 микропрограмы эвристики, 5 микропрограмм восстановления настроек системы, 40004 подписей безопасных файлов
----
Примечание:
Описание скриптововго языка - в хелпе или в документации на моем сайте http://z-oleg.com/secur/avz_doc/index.html, раздел "8. Скрипты управления". По воводу скриптового языка - его можно расширять до бесконечности, жду пожелания по командам ...
----
Завтра я сделаю еще одну тему - с полным перечнем всех пожеланий и предложений, которые прозвучали в разделе по 3.75 - чтобы все пожелания собирать единым списком, как предлагал *aintrust*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

А английская версия опять откладывается? :Sad: 


Менеджер расширенний проводника, так и остались чёрные дыры.
Менеджер внедрённых длл вылетает с ошибкой, скриншот ниже.

----------


## Geser

Кстати, залил новые файлы на ФТП, и что-то там еще валяется глянь.

P.S. Включи проверку потоков NTFS по умолчанию пожалуйста

----------


## Geser

ПО поводу скриптов. Нужнен для форума скриптик который запускает сканирование всех дисков с копированием в карантин всего подозрительного, после чего создаёт лог исследования системы и архив с содержимым карантина. 
В принципе не плохо бы его положить прямо в архив с АВЗ.

----------


## Arkadiy

Что означает:
"3. Сканирование дисков
C:\Documents and Settings\.......\avz3[1].zip Invalid file - not a PKZip file" ?

----------


## WakenUp

Круто
Кроме поиска вредоносных она еще может проводить общую диагностику?
(Жалуется что не нашла библиотеки rsapi32)
Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF

----------


## Granat

Вот собстно лог.

----------


## Iceman

> Вот собстно лог.


А что, собственно, смущает?
Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам:
http://virusinfo.info/showthread.php?t=1235
И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.

Если строки:
"E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_  LinuxIntel_install.tar Spanning not supported by this Archive type
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB/wfcclean.exe Ошибка распаковки
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_02.CAB/javabase.cab Ошибка распаковки"" - То эти образцы необходимо Олегу предоставить. (Мэйл в меню "О программе")

Если эти строки:
". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами"
То сделать тоже самое (отправить для внесения в базу безопасных файлов). Это, вроде, драйвера от Нвидиа?

----------


## Granat

> А что, собственно, смущает?
> Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам:
> http://virusinfo.info/showthread.php?t=1235
> И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.


Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
А по поводу лога исправляюсь...

----------


## Granat

> Если строки:
> "E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_  LinuxIntel_install.tar Spanning not supported by this Archive type
> 
> Если эти строки:
> ". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
> C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
>  Это, вроде, драйвера от Нвидиа?


Ну то, что он архивы tar не понимает это естественно, он же под Виндовс...А второе действительно дрова Нвидии, тоже не парюсь.

----------


## Iceman

> Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
> А по поводу лога исправляюсь...


Да всё нормально! ;-))). Просто чуточку уточнений, что Вы хотите показать в данном случае.

----------


## Sanja

ps: Oleg -  Spanning not supported by this Archive type - Походу на ошибку - Scanning

----------


## Iceman

Да, и ещё желательно в лог выводить установленные все опции настройки. Что бы не было разночтений.

----------


## Xen

файл справки не полностью проиндексирован

----------


## DenZ

*Несколько проблем с проверкой по базе безопасных в "Исследовании системы":*

1. В "Службах" не опознаются безопасными файлы (хотя они есть в базе):
*C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\DrWeb\SpiderNT.exe*
Видимо, AVZ их не находит (см. лог) из-за пробела в пути...

2. Строку:   *\??\C:\Program Files\DrWeb\spider.sys*  AVZ благополучно относит к безопасным в "Модулях пространства ядра", но не понимает в "Драйверах".

3. Строка в "Автозапуске" вида:  *C:\WINDOWS\system32\dumprep 0 -k* по-прежнему не понята AVZ.

4. В "Драйверах" не опознаются файлы без четкого пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают со значениями в поле "Служба", имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

5. "Черные дыры" в "Модуле расширений проводника".

P.S. Исправление этих багов упростит работу Helper-ам при обнаружении новой заразы...
P.P.S. "Менеджер внедренных DLL" вываливается с ошибкой (Win XP), как и у всех...

----------


## DenZ

> Вышла новая новая версия AVZ - 3.80. 
> ...
> [+] Сохранение даты/времени файла при помещении файла в карантин
> ...


Сохранение даты/времени не работает...

----------


## santy

> Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF


да. под Win2000.

----------


## anton_dr

> ...и что-то там еще валяется глянь.


Да. Это я 1го числа заливал, Олег должен быть в курсе.

----------


## Гость

Скачал,поставил,открыл.....

пишет:версия 3.75.04 от22.08.05...?????

----------


## Зайцев Олег

> Скачал,поставил,открыл.....
> 
> пишет:версия 3.75.04 от22.08.05...?????


Скорее всего виноват прокси - файл вязлся из кеша. Именно поэтому год назад я выкладывал апдейты, включая в их имена дату - чтобы бороться с кеширующим прокси.

