# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  Вышла новая версия антивирусной утилиты AVZ - 4.41

## Зайцев Олег

*Вышла новая версия антивирусной утилиты AVZ - 4.41*. Архив с утилитой содержит базу вирусов от *12.07.2013* - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 403 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 565706 подписей безопасных файлов. Новая версия содержит ряд доработок и усовершенствований. 

*Основные модификации:*
[++] Менеджер планировщика заданий - поддержка планировщика v2 ( Vista, Win7, Win8 ) 
[++] Новый парсер сложной командной строки, выделяющий требующие внимания исполняемые файлы 
[++] Новый набор команд скрипт-языка для выполнения произвольных WMI запросов 
[++] Подключена возможность просмотра данных о файле в системе Kaspersky Application Advisor 
[++] В исследовании системы введена поддержка дополнительных проверок, хранящихся в обновляемой БД 
[++] В скрипт-языке новые функции AddFileInfoToXML, AddDataToXML, WMI_Init, WMI_Query, WMI_Fetch, WMI_GetField, WMI_Free, SleepMS, GetComputerIP, ClearXMLData  
[+] Изменена логика работы команды удаления файла - появился второй параметр, указывающий, в каком режиме редиректора следует выполнить удаление 
[+] Вывод в протокол исследования системы данных о расшаренных ресурсах (опционально, по умолчанию выключено) 
[+] Вывод в XML протокол данных о всех запущенных процессах, без фильтрации (опционально, по умолчанию выключено) 
[+] В мастере поиска и устранения проблем добавлено всплывающее меню, позволяющее выбрать все пукты, снять и инвертировать выделение 
[+] Добавлен режим шифрования файлов в карантине для исключения их удаления антивирусом 
[+/-] В скриптязыке изменена логика работы ExecuteScript - скриптам любого уровня разрешено изменять настройки AVZ 
[-] Исправлена проблема с тем, что в описание файла в карантине не попадали сведения о его атрибутах

http://www.z-oleg.com/secur/avz/download.php

----------

ALEX(XX),  *Никита Соловьев*,  *миднайт*,  *mike 1*,  *olejah*,  *thyrex*,  Val_Ery,  *Дeнис*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## akok

> [++] Подключена возможность просмотра данных о файле в системе Kaspersky Application Advisor


C этого места поподробнее, пожалуйста. Это расширение функционала связки с VirusDetector или отдельная фича?

- - - Добавлено - - -




> [++] В исследовании системы введена поддержка дополнительных проверок, хранящихся в обновляемой БД


БД "в облаке" или обновляется вместе с базами?

----------


## Зайцев Олег

> 1 C этого места поподробнее, пожалуйста. Это расширение функционала связки с VirusDetector или отдельная фича?
> 2.БД "в облаке" или обновляется вместе с базами?


1. VirusDetector - сам по себе. Т.е. пользователь может выполнить скрипт номер 8, все не опознанные по файлы соберутся в карантин, далее его загружаем в VirusDetector и формируется лог, в котором для каждого файла есть ссылочка. Теперь плюс к этому в AVZ во всех (ну или пока в большинстве - потом будет во всех) менеджерах появилась кнопочка с логотипом ЛК, позволяющая посмотреть данные Kaspersky Application Advisor по текущему файлу. Принцип работы аналогичный - открывается браузер, в нем отчет по файлу (сам файл при этом никуда не передается)
2. Обновляется вместе с базами. Это пока прототип, логика в том,  что я не люблю часто обновлять AVZ и пытаюсь по максимуму все вытащить в обновляемые базы. В облаке было бы лучше, но тогда нужно передавать много данных в облако, а это не всегда возможно (интернета нет, вопросы безопасности и т.п.)

----------


## thyrex

*Олег*, разъясните, пожалуйста, особенности логов на Windows 7
Пример темы http://virusinfo.info/showthread.php?t=141920

Берем секцию Автозапуск. Вся информация о файлах между записями



> C:\Windows\system32\wuaueng.dll
> 
> c:\Program Files (x86)\Microsoft SQL Server\90\Shared\dw15.exe


идет со странно урезанным путем к файлу

Аналогично в секции Планировщик заданий
Во многих заданиях указано только имя исполняемого файла

----------


## Зайцев Олег

> *Олег*, разъясните, пожалуйста, особенности логов на Windows 7
> Пример темы http://virusinfo.info/showthread.php?t=141920
> 
> Берем секцию Автозапуск. Вся информация о файлах между записями
> идет со странно урезанным путем к файлу
> 
> Аналогично в секции Планировщик заданий
> Во многих заданиях указано только имя исполняемого файла


Некорректность работы парсера имен. Там путь вида %ProgramFiles%\Windows Defender\mpsvc.dll почему-то некорректно обработался.
Проверил - бага, воспроизводится... через неделю новая сборка выйдет, в ней будет пофикшено (я собираю мелкие баги, которые неизбежны и правлю их).

----------


## thyrex

Тоже самое идет и с путем к папке Windows и Windows\system32

Исправлению поддается быстро или потребуется время?

----------


## akok

> Теперь плюс к этому в AVZ во всех (ну или пока в большинстве - потом будет во всех) менеджерах появилась кнопочка с логотипом ЛК, позволяющая посмотреть данные Kaspersky Application Advisor по текущему файлу. Принцип работы аналогичный - открывается браузер, в нем отчет по файлу (сам файл при этом никуда не передается)


Это интересно, есть статистика насколько активно этими менеджерами пользуются? Намного продуктивнее было бы добавить ссылки на результаты Kaspersky Application Advisor в html лог.




> я не люблю часто обновлять AVZ


Мы знаем. Интеграция нового антируткит модуля отложена или можно и не надеется?

----------


## Зайцев Олег

> Тоже самое идет и с путем к папке Windows и Windows\system32
> 
> Исправлению поддается быстро или потребуется время?


Пофиксил - после обновления баз ошибка должна пропасть (базы уже заряжены на сервера апдейта). Перед релизом как-то кривовато собралась база парсера, вот и получилась ошибка...

*Добавлено через 7 минут*




> 1. Это интересно, есть статистика насколько активно этими менеджерами пользуются? Намного продуктивнее было бы добавить ссылки на результаты Kaspersky Application Advisor в html лог.
> 
> 
> 2. Мы знаем. Интеграция нового антируткит модуля отложена или можно и не надеется?


1. Статистика в явном виде не по менеджерам пишется, так как Kaspersky Application Advisor не требует авторизации и никак не идентифицирует пользователя и то, чем именно от запросил данные. Если ссылка в логе будет востребована - добавлю.
2. Отложена - коллеги сильно загружены, но вопрос будет решен.

----------


## regist

Продублирую своё предложение отсюда.

http://virusinfo.info/showthread.php?t=141834 



> 6.1.7600


 можно спутать с 7-кой.
Я уже молчу про XP x64 (5.2.3790) путается с сервером 2003, Windows Vista (6.0.6002) можно спутать с Windows Server 2008. Windows 8 наверно опять таки можно будет спутать с server 2012. А ведь это легко исправить, если считать из реестра параметр _ProductName    REG_SZ_ из той же ветки и добавить его в XML лог.

----------


## Зайцев Олег

> Продублирую своё предложение отсюда.
> 
> http://virusinfo.info/showthread.php?t=141834 
>  можно спутать с 7-кой.
> Я уже молчу про XP x64 (5.2.3790) путается с сервером 2003, Windows Vista (6.0.6002) можно спутать с Windows Server 2008. Windows 8 наверно опять таки можно будет спутать с server 2012. А ведь это легко исправить, если считать из реестра параметр _ProductName    REG_SZ_ из той же ветки и добавить его в XML лог.


Логичное предложение, внес такое изменение. Полиморф обновлен, можно на нем посмотреть (вывод сделан и в лог, и в качестве параметра OS_ProductName в рутовом теге XML отчета)

----------

*regist*,  *Sandor*,  *thyrex*,  Val_Ery,  *Vvvyg*

----------


## regist

1) Олег, возможно ли как-то улучшить (исправить) парсинг путей на сервере, когда логи сделаны Session="Console", но системная папка всё равно проецируется в профиль юзера. Вот пример темы, версия AVZ 4.41.  Как по такому логу удалять зловредов в случае если он запускается из системной папки? На всякий случай перезалил лог сюда.

2) Вы всегда рекомендуете для просмотра XML лога блокнот, как самый надёжный способ, которым всегда корректно можно посмотреть этот  лог. А что делать с XML логами в которые даже блокнотом нельзя посмотреть, вот 
скрин
Скрыть
 из выше упомянутого лога (на скрине правда Notepad++). В случае французской  и других локализаций ситуация ещё хуже и даже по HTML логу нельзя нормально написать скрипт, вот пример темы.

скрин

Скрыть


Будут ли исправления по этим пунктам ?
PS. и можно ли ждать в ближайшее время исправление для редактора скриптов ? (а то если нужно скопировать целиком скрипт без оформления шаблоном, то очень удобно без этого хоткея).

----------


## Зайцев Олег

> 1) Олег, возможно ли как-то улучшить (исправить) парсинг путей на сервере, когда логи сделаны Session="Console", но системная папка всё равно проецируется в профиль юзера. Вот пример темы, версия AVZ 4.41.  Как по такому логу удалять зловредов в случае если он запускается из системной папки? На всякий случай перезалил лог сюда.
> 
> 2) Вы всегда рекомендуете для просмотра XML лога блокнот, как самый надёжный способ, которым всегда корректно можно посмотреть этот  лог. А что делать с XML логами в которые даже блокнотом нельзя посмотреть, вот 
> скрин
> Скрыть
>  из выше упомянутого лога (на скрине правда Notepad++). В случае французской  и других локализаций ситуация ещё хуже и даже по HTML логу нельзя нормально написать скрипт, вот пример темы.
> 
> скрин
> 
> ...


3. Уже исправлено. Копирует/вырезает/вставляет по всем типовым сочетаниям клавиш и без глюка с зависимостью копированию русских букв от  раскладки  на момент копирования. Обновление выйдет на этих выходных
2. можно переключить логи на режим Unicode (это есть, включается из скрипта недокументированным битом 8 в параметрах формирования отчетов) или переключить представление строк в XML на Base64 недокументированным ключом XMLBase64Mode=Y. толку от этого сильно много не будет, так как сам AVZ не юникодный. 
1. Исправить можно, но есть риск, что где-то это не сработает (в самом AVZ испрвить несложно, но например  всякие  API типа ExpandEnvironmentStrings могут работать некорректно

----------


## regist

3)


> 3. Уже исправлено. Копирует/вырезает/вставляет по всем типовым сочетаниям клавиш и без глюка с зависимостью копированию русских букв от  раскладки  на момент копирования. Обновление выйдет на этих выходных


Олег, это не совсем баг редактора, но можете посмотрите ещё насчёт проблем с кодировками описанных здесь. Я понимаю, что в данном случае это глюк не редактора, а утилиты которая используется в паре с ним, но по словам разработчика исправление глюка упирается в редактор скриптов AVZ.
PS. если что тема с этой утилитой на этом форуме здесь.

1) 


> 1. Исправить можно, но есть риск, что где-то это не сработает (в самом AVZ испрвить несложно, но например  всякие  API типа ExpandEnvironmentStrings могут работать некорректно


Если можно поясните подробней, чем грозит если эти (этот) API отработают некорректно ? Как я понимаю мы просто вместо нормального пути типа: C:\Windows получим %windir%
Если да, то имхо, это лучше, чем как сейчас.

----------


## Зайцев Олег

> 3)
> Олег, это не совсем баг редактора, но можете посмотрите ещё насчёт проблем с кодировками описанных здесь. Я понимаю, что в данном случае это глюк не редактора, а утилиты которая используется в паре с ним, но по словам разработчика исправление глюка упирается в редактор скриптов AVZ.
> PS. если что тема с этой утилитой на этом форуме здесь.
> 
> 1) 
> Если можно поясните подробней, чем грозит если эти (этот) API отработают некорректно ? Как я понимаю мы просто вместо нормального пути типа: C:\Windows получим %windir%
> Если да, то имхо, это лучше, чем как сейчас.


1. Грозит то тем, что AVZ уже может от системы получить неверный путь к файлу. И получится еще большая каша ...
3. http://z-oleg.com/avz_se.exe - пофикшенный редактор, его можно скачать и заменить им такой-же EXE из дистрибутива, и попробовать...

----------


## Vvvyg

Олег, с путями в логах на серверных системах надо всё же что-то делать, ясно, что не к фиксу 4.41. В качестве аргумента - дважды наблюдал, как по таким логам убивали систему с тяжёлыми последствиями. В одном случае - удалив какие-то файлы "не на месте", во втором - пытались исправить "ошибки" SPI\LSP 14-й, а затем 15-й таблетками и вынесли напрочь сеть. В обоих случаях порезвились не хелперы, а админы, но предпосылок для такого, имхо, лучше не давать. Да и чисто с эстетической точки зрения такие логи не смотрятся  :Wink:

----------

*regist*

----------


## regist

Олег ещё немного по мелочам.

1)Думаю вам не очень сложно будет добавить в меню редактора скриптов AVZ ещё один пункт для ассоциации файлов с расширением *.avz* с редактором скриптов.