----------


## Зайцев Олег

> а именно - написание скрипта, закачивающего файл в отдельную папку, генерирующий скрипт для AVZ с указанием сканирования только этой папки (и никакого скана системы, памяти и т.п.), запускающего AVZ с этим скриптом, ждущего окончания процесса, парсящего лог и выдающего пользователю лог в виде Web-страницы.
> еще неплохо убедиться у Олега, что zip-бомбы обходятся.
> и сообщить мне минимальные требования к ресурсам самого AVZ и скрипта закачки, а я уж буду над хостингом думать.


Есть тестовый вариант движка AVZ для *nix (а точнее - для Linux). У меня есть возможность установить сервер с выходом в Инет - но все упирается не в сервер, а в трафик - в Смоленске 1 ГБ входящего трафика стоит 100$.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

> трафик - в Смоленске 1 ГБ входящего трафика стоит 100$.


Ип......цца. Конкуренции на них нет :-((((. У нас в доме интернет предлагают 4 или 5 провайдеров. Так цены заметно упали и стали приятными (не хостинг, конечно, но для понимания)...

----------


## MOCT

> Есть тестовый вариант движка AVZ для *nix (а точнее - для Linux). У меня есть возможность установить сервер с выходом в Инет - но все упирается не в сервер, а в трафик - в Смоленске 1 ГБ входящего трафика стоит 100$.


ну не знаю, устроит ли Geser'а бинарник для линукса. поэтому надо отталкиваться от обычного виндовс хостинга

----------


## Geser

> а именно - написание скрипта, закачивающего файл в отдельную папку, генерирующий скрипт для AVZ с указанием сканирования только этой папки (и никакого скана системы, памяти и т.п.), запускающего AVZ с этим скриптом, ждущего окончания процесса, парсящего лог и выдающего пользователю лог в виде Web-страницы.
> еще неплохо убедиться у Олега, что zip-бомбы обходятся.
> и сообщить мне минимальные требования к ресурсам самого AVZ и скрипта закачки, а я уж буду над хостингом думать.


Скрипт закачки не проблема, и ресурсов он почти брать не будет. Только нужен сервер с поддержкой PHP, а при желании сохранять какую-то статистику не помешает и Мускул

----------


## Geser

> ну не знаю, устроит ли Geser'а бинарник для линукса. поэтому надо отталкиваться от обычного виндовс хостинга


Меня берут сомнения что хостер разрешит бинарники запускать. Кстати, стоит у них Red Hat

----------


## Rhino

Я - новичок, и заранее прошу извинить, если пишу не в тему. Лечился от Trojan-Downloader.Win32.Mediket.bg и AVZ 3.82 - единственная программа, которая его нашла. Вещь, безусловно, классная (AVZ, конечно), НО: среди прочей дряни оказались Trojan.Click.661 и Adware.SaveNow, которые AVZ не нашел, а Dr.Web CureIt - нашел. Это интересно?

----------


## MOCT

> среди прочей дряни оказались Trojan.Click.661 и Adware.SaveNow, которые AVZ не нашел, а Dr.Web CureIt - нашел. Это интересно?


присылайте эти файлы в архиве с паролем virus на [email protected] , автор AVZ изучит их и добавит в базу

----------


## Зайцев Олег

> Я - новичок, и заранее прошу извинить, если пишу не в тему. Лечился от Trojan-Downloader.Win32.Mediket.bg и AVZ 3.82 - единственная программа, которая его нашла. Вещь, безусловно, классная (AVZ, конечно), НО: среди прочей дряни оказались Trojan.Click.661 и Adware.SaveNow, которые AVZ не нашел, а Dr.Web CureIt - нашел. Это интересно?


Да, если AVZ что-то не ловит - присылайте, я внесу в базы.

----------


## RiC

Олег а ещё пожелания принимаются ?
А то завалялась вот парочка .....
1. - Исследование - упростить как нибудь "Информацию", а то целых 6 строк, именно высота колонки, а не содержимое.


```
7.00 кб,
атрибуты: rsAh,
создан: 21.09.2005 
23:24:19,
изменен: 16.10.2005 
15:23:49
```

Ну к примеру - 


```
14.00 кб, rsAh, 
c:19.09.2005 23:59:06,
m:21.01.2004 9:45:48
```

2. Тоже самое добавить к списку DLL.
3. В (c) Добавить версию файла.

----------


## Зайцев Олег

> Олег а ещё пожелания принимаются ?
> А то завалялась вот парочка .....
> 1. - Исследование - упростить как нибудь "Информацию", а то целых 6 строк, именно высота колонки, а не содержимое.
> 
> 
> ```
> 7.00 кб,
> атрибуты: rsAh,
> создан: 21.09.2005 
> ...


Еще как принимаются  :Smiley: 
Сегодня класти выходит апдейт из-за баз, к концу недели - основной апдейт. Формирование описания файла я преписал по аналогии с образцом

----------


## Shu_b

Может я не нашёл, а как добавить в карантин через "обзор"... ?