2) В продолжение темы с форума ЛК. Периодически получаем битый XML при этом ошибка всегда проявляется только в секциях  <RK_IRP> и <RK_KM_IDT>. Если в этой секции есть тег *HookPtr* и за ним следует тег CheckResult то почти всегда между ними нет пробела. Вот примеры тем с такими логами:
http://virusinfo.info/showthread.php?t=133662
http://virusinfo.info/showthread.php?t=133185
http://safezone.cc/forum/showthread.php?t=20899 

Вот как выглядит "битый" кусок лога.



```
 <RK_IRP>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="0" HookPtr="B5DD3974"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="2" HookPtr="B5DD39B4"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="4" HookPtr="B5DD3A7C"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="6" HookPtr="B5DD3ABC"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
 </RK_IRP>
```

----------


## Зайцев Олег

> Олег ещё немного по мелочам.
> 
> 1)Думаю вам не очень сложно будет добавить в меню редактора скриптов AVZ ещё один пункт для ассоциации файлов с расширением *.avz* с редактором скриптов.
> 
> 2) В продолжение темы с форума ЛК. Периодически получаем битый XML при этом ошибка всегда проявляется только в секциях  <RK_IRP> и <RK_KM_IDT>. Если в этой секции есть тег *HookPtr* и за ним следует тег CheckResult то почти всегда между ними нет пробела.


1. Проблема в том, что редактор то работает без установки ... Я могу сделать пару пунктов меню, типа "Зарегистрировать ассоциацию с *.avz" и "Удалить ассоциацию  с *.avz"
2. Пофиксил, полиморфная версия обновлена

----------


## regist

> 1. Проблема в том, что редактор то работает без установки ... Я могу сделать пару пунктов меню, типа "Зарегистрировать ассоциацию с *.avz" и "Удалить ассоциацию  с *.avz"


да, я это и имел ввиду. Аналогично как раз и реализовано в утилите: Помощник редактора avz

----------


## Зайцев Олег

> да, я это и имел ввиду. Аналогично как раз и реализовано в утилите: Помощник редактора avz


Ок, добавил такую фичу к редактору.

----------


## regist

*Зайцев Олег*, пользуясь случаем ещё хочется обратить ваше внимание, что иногда невозможно штатным образом отключить AVZPM, это наглядно видно по этой теме. Также хочется спросить, как правильно в таком случае его отключить (удалить) ? Пробовал на виртуалке удалить его через диспетчер устройств перед этим включив отображение скрытых устройств - он всё равно остался включённым.
PS. на виртуалке просто тестил альтернативный способ отключения.

----------


## andrey_k

*Зайцев Олег*, 
просьба по интерфейсу работы с карантином средствами самого AVZ.
В статусной строке выдается количество файлов и их общий размер в указанной папке карантина. При операциях с отдельными файлами, например, разбивке большого архива для отправки (http://virusinfo.info/showthread.php?t=111186), желательно видеть общий размер файлов, выделенных вручную в этом списке.
Сейчас лимит по объему файла увеличили, но разбивка большого архива на несколько томов может понадобиться.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## regist

AVZ неправильно определяет состояние восстановления системы на Windows 7. Отключаем, перезагружаем - AVZ всё равно показывает, что включёно. Проверял на последней версии полиморфа, просто скрин взял старый.

Скрытый текст
Скрыть

ЗЫ. за обнаружение бага спасибо _glax24_

----------


## thyrex

*Олег*, 
http://virusinfo.info/virusdetector/...BAC4447A023934 MD5 зловреда отличается от результатов проверки https://www.virustotal.com/ru/file/8...is/1374655935/ (Дополнительные сведения)
Такой же MD5, как на Вирустотал, показывает и плагин для Total Commander

----------


## Зайцев Олег

> *Олег*, 
> http://virusinfo.info/virusdetector/...BAC4447A023934 MD5 зловреда отличается от результатов проверки https://www.virustotal.com/ru/file/8...is/1374655935/ (Дополнительные сведения)
> Такой же MD5, как на Вирустотал, показывает и плагин для Total Commander


Посмотрел карантин - там файл с MD5=CD1DD155144F6093E554CD0623D9E667
Загрузил его на VT - https://www.virustotal.com/ru/file/f...is/1374951217/ 
Так что в плане анализа карантина и расчета хешей в системе кибера все верно получается. Стоит проверить, какой именно файл проверялся - из x64 или x32 папки ?

*Добавлено через 2 минуты*




> AVZ неправильно определяет состояние восстановления системы на Windows 7. Отключаем, перезагружаем - AVZ всё равно показывает, что включёно. Проверял на последней версии полиморфа, просто скрин взял старый.
> 
> Скрытый текст
> Скрыть
> 
> ЗЫ. за обнаружение бага спасибо _glax24_


Глюк подтверждаю. Есть данные, какой параметр реестр следует читать, чтобы корректно определять ? (чтобы мне не искать)

*Добавлено через 46 секунд*




> *Зайцев Олег*, 
> просьба по интерфейсу работы с карантином средствами самого AVZ.
> В статусной строке выдается количество файлов и их общий размер в указанной папке карантина. При операциях с отдельными файлами, например, разбивке большого архива для отправки (http://virusinfo.info/showthread.php?t=111186), желательно видеть общий размер файлов, выделенных вручную в этом списке.
> Сейчас лимит по объему файла увеличили, но разбивка большого архива на несколько томов может понадобиться.


Может, лучше автоматическую разбивку сделать ?

----------


## thyrex

> Посмотрел карантин - там файл с MD5=CD1DD155144F6093E554CD0623D9E667


Странно, конечно.
Но я предварительно просил пользователя вручную прислать файл http://virusinfo.info/showthread.php...=1#post1021118
Результат http://upload.virusinfo.info/show_an...topicid=142340
Его я и отсылал на Virustotal

Опять же http://virusinfo.info/virusdetector/...BAC4447A023934 файлы в разных папках - MD5 одинаков

----------


## andrey_k

> Может, лучше автоматическую разбивку сделать ?


Автомат, думаю, не стоит - важнее иметь возможность вручную отбирать файлы в карантине для отправки, но крайне полезно видеть их суммарный объем.
Бывает полезно создать тома с индивидуальным набором файлов (файлы одной ветки папок, одного пакета программ, например, обновление 1С, антивируса и т.п.) - так удобнее потом результаты загрузки карантина видеть.

Автомат с указанием желательного размера тома может пригодиться пользователям скоростного соединения, т.к. лимиты сейчас на VI подняли до вменяемых величин.
Одновременная закачка нескольких томов параллельными задачами прямо пропорционально ускоряет загрузку карантина на портал. Точных цифр не помню, но у меня получалось порядка 5 закачек сразу со скоростью каждой около 200-250кбайт/сек каждой (видимо, стоит лимит максимальной скорости), т.е. общая скорость загрузки была выше 1мбайт/сек, что для архива общим размером 100-140Мб неплохо. Сравнение с "базовым" способом загрузки - единым архивом со скоростью 250кбайт/сек - явно в пользу многотомного карантина.