----------


## DimaT

> Еще как принимаются 
> Сегодня класти выходит апдейт из-за баз, к концу недели - основной апдейт. Формирование описания файла я преписал по аналогии с образцом


A намечается ли встроенный (и автономный) апдейтер баз?
И как с обещаемой интернационализацией?  :Smiley:

----------


## Geser

> Это не руткит ... просто последнее время модно вместо создания процесса инжектировать в системный процесс свой код, например в виде потока. К слову говоря, аналогично поступает знаменитый nail.exe - он просто создает пару потоков в explorer.exe ...


А эти потоки видны в логе исследования системы АВЗ?

----------


## RiC

> А эти потоки видны в логе исследования системы АВЗ?


Nail - нет, а L2M к примеру виден.

----------


## Geser

> Nail - нет


Ха, потому помню мучались с ним.
*Олег*, можно исправить?

----------


## Зайцев Олег

> А эти потоки видны в логе исследования системы АВЗ?


Я добавлю в AVZ смотрелку потоков, но беда в том, что у потока то на лбу не написано, правильный он или нет ... - в этом и вся беда. У того-же Explorer.exe потоков штук 5-7 как минимум. Другое дело в том, что потоко кто-то создавать должен - значит, в авторане что-то должно быть левое.

----------


## Зайцев Олег

Вышла версия 3.83
[+] Расширен скриптовой язык - добавлен ряд команд
[+] Начиная с версии 3.83 в комплекте идет готовые скрипты, в частности два скрипта для  конференции virusinfo.info
[+] Доработан протокол исследования системы
[++] Начиная с версии 3.83 сканер AVZ может подключаться как антивирусный плагин  к TheBat. Плагин качается отдельно с http://z-oleg.com/avz3thebat.zip (размер около 230 кб), после распаковки avz_thebat.bav нужно положить в папку AVZ и подключить к TheBat. Краткая инструкция есть в архиве. Плагин применяет те-же базы, что и сканер AVZ
---------
У новой версии база 17335 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 356 микропрограмм эвристики, 44358
подписи безопасных файлов.

----------


## RiC

> Я добавлю в AVZ смотрелку потоков, но беда в том, что у потока то на лбу не написано, правильный он или нет ... - в этом и вся беда. У того-же Explorer.exe потоков штук 5-7 как минимум. Другое дело в том, что потоко кто-то создавать должен - значит, в авторане что-то должно быть левое.


Процесс Эксплорер умудряется находить из какого файла был создан поток, правда невсегда и я честно говоря незнаю каких "удовольствий" ему это стоит. Так что стоит ли это добавлять или нет я незнаю, если просто кол-во потоков без указания откуда они взялись, Imho от такой информации толку никакого, иначе смысл есть.

----------


## Geser

Остались чёрные дыры в "Модули расширения проводника"

----------


## Зайцев Олег

> Остались чёрные дыры в "Модули расширения проводника"


Я знаю ... но непонятно пока, что с ними делать. Поэтому я их вывожу как есть. В исследовании системя я применил новый подход на примере DLL - при нажании на ссылку, которой является имя DLL выводится окошко с информацией о файле

----------


## Geser

> В исследовании системя я применил новый подход на примере DLL - при нажании на ссылку, которой является имя DLL выводится окошко с информацией о файле


Лучше всплывающей подсказкой ссылки title="..."

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

Я перебросил часть постов из http://virusinfo.info/showthread.php...newpost&t=3708 помоему возникшее обсуждение имеет прямое отношение к доработкам АВЗ, а не к левому трояну.

----------


## HATTIFNATTOR

Все равно не хочет у меня AVZ опознавать KAV, ZA и Alcohol как безопасные   :Sad:

----------


## Geser

Кстати, для борьбы с бутовыми вирусами наверное не помешает возможность делать дамп бут секторов системного диска?

----------


## MOCT

> Я добавлю в AVZ смотрелку потоков, но беда в том, что у потока то на лбу не написано, правильный он или нет ... - в этом и вся беда. У того-же Explorer.exe потоков штук 5-7 как минимум. Другое дело в том, что потоко кто-то создавать должен - значит, в авторане что-то должно быть левое.


а такие штуки, как запуск через шедулер, кто-нибудь обрабатывает? процесс запустился, отработал, потом его снова нет. и ни в автозагрузке, нигде.

----------


## Зайцев Олег

> а такие штуки, как запуск через шедулер, кто-нибудь обрабатывает? процесс запустился, отработал, потом его снова нет. и ни в автозагрузке, нигде.


Поддержку шедуллера надо будет прикрутить - я недавно видел трояна, который так запускался. 
----
Попробуйте кто-нибудь плагин к TheBAT - интересно, заработает он или нет ...

----------


## MOCT

> Поддержку шедуллера надо будет прикрутить - я недавно видел трояна, который так запускался


и я такое видел, потому и говорю.
и еще на тему потоков - может их опционально дампить в карантин?

----------


## Geser

Кстати, как на счёт настоящей проверки памяти. Т.е. не проверка на диске файлов находящихся в памяти, а именно проверка их содержимого в памяти?

----------


## Зайцев Олег

*to Geser, MOCT*
Да, сканер памяти и дамперы делаются, причем активно - это одна из проблем, над которой я активно работаю

----------


## Iceman

Ну всё, кирдец всем остальным продуктам ;-))).
Это уже даже не автомат - это карманная реакитвная установка с самонаведением ;-))))) 
Удачи!

----------


## AndreyKa

Плагин работает. Bat! 2.12

----------


## DenZ

В AVZ 3.83 по-прежнему жив баг в "Драйверах" и "Автокарантине":

В "Драйверах" не опознаются (AVZ не может найти, хотя они есть на диске) файлы без пути и расширений (см. лог здесь), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

Соответственно, эти файлы не добавляются в Карантин, потому что AVZ не знает, где их искать! Поэтому скрипты для исследования системы будут бесполезны! 

Чтобы спрятать вирус от AVZ, достаточно записать его в "Драйвера" без пути и расширения и AVZ его никогда не найдет, зато система будет исправно запускать! Очень жаль...  :Sad:  

P.S. Похоже, это волнует только меня одного, потому что мои сообщения об этом баге игнорируются уже третий месяц...  :Sad:

----------


## Зайцев Олег

> P.S. Похоже, это волнует только меня одного, потому что мои сообщения об этом баге игнорируются уже третий месяц...


Этот баг ловился и был отловлен - я для пробы внес ключик для атозапуска с текстом "C:\WINDOWS\system32\dumprep 0 -k" и у меня в диспетчере автозапуска все отработало как положено - процесс "зеленый", опознался нормально.
А вот при указании в качестве имени драйвера скажем "beep" avz действительно его не находит - это исправлено ... (имя формируется как beep.sys, но путь не приделывался)

----------


## Iceman

Похоже,  я сегодня вообще "не в струе" - пропустил столько новостей.
Много работать - вредно ;-)))
2Олег: Олег, я увидел примочку к Бату - это круто!!!! Завтра погоняю на своих (около 6-8Гб) массивах почтовых баз. У меня вопрос - а какие-то логи ведутся? Посмотреть что, где, когда?
В общем, спасибо.

----------


## Зайцев Олег

> Похоже, я сегодня вообще "не в струе" - пропустил столько новостей.
> Много работать - вредно ;-)))
> 2Олег: Олег, я увидел примочку к Бату - это круто!!!! Завтра погоняю на своих (около 6-8Гб) массивах почтовых баз. У меня вопрос - а какие-то логи ведутся? Посмотреть что, где, когда?
> В общем, спасибо.


Логи где - в батовской примочке ?? Нет, в ней логов нет (если надо - легко прикрутить) - логи сам bat ведет, плюс он же перекладывает зараженные письма в отдельную папку - их все сразу видно.

----------


## Iceman

> Логи где - в батовской примочке ?? Нет, в ней логов нет (если надо - легко прикрутить) - логи сам bat ведет, плюс он же перекладывает зараженные письма в отдельную папку - их все сразу видно.


Понятно, я так просто спросил ;-)). В общем, конечно, в Карантин Батовский не проблема заглянуть.

----------


## santy

> Вышла версия 3.83
> Начиная с версии 3.83 сканер AVZ может подключаться как антивирусный плагин  к TheBat. Плагин качается отдельно с http://z-oleg.com/avz3thebat.zip (размер около 230 кб), после распаковки avz_thebat.bav нужно положить в папку AVZ и подключить к TheBat. Краткая инструкция есть в архиве. Плагин применяет те-же базы, что и сканер AVZ
> ---------


Олег, отключил у NOD EMON, IMON, переслал systray.rar(так как знаю, что АВЗ определяет его как Theals), в ящик. Нет реакции. NTVisible.dll (неупакованный) действительно был перемещен в карантин. Вопросы. Почта проверяется плагином, или сканером? Проверяет ли плагин архивы?
Еще... будет ли плагин для firefox?

----------


## MOCT

> Олег, почта проверяется плагином, или сканером? Проверяет ли плагин архивы?


рискну предположить, что он проверяет даже архивы с ПАРОЛЕМ

----------


## santy

> рискну предположить, что он проверяет даже архивы с ПАРОЛЕМ


 :Smiley:  угу, выполняется. Выполняется ли распаковка вложенных архивов?  :Smiley:

----------


## Зайцев Олег

Рассказываю по порядку:
1. Архивы поддерживаются, но не поддерживается rar, 7-zip. Причина - распаковщики для них громоздкие, их поддержка увеличивает размер avz на 100 кб
2. Запароленный архив не проверяется
3. Проверка идет на произвольную глубину вложенности, составные файлы рассматриваются как архивы. Т.е. например zip, внутри chm, внутри - cab - все это будет рекурсивно распаковано и проверено
4. Почту проверяет плагин - загрузка сканера съедает много времени, посэтому движек размещен в плагине.
5. firefox - можно сделать проверку, если формат плагина под него документирован (просто под бат я неоднократно писал разные примочки, по firefox еще не пробовал)
6. Если насчет firefox я не уверен, в вот для eserv такой плагин вполне может выйти - он кстати делался именно для него, просто для отладки мне было удобнее подогнать плагин под Bat - его тестировать можно наглядно ...