----------


## glax24

> Глюк подтверждаю. Есть данные, какой параметр реестр следует читать, чтобы корректно определять ? (чтобы мне не искать)


Как то так

Скрытый текст




Скрыть

----------


## Vvvyg

AVZ 4.41 со свежими базами не увидел задания планировщика: http://virusinfo.info/showthread.php?t=144246

----------

*thyrex*

----------


## regist



----------


## regist

В справке AVZ по команде syscleancleanfileslist в примере скрипт для команды SysCleanAddFile.

----------


## NRA

Уважаемые, ошибся с веткой, так что на всякий случай повторюсь здесь:
1) сабж 4.41 со свежими обновлениями (+ AVZPM драйвер)
2) win-7 Домашняя расширенная х32
 3) при проверке выдаёт кучу помены PID 
Скрытый текст



Информация
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=272, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 272)
Маскировка процесса с PID=352, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 352)
Маскировка процесса с PID=448, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 448)
Маскировка процесса с PID=856, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 856)
Маскировка процесса с PID=1072, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1072)
Маскировка процесса с PID=1432, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1432)
Маскировка процесса с PID=1488, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1488)
Маскировка процесса с PID=1504, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1504)
Маскировка процесса с PID=1540, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1540)
Маскировка процесса с PID=2392, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2392)
Маскировка процесса с PID=2656, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2656)
Маскировка процесса с PID=2728, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2728)
Маскировка процесса с PID=2740, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2740)
Маскировка процесса с PID=2748, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2748)
Маскировка процесса с PID=2776, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2776)
Маскировка процесса с PID=2824, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2824)
Маскировка процесса с PID=2884, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2884)
Маскировка процесса с PID=2996, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2996)
Маскировка процесса с PID=3004, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3004)
Маскировка процесса с PID=3260, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3260)
Маскировка процесса с PID=3496, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3496)
Маскировка процесса с PID=3716, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3716)
Маскировка процесса с PID=3724, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3724)
Маскировка процесса с PID=3736, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3736)
Маскировка процесса с PID=3744, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3744)
Маскировка процесса с PID=3768, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3768)
Маскировка процесса с PID=3780, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3780)
Маскировка процесса с PID=3836, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3836)
Маскировка процесса с PID=3880, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3880)
Маскировка процесса с PID=3912, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3912)
Маскировка процесса с PID=3940, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3940)
Маскировка процесса с PID=3960, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3960)
Маскировка процесса с PID=3972, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3972)
Маскировка процесса с PID=4076, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4076)
Маскировка процесса с PID=4084, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4084)
Маскировка процесса с PID=2016, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2016)
Маскировка процесса с PID=3648, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3648)
Маскировка процесса с PID=3508, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3508)
Маскировка процесса с PID=2392, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2392)
Маскировка процесса с PID=3428, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3428)
  Поиск маскировки процессов и драйверов завершен

Скрыть
4) AVPTool/CureIT молчат

*ВОПРОС*: это особенности вынь-7 или в "Помогите, люди добрые"?

----------


## Vvvyg

*NRA*, на системах от Vista и новее, даже 32-битных, AVZPM реально не работает. Точнее, на Vista иногда работает, возможно, от версии сервис-пака зависит, мало статистики.

----------


## regist

*NRA*, ещё раз повторюсь. Проверьте AVZPM включён или нет? Подозреваю, что да, а это следствие, того что вручную начали шаманить в настройках.

----------


## NRA

> 1) сабж 4.41 со свежими обновлениями *(+ AVZPM драйвер)*


Да, драйвер установлен, работает под админом, но в чём конкретно проблема?

И не совсем понятно насчёт 


> следствие, того что вручную начали шаманить в настройках

----------


## regist

> Да, драйвер установлен, работает под админом, но в чём конкретно проблема?


Это особенность работы драйвера на этой системе, так что это нормально.



> И не совсем понятно насчёт


Это означает, что по умолчанию все настройки выставлены оптимально для сканирования и менять их не стоит. Менять нужно только по необходимости и при этом понимать к чему приведёт изменение той или иной опции.

Удалите AVZPM и скорее всего маскировка пропадёт.

- - - Добавлено - - -




> Да, драйвер установлен, работает под админом, но в чём конкретно проблема?


Это особенность работы драйвера на этой системе, так что это нормально.



> И не совсем понятно насчёт


Это означает, что по умолчанию все настройки выставлены оптимально для сканирования и менять их не стоит. Менять нужно только по необходимости и при этом понимать к чему приведёт изменение той или иной опции.

Удалите AVZPM и скорее всего маскировка пропадёт.

----------


## regist

Просьба поддержку горячих клавиш в окне выполнения скрипта, в частности комбинация *Ctrl+A*

----------


## regist

На windows 7 x64

Выполняю скрипт:



```
begin
 clearlog;
 ExecuteFile('notepad.exe', '', 1,500, false);
 sleep(10);
 TerminateProcessByName('notepad.exe'); 
end.
```

Всё отрабатывает нормально. Запускается блокнот, через десять секунд он закрывается.

Теперь запускаю блокнот (notepad.exe) самостоятельно - не скриптом.
Выполняю скрипт 


```
begin
 TerminateProcessByName('notepad.exe');
end.
```

Блокнот остаётся открыт. Пробовал и полный путь к файлу указывать и по PID его завершать, но AVZ похоже его не видит. Даже пробовал 


```
begin
SetupAVZ('X64R=NN');    
 TerminateProcessByName('notepad.exe');
end.
```

блокнот не закрывается. 
Проверил на нескольких системах с х64.

----------


## regist

> через неделю новая сборка выйдет, в ней будет пофикшено (я собираю мелкие баги, которые неизбежны и правлю их).


Неделя уже давно прошла, исправлений вроде тоже набролось достачно когда наконец выйдет исправленный релиз AVZ?

Тем более текущая полиморфная версия http://z-oleg.com/avz_mini.exe не работает. Запускаешь её, в процессах она появляется а выглядит, а в остальном как-будто её и не запускали  :Furious3: 

+ http://forum.kaspersky.com/index.php...post&p=1790531



> В новой версии появится архивация и разархивация произвольных файлов





> плюс будет функция запроса информации о базах


обе эти две фичи тоже очень пригодились бы.

- - - Добавлено - - -




> Тем более текущая полиморфная версия http://z-oleg.com/avz_mini.exe не работает.


на всякий случай хеши
MD5 = 8B3F1E74933CE31031A6EC2D441CEC3B
SHA-1 = A4699F73FC13B66E043B3625D8A64A90DA1ADA5B
SHA-256 = 6F00238FDF95C5F22B4A9C1B07664FEFFCAAF70A979CC414E9  5AB19D2BAA609B

----------


## Зайцев Олег

> Тем более текущая полиморфная версия http://z-oleg.com/avz_mini.exe не работает. Запускаешь её, в процессах она появляется а выглядит, а в остальном как-будто её и не запускали 
> 
> + http://forum.kaspersky.com/index.php...post&p=1790531
> 
> 
> обе эти две фичи тоже очень пригодились бы.
> 
> - - - Добавлено - - -
> 
> ...