----------


## anton_dr

> Рассказываю по порядку:
>  Архивы поддерживаются, но не поддерживается rar, 7-zip. Причина - распаковщики для них громоздкие, их поддержка увеличивает размер avz на 100 кб


А это разве сильно страшно?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

> ..........
> 4. Почту проверяет плагин - загрузка сканера съедает много времени, посэтому движек размещен в плагине.
> ..............
> 6. Если насчет firefox я не уверен, в вот для eserv такой плагин вполне может выйти - он кстати делался именно для него, просто для отладки мне было удобнее подогнать плагин под Bat - его тестировать можно наглядно ...


2Олег: Невозможно добавить плагин к Бату (3.61.07) - выдаёт следующее:
"Exception EFOpenError in module AVZ_thebat.bav at 0001675E".

----------


## Geser

Эх... а когда же будет английская версия  :Sad:

----------


## Зайцев Олег

> 2Олег: Невозможно добавить плагин к Бату (3.61.07) - выдаёт следующее:
> "Exception EFOpenError in module AVZ_thebat.bav at 0001675E".


А плагин лежит в папке AVZ ?? Подобная ошибка может возникнуть, если плагин не смог увидеть папку Base

----------


## Зайцев Олег

> А это разве сильно страшно?


Это не сильно страшно ... Но в rar и 7-zip архивах Spyware не водятся и открыть их автоматом система не может - это пока являлось определяющим фактором против них

----------


## Зайцев Олег

> Эх... а когда же будет английская версия


Я потихоньку реорганизую код - но это процесс медленный, так как рутинный. Зато плагин bat уже полностью изъясняется на английском, поскольку я уже вытравил из движка все русскоязычные сообщения.

----------


## Iceman

> А плагин лежит в папке AVZ ?? Подобная ошибка может возникнуть, если плагин не смог увидеть папку Base


Сам плагин лежит в директории АВЗ. Но Бат копирует его в свою папку ""Mail" - бат выступает в роли сервера.
Дома всё работает. Сейчас на работе - нет.

----------


## Зайцев Олег

> Сам плагин лежит в директории АВЗ. Но Бат копирует его в свою папку ""Mail" - бат выступает в роли сервера.
> Дома всё работает. Сейчас на работе - нет.


Тогда все ясно - нужно найти, куда скопировал его bat и подсунуть туда папку Base с базами AVZ - и все заработает

----------


## Geser

Кстати, так и не приведены в нормальный вид строки вида \SystemRoot\System32\ati2drad.dll

----------


## santy

> 2Олег: Невозможно добавить плагин к Бату (3.61.07) - выдаёт следующее:
> "Exception EFOpenError in module AVZ_thebat.bav at 0001675E".


У меня версия Бата 3_60_07. Плагин добавлен и работает. Плагин подгружается в память при загрузке Бата?

----------


## Iceman

> У меня версия Бата 3_60_07. Плагин добавлен и работает. Плагин подгружается в память при загрузке Бата?


Он вообще не добавляется. Попробую, как Олег сказал, базы в почтовую директорию кинуть.

----------


## Зайцев Олег

Я симулировал такую ситуацию - это ошибка инициализации из-за проблемя  с загрузкой баз. Лечится копированием папки Base в ту-же папку, что и  Plugin.

----------


## Iceman

> Я симулировал такую ситуацию - это ошибка инициализации из-за проблемя  с загрузкой баз. Лечится копированием папки Base в ту-же папку, что и  Plugin.


Спасибо, попробую  сегодня.

----------


## Xen

RAR вообще-то активно используется спайварем

----------


## MOCT

> RAR вообще-то активно используется спайварем


а пример можно?

----------


## Синауридзе Александр

Поддержка RAR и 7-zip нужна. А то, что программа станет тяжелее так в этом нет ничего страшного. Сейчас вообще многие используют 7-zip (и я тоже), так как программа хорошая и бесплатная.
Вопрос к Олегу: Вот есть плагин к Bat, а к Outlook Express или к Thunderbird нельзя ли что нибудь подобное. Чтобы полученная почта проверялась. И как насчет плагинов к IE и Firefox ?! Было бы здорово !!!

----------


## DenZ

Олег, в "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами. 

В реестре по CLSID, указанном AVZ, такие строки:


```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{34F8C0D0-06F7-4f71-9E8E-190337851167}]
"Script"="C:\\Program Files\\SaveChm\\SaveChm.vbs"
"ButtonText"="SaveChm"
"HotIcon"="C:\\Program Files\\SaveChm\\SaveChm.dll,207"
"Icon"="C:\\Program Files\\SaveChm\\SaveChm.dll,206"
"MenuStatusBar"="SaveChm"
"MenuText"="SaveChm"
"DefaultVisible"="Yes"
"ClSid"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
```

А скрипт *SaveChm.vbs* запускает уже сам плагин:


```
<SCRIPT language="VBScript">    
    Set SaveChm = CreateObject("SaveChm.SaveChmX")              
    SaveChm.Run external.menuArguments
</SCRIPT>
```

В связи с этим, может есть смысл включать скрипты *.VBS в базу безопасных?! Не разбирать же что они там запускают...

----------


## DimaT

*Oлег*, мой вопрос остался без ответа: намечается ли встроенный (и автономный) апдейтер баз?