Обновил, сейчас полиморф должен нормально работать

----------


## Vvvyg

Олег, mini-версия, похоже, совсем без баз?

----------


## regist

> Обновил, сейчас полиморф должен нормально работать


*Зайцев Олег*, в полиморфе уже довольно много накопилось исправлений, только при обычной работе в Помогите используется, не полиморф, так что эти исправления не заметны. Когда будет обновление обычной версии?

- - - Добавлено - - -




> блокнот не закрывается. 
> Проверил на нескольких системах с х64.


и этот баг подтверждаете? Можно его как-нибудь через редирект или ещё как-то обойти?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## regist

http://forum.kaspersky.com/index.php...post&p=2064048



> Полиморф обновлен, в нем чистка и отображение этой ветки должны работать


Скачал сегодня свежую версию полиморфа ни в лог, ни в диспетчере автозапуска эта информация не выводится.

+ заодно ещё пожелание. Добавить в диспетчер автозапуска кнопку скрыть файлы (строки) прошедшие по базе безопасных AVZ.

----------

andrey_k

----------


## Vvvyg

Олег, ошибка, которая на которую чаще всего приходится натыкаться, в текущем полиморфе так и не исправлена.
Задания старого типа, с расширением .job и на 32-битных, и на x64 системах находятся в папке *%SystemRoot%\Tasks*, и нигде иначе. Поэтому в скрипте каждый раз приходится править руками удаление таких заданий, которое в скрипт вставляется с путём *%SystemRoot%\System32\Tasks*.

Ну и иногда бывают проблемы с парсингом путей к файлам в заданиях.

----------


## regist

*Зайцев Олег*, нельзя ли добавить, что бы AVZ кроме hosts файла (без расширения) также проверял файл  *hosts.ics* 
Пример темы, где это было нужно http://virusinfo.info/showthread.php?t=150676&page=3

----------

shestale

----------


## Vvvyg

Ещё по поводу заданий. В последнее время появился вариант подмены DNS с помощью такого задания:


```
"wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)
```

Т. к. файл C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE проверенный, задание в логах не отражается.

----------

*mike 1*,  *mrak74*,  *regist*,  shestale,  *Techno*

----------


## regist

Сегодня с обновлением баз в AVZ появилась новая эвристика и теперь в текстовом логе есть такая запись



> 7. Эвристичеcкая проверка системы
> >>> Подозрение на троянский DNS ({C3971746-8620-418F-B26B-03283928D8DB} "Local Area Connection")


только проблема описанная в предыдущем посте всё равно актуальна. Эти троянские DNS и до этого было видно в логе  hijackthis, проблема заключается в том что не видно задания, которые восстановливают эти троянские DNS после фикса

----------


## regist

*Зайцев Олег*, если для написания эвристики для детекта этих заданий нужна примеры этих заданий, то вот темы с карантинами
http://virusinfo.info/showthread.php?t=151766
http://virusinfo.info/showthread.php?t=151770
http://virusinfo.info/showthread.php?t=151937
Если нужно можно собрать более большой список тем (карантинов).

----------


## regist

имя файла в задание не распарсилось.

----------


## Vvvyg

> имя файла в задание не распарсилось.


Интересно было бы посмотреть, как это в полиморфе выглядит, там есть некоторые сдвиги в сторону улучшения. Но уже поздно. Хотя, можно и смоделировать...

----------


## antanta

Добрый день. Пытаюсь запустить из командной строки полиморф с параметром HiddenMode=3. Игнорируется. Через CreateProcess тот же результат. При этом многострадальный Notepad.exe успешно запускается невидимым.  Интересно, это баг или фича?

В версии 4.41 (с офсайта, не упакована) проверил работу функции DownloadFile. Если файла на сервере нет (или пытаемся подключиться через https), функция возвращает true, даже создается файл с названием из второго параметра. Вот часть содержимого:

```
<!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head><!-- hotfix-13-5.201312261153 / cloud.mail.ru-f-hotfix-
```

 То есть, MD5 лучше проверять.

----------


## Зайцев Олег

> Добрый день. 
> 1. Пытаюсь запустить из командной строки полиморф с параметром HiddenMode=3. Игнорируется. Через CreateProcess тот же результат. При этом многострадальный Notepad.exe успешно запускается невидимым.  Интересно, это баг или фича?
> 
> 2. В версии 4.41 (с офсайта, не упакована) проверил работу функции DownloadFile. Если файла на сервере нет (или пытаемся подключиться через https), функция возвращает true, даже создается файл с названием из второго параметра. Вот часть содержимого:
> 
> ```
> <!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head><!-- hotfix-13-5.201312261153 / cloud.mail.ru-f-hotfix-
> ```
> 
>  То есть, MD5 лучше проверять.


1. Проверю, скорее все баг
2. Это особенность многих WEB серверов - вместо выдачи кода "файл не найден" они отвечают кодом 200 и выдают текстовую страничку с сообщением о том, что файл не найден или по каким-то причинам его невозможно загрузить. Поэтому проверка сигнатур, MD5 и так далее - единственный путь убедиться в загрузке файла. Если файл меняется, можно положить на сервере 2 файла - один текстовый с MD5 суммой второго.

----------


## mike 1

Олег а что с решением бага планировщика заданий? Хотелось бы чтобы в логе отображались все задания.

----------


## Зайцев Олег

> Олег а что с решением бага планировщика заданий? Хотелось бы чтобы в логе отображались все задания.


Полиморф обновлен, можно пробовать - должен отображать

----------


## regist

Если в логе (в название программы или в учётной записи) есть символ *&* то XML получается битый. Вот пример лога, проверял на свежем полиморфе. Вариант фикса - экранировать этот символ таким образом *&amp;*

- - - Добавлено - - -

этот баг с х64 системой перепроверил тоже актуален. А также встречается, что AVZ не может взять в карантин файл на х64 системах.

----------


## Vvvyg

> Полиморф обновлен, можно пробовать - должен отображать


Отображает, уже хорошо. Только по заданию старого типа: *c:\Windows\Tasks\At1.job* при нажатии "Удалить" в логе генерит код:

```
 DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
```

Игнорирует такой код, запускаемый через ярлык в папке автозапуска:

```
C:\Windows\System32\cmd.exe /c copy "c:\Users\User\AppData\Local\Temp\dbif" "C:\Windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\Windows\system32\drivers\etc\hosts"
```

Реально попался такой ярлык, караннтинил по логу HijackThis.