----------


## Зайцев Олег

> *Oлег*, мой вопрос остался без ответа: намечается ли встроенный (и автономный) апдейтер баз?


Да, планируется - по крайней мере получение оперативного обновления. Причем планируется в самое ближайшее время

----------


## user

при сканировании AVZ нашел :
C:\Program Files\NewDotNet\newdotnet6_38.dll >>>>> Spy.NewDotNet  удаление запрещено настройкой
C:\Program Files\NewDotNet\uninstall6_38.exe >>>>> AdvWare.NewDotNet  удаление запрещено настройкой

Проблема в том,что если попытаться удалить их,то вырубается и-нет полностью, ни востановление системы, ни что то еще не спасают. Единстенное решение - переустановка ОС.
Что делать?

----------


## Geser

> при сканировании AVZ нашел :
> C:\Program Files\NewDotNet\newdotnet6_38.dll >>>>> Spy.NewDotNet  удаление запрещено настройкой
> C:\Program Files\NewDotNet\uninstall6_38.exe >>>>> AdvWare.NewDotNet  удаление запрещено настройкой
> 
> Проблема в том,что если попытаться удалить их,то вырубается и-нет полностью, ни востановление системы, ни что то еще не спасают. Единстенное решение - переустановка ОС.
> Что делать?


На той машине где найдены newdotnet6_38.dll
АВЗ->Менеджер Winsock...
Сохранить протокол, в зип и в студию

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

> при сканировании AVZ нашел :
> C:\Program Files\NewDotNet\newdotnet6_38.dll >>>>> Spy.NewDotNet
> C:\Program Files\NewDotNet\uninstall6_38.exe >>>>> AdvWare.NewDotNet
> Что делать?


1. Вопросы "Как быть" и "Что делать" задают в разделе помогите
2. Догадаться с 1-го раза зачем нужен  *uninstall6_38.exe*
++++++++++++++++++++++++++++++++++++++++++++++++++  +++++

Теперь по теме топика - 

в Диспечере процессов нужна возможность прибить несколько процессов *сразу*, пометить или галками или с шифтом или ещё как, но чтобы закрыть одновременно, и не давать запускаться тому, что закрыли, короче способ вытряхивания из памяти заразы состоящей из нескольких кусков, которые не дают выгружать друг друга.

----------


## user

RiC  :Smiley:  Может я,как там говорится, мал и глуп, но unistaller не работает,в логе Winsock ниче подазрительного нет, т.е валятся они валяются,а вредить не вредят.

P.S это раньше при удалении их падал и-нет,после установки новой ОС я не пробовал

----------


## RiC

> RiC  Может я,как там говорится, мал и глуп, но unistaller не работает,в логе Winsock ниче подазрительного нет, т.е валятся они валяются,а вредить не вредят.


Я же просил - вопросы в "помогите", а вообще посмотрите внимательно этот раздел, там было где-то удаление NewDotNet, в принципе он почти безвредный можете и оставить на память.
**************************************************  ******

Опять по теме, ещё пожелание - отложенное удаление - "списком", а то неохота из-за того чтобы хлопнуть 2-ру файлов KillBox заставлять людей ещё качать.

----------


## Arkadiy

А куда можно положить архивчик с очень подозрительным файлом, чтоб его посмотрели?

----------


## Iceman

> А куда можно положить архивчик с очень подозрительным файлом, чтоб его посмотрели?


Правила: http://virusinfo.info/showthread.php?t=1235

П.п.  "...8. Полученный архив нужно выслать на [email protected] В письме обязательно указать ссылку на тему (линк!) с просьбой о помощи. Письма без ссылки могут остаться без ответа, т.к. у нас нет времени ходить по всем темам и искать из какой именно темы файлы...."

----------


## MOCT

> А куда можно положить архивчик с очень подозрительным файлом, чтоб его посмотрели?


по присланному файлу могу сказать следующее:

Отечественный недетектируемый сервер backdoor-программы "RAT X Control".
Использует файл xflash.exe.
Лезет в LSA и ворует кэшированные пароли на DialUp.
Собирает информацию из файлов ICQ, Miranda, Trillian, AIM, а также пароли на почту и FTP.
Может использовать плагины с именами xc_*.dll
Сливает информацию об адресе пользователя и открытом порте через скрипт hxxp://xcuser.info/add.php

еще мне интересно - откуда у жителя Германии мог завестись российский бакдор? напишите (по почте или через ПМ) где именно Вы его подцепили.

----------


## Палыч

> Отечественный *недетектируемый* сервер backdoor-программы "RAT X Control".


А что сделать, что бы эта программа стала детектируемой? Может имеет смысл послать образец АВ-вендорам?

----------


## MOCT

> А что сделать, что бы эта программа стала детектируемой? Может имеет смысл послать образец АВ-вендорам?


я думаю, что представители вендоров и без этого подписаны на рассылку. а слово "недетектируемый" правильно было выделено - кто-то за этот файл заплатил деньги, чтобы получить недетектируемую версию... вот мне и интересно - кому настолько понадобился dialup в Германии?  :Stick Out Tongue:

----------


## Зайцев Олег

> я думаю, что представители вендоров и без этого подписаны на рассылку. а слово "недетектируемый" правильно было выделено - кто-то за этот файл заплатил деньги, чтобы получить недетектируемую версию... вот мне и интересно - кому настолько понадобился dialup в Германии?