Хелперы уже привыкли, а вот юзеров напрягают такого рода записи в логах:

```
C:\Windows.old\Windows\Installer\92a6c1.msi/{MS-OLE}/\38 >>>>> Trojan.BAT.DelSys.ak
```

Ясно, что ложное срабатывание сигнатуры, причём .msi файлы вообще, имхо, надо исключить из такой проверки. При всём при том, данные "инфицированного" файла, когда именно не подозрение, а точное срабатывание, вообще отсутствуют в xml-ном логе, и нельзя проверить по MD5  :Sad: 
И есть несколько сигнатур, кроме вышеупомянутой, по которым я ничего кроме фолсов не встречал:

Trojan.Win32.Agent2.byu - особенно часто;
Backdoor.Win32.Canvas.10
Trojan.Win32.Menti.exn и Trojan.Win32.Delf.* - срабатывают на .exe, сделанные Delphi какой-то версии;

И просьба, пока не забыл: раз уж в логе раздел называется "Диагностика сети" - "DNS & Ping" было бы очень неплохо там видеть DhcpNameServer для активного сетевого интерфейса, нужно в случае подмены DNS на роутере.

----------


## Зайцев Олег

> 1. Отображает, уже хорошо. Только по заданию старого типа: *c:\Windows\Tasks\At1.job* при нажатии "Удалить" в логе генерит код:
> 
> ```
>  DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
> ```
> 
> 2. Игнорирует такой код, запускаемый через ярлык в папке автозапуска:
> 
> ```
> ...


1. Да, есть такой глюк (там нет разницы между старыми и новыми заданиями, придумаю что-то ...
2. Новый парсер не был подключен в всем подсистемам (в частности в анализаторе LNK/PIF файлов его не было). Постепенно это исправляется, в автозапуске прикрутил его всюду. Обновление полиморфа будет сегодня-завтра, я уже проверил, все ловится как положено (правда на всех таких вариантах кода он "расщепляется" - будет он целиком как подозрительный, плюс отдельно будут результаты парсинга (на указанном примере C:\Windows\System32\cmd.exe  - легитимный, плюс c:\Users\User\AppData\Local\Temp\dbif и C:\Windows\system32\drivers\etc\hosts)
3. После 16:00 пройдет обновление баз, должно исправиться. 
4. После пинга этого не будет. А будет так - перечень всех активных интерфейсов с детальными данными по каждому. Так пойдет ?

*Добавлено через 21 минуту*




> 1. Если в логе (в название программы или в учётной записи) есть символ *&* то XML получается битый. Вот пример лога, проверял на свежем полиморфе. Вариант фикса - экранировать этот символ таким образом *&*
> 
> - - - Добавлено - - -
> 
> 2. этот баг с х64 системой перепроверил тоже актуален. А также встречается, что AVZ не может взять в карантин файл на х64 системах.


1. Именно так оно и сделано - *&* экранируется по правилам XML. Только не всюду включено, мог где-то пропустить. В указанном примере это был параметр ProfileDir в корневом теге (пофиксил) 
2. Багу с остановкой процесса на x64 Win7 пофиксил

*Добавлено через 12 минут*

Полиморф обновлен, можно пробовать (исправлены: баг с формированием XML, остановкой процесса на x64, парсинг LNK, путь к заданию в генерилке скрипта, сигнатруные фолсы)

----------


## Vvvyg

> 4. После пинга этого не будет. А будет так - перечень всех активных интерфейсов с детальными данными по каждому. Так пойдет ?


Увидим - поймём  :Wink:  Жду извещение об обновленном полиморфе.

- - - Добавлено - - -

По парсингу заданий: сбоит на некоторых заданиях со сложной строкой запуска. Из такой задачи 
Вложение 460440

получились два задания с одним именем:
Вложение 460438

Командная строка *C:\Windows\system32\lldp.cpl -a C:\Windows\system32\lldp.cpl* - явно лишняя.

Ну и задание *C:\Windows\system32\pcalua.exe -a "C:\Program Files\remoteAP\install_language_20070228.exe" -d "C:\Program Files\remoteAP"* тоже раздуплилось. Понятно, что "C:\Program Files\remoteAP" можно в принципе рассматривать, как запускаемую программу, но дважды...

----------


## Зайцев Олег

> 1. Увидим - поймём  Жду извещение об обновленном полиморфе.
> 2. По парсингу заданий: сбоит на некоторых заданиях со сложной строкой запуска. Из такой задачи


1. Обновил, можно пробовать
2. Глюк парсера (там лишний проход был). Поправил, сейчас должно работать нормально

----------


## regist

> правда на всех таких вариантах кода он "расщепляется" - будет он целиком как подозрительный, плюс отдельно будут результаты парсинга (на указанном примере C:\Windows\System32\cmd.exe  - легитимный, плюс c:\Users\User\AppData\Local\Temp\dbif и C:\Windows\system32\drivers\etc\hosts)


надеюсь пути содержащие пробел не будут разбиваться, как это происходит в текущей версии? Например если путь будет


```
C:\Documents and Settings\User\Application Data\Local\Temp\dbif
```

не будет ли он разбиваться на 


```
C:\Documents and Settings\User\Application
```

и 


```
Data\Local\Temp\dbif
```


*Зайцев Олег*, а по этим пунктам есть изменения или это пока не реализовывали?
http://forum.kaspersky.com/index.php...post&p=1790531



> В новой версии появится архивация и разархивация произвольных файлов 
>  плюс будет функция запроса информации о базах


AVZ стал показывать отключённый автозапуск (SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\) 

По автозапуску было бы ещё хорошо



> ещё пожелание. Добавить в диспетчер автозапуска кнопку скрыть файлы (строки) прошедшие по базе безопасных AVZ.


- - - Добавлено - - -

И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку *Прервать работу скрипта*. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.

----------


## Зайцев Олег

> 1. надеюсь пути содержащие пробел не будут разбиваться, как это происходит в текущей версии? 
> 2. По автозапуску было бы ещё хорошо "ещё пожелание. Добавить в диспетчер автозапуска кнопку скрыть файлы (строки) прошедшие по базе безопасных AVZ."
> 
> 3. И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку *Прервать работу скрипта*. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.


1. разрывать не должен. Там и защита от разрыва стандартных путей есть, и корректно оформленный путь (кавычки и т.п.) должен распознаваться как надо. А вот если папки нет на диске, то разрыв может быть (парсер то не понимает, что этого каталога просто нет)
2. Полиморф обновлен, в диспетчере автозапуска в правом верхнем углу кнопка, если она утоплена, то чистые файлы исключаются из списка. Кнопка работает совместно с выбором категории слева (т.е. фильтр и по чистым, и по категории)
3. Нужна командная строка запуска, посмотрю

----------


## regist

> 3. Нужна командная строка запуска, посмотрю




```
RunProgram="\"%%S\\TestAVZ\\avz.exe\" Script=test.txt HiddenMode=0"
```

При запуске батником ситуацию воспроизвести мне не удалось, поэтому прикрепил само-распаковывающий архив.

При запуске батника на 7 х64 следующего содержания


```
avz.exe HiddenMode=0 Script=test.txt
```

Просто двойным кликом AVZ запускается и работает нормально, при запуске ПКМ от имени админа, не видно чтобы AVZ вообще запустился  :Huh: .
Разумеется все файлы лежат рядом с AVZ.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Vvvyg

> 2. Глюк парсера (там лишний проход был). Поправил, сейчас должно работать нормально


Угу, подтверждаю.

----------


## regist

http://z-oleg.com/secur/avz_doc/inde...pt_sleepms.htm
Опечатка и в онлайн версии и в CHM файле

procedure SleepM*S*(AInterval : integer);


Пример:



```
begin
AddToLog('Выполняем задержку на 300 миллисекунд');
SleepMD(300);
AddToLog('300 секунд прошли, продолжаем работу');
end.
```

- - - Добавлено - - -




> 1. разрывать не должен. Там и защита от разрыва стандартных путей есть, и корректно оформленный путь (кавычки и т.п.) должен распознаваться как надо. А вот если папки нет на диске, то разрыв может быть (парсер то не понимает, что этого каталога просто нет)


Вот лог сделанный версией утилиты AVZ версии 4.42.144 private build
Видно, что пути разорваны

Скрытый текст
Скрыть

При этом папка и файл 


```
C:\Program Files (x86)\AnVir Task Manager\anvir.exe
```

в системе присутствует.
А путь к 

```
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
```

как я понимаю по XML логу оформлен в кавычки, по крайней мере в XML логе они дважды (кстати это нормально, что они дважды?)


```
<ITEM File="C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" CheckResult="-1" Enabled="0" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows\CurrentVersion\Run-" X3="SunJavaUpdateSched" X4=""C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"" Is64="0"/>
```



```
X4=""C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe""
```

Также эта версия разбила строку в секции автозапуска


```
C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe
```

Хотя обычная версия (не полиморфная) вывела её нормально.

UPD/ из логов этой темы.

----------


## Зайцев Олег

> Опечатка и в онлайн версии и в CHM файле


Исправил, при очередном апдейте обнвится



> X4=""C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe""


Если это обычная кавычка - то она конечно должна быть заменена по правилам XML. Можно экспортнуть этот ключ, хочу посмотреть, в чем там дело

----------


## regist

Извиняюсь, забыл вставить ссылку на тему откуда логи.  



> Если это обычная кавычка - то она конечно должна быть заменена по правилам XML. Можно экспортнуть этот ключ, хочу посмотреть, в чем там дело


Это из секции планировщика задач, можно попросить чтобы юзер прикрепил задание.

----------


## Зайцев Олег

> Извиняюсь, забыл вставить ссылку на тему откуда логи.  
> 
> Это из секции планировщика задач, можно попросить чтобы юзер прикрепил задание.


Если не трудно ... дело в том, что в коде AVZ значения параметров X1-X4 влоб кодируется перед помещением в XML лог (т.е. *"* должна превратиться в *&quot;* без вариантов)

----------


## Vvvyg

Олег, а "Adware/Toolbar/Browser hijacker Remowal" в "Мастере поиска и устранения проблем" полиморфа - это пока только stub?

----------


## Зайцев Олег

> Олег, а "Adware/Toolbar/Browser hijacker Remowal" в "Мастере поиска и устранения проблем" полиморфа - это пока только stub?


Это заготовка. Суть этого визарда - оказание помощи в удалении всяких немалварных приблуд, типа тулбаров, разных редиреторов и т.п. (а для лога такой визард может делать акцент, что у юзера установлены какие-то характерные Adware или дополнения). Если есть мысли, какие подобные компоненты включить в этот визард - включу приоритетно. Более того, есть мысль в AVZ сделать вывод всех аддонов для популярных браузеров в лог - для решения сложно детектируемых проблем, когда скажем ничего злобного вроде нет, а глюки - есть.

----------


## Vvvyg

> Если есть мысли, какие подобные компоненты включить в этот визард - включу приоритетно.


Мыслей много, надо упорядочить...




> Более того, есть мысль в AVZ сделать вывод всех аддонов для популярных браузеров в лог - для решения сложно детектируемых проблем, когда скажем ничего злобного вроде нет, а глюки - есть.


 Давно пора, а то IE давно уже мало кто использует, по крайней мере, среди клиентов "Помогите"  :Wink:  Приходится то, что не нашёл MBAM и AdwCleaner, подчищать, например, OTL. Кстати, Opera относится к "популярным браузерам"? По  ней совсем плохо, практически нет утилит, чтобы увидеть её расширения и стартовые страницы...

----------


## regist

1) По поводу двойных (не экранированных) кавычек вот ещё один лог взят отсюда. Смотрим на CmdLine у AVZ 


```
<ITEM PID="424" File="c:\avz.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\avz.exe" " Size="9290240" Attr="rsAh" CreateDate="07.02.2014 14:46:58" ChangeDate="07.02.2014 14:48:58" MD5="90030F6396891FE65737B4697D92FD25" IsPE="1"
```

2) Протестировал у себя, у меня нормально экранируется 


> CmdLine="&quot;


, но заметил другую вещь ("NUL" символ) из-за этого также происходит ошибка парсинга XML лога.


мой лог тут.

3) DeleteFileMask



> Выполняет поиск и удаление файлов в папке ADir, имена которых соответствуют маске  AMask. Параметр ARecurse управляет отработкой вложенных каталогов - если ARecurse = true, то будет выполнен рекурсивный обход папок начиная от заданной и в каждой из папок будет выполнен поиск и удаление файлов по маске AMask. *После завершения обработки папки в данном случае производится проверка, остались ли в ней файлы - если файлов не осталось, то папка автоматически удаляется.*


Уже давно папка не удаляется, даже если папка изначально была пустой и приходится дополнять командой DeleteDirectory.
Думаю стоит либо внести поправку в справку, либо лучше будет если AVZ будет удалять эту папку если она пустая.

4) http://z-oleg.com/secur/avz_doc/inde...grootnames.htm



> В именовании разделов допустимы следующие строки:
> 
> 'HKEY_LOCAL_MACHINE', 'HKLM' для HKEY_LOCAL_MACHINE
> 
> 'HKEY_CLASSES_ROOT', 'HKCR' для HKEY_CLASSES_ROOT
> 
> 'HKEY_CURRENT_USER', 'HKCU' для HKEY_CURRENT_USER
> 
> 'HKEY_CURRENT_CONFIG', 'HKCC' для HKEY_CURRENT_CONFIG
> ...