Я вчера отправил этого зверя в ЛК - сегодня пришел ответ: Backdoor.Win32.Yurist.k -теперь он "детектируемый"  :Smiley: 
Самое смешное в том, что зверь этот передает пароли открытым текстом, да еще на русском  :Smiley:

----------


## MOCT

> Я вчера отправил этого зверя в ЛК - сегодня пришел ответ: Backdoor.Win32.Yurist.k -теперь он "детектируемый" 
> Самое смешное в том, что зверь этот передает пароли открытым текстом, да еще на русском


опять ЛК клинит - предыдущие версии как только не называются:
Backdoor.Win32.Agent.cl, Backdoor.Win32.Agent.he, Backdoor.Win32.Small.da, Backdoor.Win32.Yurist.b, Backdoor.Win32.Yurist.g и т.д.
Поэтому придерживаться такой "классификации" в AVZ не рекомендую.

----------


## DimaT

Здесь, в теме Лучший антивирус  уже несколько дней идет спор о AVZ...

----------


## Geser

> Здесь, в теме Лучший антивирус  уже несколько дней идет спор о AVZ...


Угу, прорят потому что 
1. Неправильно выбрано название
2. Не понимают вообще о чём спорят  :Smiley:

----------


## Зайцев Олег

> Угу, прорят потому что 
> 1. Неправильно выбрано название
> 2. Не понимают вообще о чём спорят


Скорее втрое  :Smiley:  Т.е. они не понимают, что попало им в руки - но спорят активно  :Smiley:  
А название правильное - я не собраюсь останавливаться на троянах/SpyWare, название дано "на вырост"

----------


## DimaT

> Скорее втрое  Т.е. они не понимают, что попало им в руки - но спорят активно  
> А название правильное - я не собраюсь останавливаться на троянах/SpyWare, название дано "на вырост"


Привел там твой ответ...
Страсти не утихают...  :Smiley: 
Но это своеобразная реклама...

----------


## Зайцев Олег

Надо было им дать ссылочку на раздел "Помогите"  :Smiley:  Это бы дало спорщикам некоторое представление о том, что творится на компьютерах у пользователей и для чего применяется AVZ и HijackThis

----------


## Grey

Кстати, *Олег*, в гридах смотрю цвета при выделении ячейки уже поменяли, правда все же пока не все. Например, в диспетчере процессовв поле "Процессы" в выбраной строке тяжело прочитать данные (если цвет шрифта зеленый). 


*DimaT*, а как все начиналось... С вопроса у кого какое мнение по работе программы, в ветке по *AVZ* на том же руборде  :Smiley:

----------


## Geser

Даже если АВЗ будет лечить вирусы, всёравно я считаю называть его антивирусом неправильно, потому как это ставит его в один ряд с полноценными антивирусами, с которыми он никогда не сможет конкурировать по полноте баз.

----------


## Зайцев Олег

> Даже если АВЗ будет лечить вирусы, всёравно я считаю называть его антивирусом неправильно, потому как это ставит его в один ряд с полноценными антивирусами, с которыми он никогда не сможет конкурировать по полноте баз.


Логично ... но давая название "Антивирусная утилита" я полагал, что это будет восприниматься как "Утилита в дополнение к антивирусу". Т.е. утилита, а не антивирус ... а большинство народа проглатывает слово "утилита" в названии.
Можно конечно назвать "AVZ Antimalware Toolkit", к примеру.

----------


## Geser

> Можно конечно назвать "AVZ Antimalware Toolkit", к примеру.


А в справке неписать что это утилита для исследования системы и удаления распространённых вредоносных программ рекомендуемая к использованию опытными пользователями.

----------


## RiC

> Привел там твой ответ...
> Страсти не утихают...


Storm in a teacup  :Stick Out Tongue: 
А в итоге каждый останется при своём  :Smiley: 
Но "победит" самый "горластый".

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MOCT

> Даже если АВЗ будет лечить вирусы, всёравно я считаю называть его антивирусом неправильно, потому как это ставит его в один ряд с полноценными антивирусами, с которыми он никогда не сможет конкурировать по полноте баз.


конкурировать? не проблема! главное убрать из рассмотрения DOS-вирусы и макро, а остальных (Win9x/32) вирусов на самом деле не так уж и много  :Stick Out Tongue:

----------


## DimaT

> Storm in a teacup 
> А в итоге каждый останется при своём 
> Но "победит" самый "горластый".


 Ничего, акция все-равно полезная...  :Stick Out Tongue:  
*abz* - знаменитый спорщик...
Зато многие узнали о  AVZ... 



> DimaT, а как все начиналось... С вопроса у кого какое мнение по работе программы


 Да, я поднял там эту тему http://www.forum.ru-board.com/topic....0148&start=720 21-10-2005: 


> Почему-то здесь за ''бортом обсуждений'' *оказался быстро прогрессирующий  еще один отечественный антивирусник* AVZ.   
> У автора (Зайцева Олега) много трудолюбия и большие планы.    
> Топик о AVZ на нашем форуме здесь. 
> Хотелось бы услышать комментарии-оценки спецов.


 Каюсь... :Cheesy:  
Но не жалею... Если *Олег*  и Вы не осуждаете...

----------


## Зайцев Олег

> Ничего, акция все-равно полезная...  
> *abz* - знаменитый спорщик...
> Зато многие узнали о AVZ... 
> Да, я поднял там эту тему http://www.forum.ru-board.com/topic....0148&start=720 21-10-2005: Каюсь... 
> Но не жалею... Если *Олег* и Вы не осуждаете...


Пускай народ пошумит и поспорит - это полезно  :Smiley: 
Я сделал новую тему - 
http://virusinfo.info/showthread.php?p=58078#post58078 - в нее я предлагаю выносить только предложения и замечания, я затем буду подчищать эту тему, собирая все в единый список - иначе информация растворяется в ходе обсуждений.

----------


## DimaT

> Пускай народ пошумит и поспорит - это полезно


 Я тоже так считаю.
Тем более, дополнительная инфа, пожелания и конструктивная критика всегда полезны... :Cheesy:

----------


## Arush

Невозможно выбрать каталог не выбрав хотябы один подкаталог.
Т.е. я выбираю для сканирования каталог С:\Abc\  в нем есть подкаталоги Bcd и Cdf с кучей файлов. Каталоги Bcd и Cdf я сканировать не хочу. Снимаю выделение с одного из них - все нормально. Но как только я снимаю выделение со второго - пропадает выделение с каталога Abc. Как-то нелогично  :Smiley: 

ЗЫ. На всякий случай, структура каталогов такая:
C:\Abc\
C:\Abc\Bcd\
C:\Abc\Cdf\

----------


## Зайцев Олег

> Невозможно выбрать каталог не выбрав хотябы один подкаталог.
> Т.е. я выбираю для сканирования каталог С:\Abc\  в нем есть подкаталоги Bcd и Cdf с кучей файлов. Каталоги Bcd и Cdf я сканировать не хочу. Снимаю выделение с одного из них - все нормально. Но как только я снимаю выделение со второго - пропадает выделение с каталога Abc. Как-то нелогично 
> 
> ЗЫ. На всякий случай, структура каталогов такая:
> C:\Abc\
> C:\Abc\Bcd\
> C:\Abc\Cdf\


Да, есть такой моментик ... это актуально, если 
C:\Abc\
C:\Abc\файл1.exe
C:\Abc\файл2.exe
C:\Abc\Bcd\
C:\Abc\Cdf\
файл1 и файл2 сканируются только при выборе всего ABC, и нельзя просканировать эти файлы, не сканируя при этом Bcd и Cdf.
Я подумаю над логикой работы древовидного списка в таком случае.

----------


## userr

Олег, ты писал, что обмениваешься зверями с ЛК, ВБА и еще с кем-то. Это действительно обмен, т.е. они присылают тебе полученных ими по своим каналам зверей ?

----------


## MOCT

> Олег, ты писал, что обмениваешься зверями с ЛК, ВБА и еще с кем-то. Это действительно обмен, т.е. они присылают тебе полученных ими по своим каналам зверей ?


IMHO, игра идет в одни ворота

----------


## Зайцев Олег

> IMHO, игра идет в одни ворота


Не совсем. С ВБА мы периодически меняемся достаточно быльшими партиями зверей, не считая малочей типа того, что я периодически гоняю ВБА по базе по базе безопасных ... С Stop! и UNA идет обмен ITW - по принципу, но без подсчета "скальпов". С ЛК обмен односторонний - но тут у меня шкурный интерес, т.к. серверные продукты ЛК стоят на периметре сети, в частности на почтаре, через которого идет корпоративный трафик

----------


## anton_dr

Запускал АВЗ на компе. Нашел он пару файлов, зараженным Hidrag. Полечил вроде. Сейчас зацепил этот винт на свой комп и прогнал Каспером. Ну, что там больше намного Hidrag'ов, это ничего. А первый файл, зараженный им, называется avz.exe.  :Smiley:

----------


## Зайцев Олег

> Запускал АВЗ на компе. Нашел он пару файлов, зараженным Hidrag. Полечил вроде. Сейчас зацепил этот винт на свой комп и прогнал Каспером. Ну, что там больше намного Hidrag'ов, это ничего. А первый файл, зараженный им, называется avz.exe.


Естественно  :Smiley:  AVZ ловит только его тело, и сам естественно становится жертвой заражения. В новой версии на этот случай будет контроль целостности кода - дабы ловить Hidrag-ов на живца  :Smiley:

----------


## anton_dr

А каспер файлы полечит, или как? И вообще, он лечится? Hidrag в смысле.

----------


## santy

Hidrag лечится Каспером. Нормально.

----------


## DenZ

А когда выйдет новая версия? AVZ уже ругается...  :Smiley:

----------


## Зайцев Олег

> А когда выйдет новая версия? AVZ уже ругается...


Только что вышла новая версия 4.00. 
Для нее я завоже отдельную ветку ...

----------