можно узнать в чём провинился HKEY_USERS и почему его нельзя сокращённо указывать?  :Smiley:

----------


## regist

5) В секции <IE_Setup> похоже также не экранируется, сам лог тут.


```
 <IE_Setup>
  <Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="AutoConfigURL" VAL="" />
  <Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="AutoConfigProxy" VAL="wininet.dll" />
  <Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="ProxyOverride" VAL="<local>;*.local" />
  <Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="ProxyServer" VAL="" />
 </IE_Setup>
```

VAL="*<*local*>*;*.local"

6) Как будет происходить чистка в визарде для удаления адвари? Там будет заранее составленный список файлов и ключей реестра, которые надо удалить или будет какая-то эвристика?  Насколько тщательно будут вычищаться хвосты адвари? Например после удаления webalta при поиске в реестре 



> Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите  _webalta_, нажмите "начать поиск", сохраните протокол и выложите в ответ.


обычно находится пара тысяч ключей созданных ей.
Насколько понимаю там также будет разный уровень "адварности" для удаления? Например вы писали, что Mail.ru также попадёт в список этого визарда, а некоторые им пользуются.

7) Можно добавить в AVZ новую команду (или может такая уже есть?) для дебага ? То есть чтобы если активировали этот режим, то AVZ сразу записывало в текстовый файл, всё что выводится в протокол (нижнюю часть главного окна AVZ). Если во время выполнения скрипта или ещё чего-то AVZ вылетит с ошибкой, то можно будет понять на каком именно месте оно вылетает с ошибкой.

----------


## Зайцев Олег

> 57) Можно добавить в AVZ новую команду (или может такая уже есть?) для дебага ? То есть чтобы если активировали этот режим, то AVZ сразу записывало в текстовый файл, всё что выводится в протокол (нижнюю часть главного окна AVZ). Если во время выполнения скрипта или ещё чего-то AVZ вылетит с ошибкой, то можно будет понять на каком именно месте оно вылетает с ошибкой.


Параметр командной строки SpoolLog=log.txt задает дублирование лога в файл с заданным именем

*Добавлено через 2 минуты*




> 6) Как будет происходить чистка в визарде для удаления адвари? Там будет заранее составленный список файлов и ключей реестра, которые надо удалить или будет какая-то эвристика?  Насколько тщательно будут вычищаться хвосты адвари? Например после удаления webalta при поиске в реестре 
> 
> обычно находится пара тысяч ключей созданных ей.
> Насколько понимаю там также будет разный уровень "адварности" для удаления? Например вы писали, что Mail.ru также попадёт в список этого визарда, а некоторые им пользуются.


Логика чистки может быть любой, сколь угодно сложной (технически это скрипт AVZ, так что все реализуемое ксриптом доступно). Запуск и удаление - только вручную, по желанию пользователя. Предположительно стоит делать такую фичу для компонент, которые ставятся скрытно с каким-либо ПО и пользователь потом с удивлением обнаруживает это, не зная, откуда оно и с чем поставилось

*Добавлено через 2 минуты*




> 5) В секции <IE_Setup> похоже также не экранируется, сам лог тут.


Проверил, это новый функционал, там экранирования не было, что является багой ... пофиксил

*Добавлено через 5 минут*




> 4) http://z-oleg.com/secur/avz_doc/inde...grootnames.htm
> можно узнать в чём провинился HKEY_USERS и почему его нельзя сокращённо указывать?


Редко употребляемый в скриптах ключ, с коротким именем. Добавил возможность использования сокращенного наименования HKUS)

*Добавлено через 2 минуты*




> 3. Думаю стоит либо внести поправку в справку, либо лучше будет если AVZ будет удалять эту папку если она пустая.


Поправлю инструкцию. Удаление папки плохо тем, что на ней могут стоять какие-то специфические привилегии. Убем папку - потеряем привилегии, а это не всегда хорошо. Второй момент - далек не всегда правильно удалять пустую папку, например TEMP чистить нужно, а удалять - не очень правильно

*Добавлено через 3 минуты*




> 2) Протестировал у себя, у меня нормально экранируется , но заметил другую вещь ("NUL" символ) из-за этого также происходит ошибка парсинга XML лога.
> 
> мой лог тут.


Пофиксил. Символ с кодом 0x00 будет заменяться при помещении в XML на пробел

*Добавлено через 1 минуту*




> 1) По поводу двойных (не экранированных) кавычек вот ещё один лог взят отсюда. Смотрим на CmdLine у AVZ 
> 
> 
> ```
> <ITEM PID="424" File="c:\avz.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\avz.exe" " Size="9290240" Attr="rsAh" CreateDate="07.02.2014 14:46:58" ChangeDate="07.02.2014 14:48:58" MD5="90030F6396891FE65737B4697D92FD25" IsPE="1"
> ```


Скорее всего это уже пофикшенная - в коде AVZ маскирование этого параметра есть, у меня на тесте тоже не воспроизвелось

----------


## regist

1) 


> Параметр командной строки SpoolLog=log.txt задает дублирование лога в файл с заданным именем


Оказывается этот параметр, а также протестировал QuarantineBaseFolder (возможно и остальные ключи запуска) не работают в последнем полиморфе. Это баг или фича?  :Smiley: 
2) 


> Запуск и удаление - только вручную, по желанию пользователя.


А скриптом это нельзя будет удалить? 
По поводу webalta вот частный случай экспорта ключей реестра от неё, хотелось бы чтобы все они вычищались. А также может стоит дополнить чистку командой  ExecuteRepair(4); ? 
3)


> Поправлю инструкцию.


заодно тогда напомню про 


> В справке AVZ по команде syscleancleanfileslist в примере скрипт для команды SysCleanAddFile.


Кстати ссылка имеет адрес


```
http://z-oleg.com/secur/avz_doc/index.html?script_syscleancleanfileslist.htm
```

а команда SysClean*Del*FilesList - это специально из-за того, что слишком длинный адрес получается или опечатка?
4) Ещё хотелось бы напомнить 


> нельзя ли добавить, что бы AVZ кроме hosts файла (без расширения) также проверял файл  hosts.ics 
> Пример темы, где это было нужно http://virusinfo.info/showthread.php?t=150676&page=3


5) Ещё AVZ не всегда хватает прав для удаления прав ветки реестра, вот вот один из примеров. Может правда в данном случае причина, в том что использовалось RegKey*Param*Del ? 


> функции *RegKeyDel* и DeleteService автоматически *вызывают RegKeyResetSecurity* в случае необходимости.


6) 


> Скорее всего это уже пофикшенная - в коде AVZ маскирование этого параметра есть, у меня на тесте тоже не воспроизвелось


Да вроде номер билда у меня тот же 4.42.144 private build, что и в логе из той темы. Может тогда ещё раз обновите полиморф, чтобы тестировать со всеми последними исправлениями?

----------


## regist

7) Открываем -Сервис -> Менеджер авто-запуска - переходим к какому-то ключу реестра -> ПКМ открыть в regedit - открывается просто regedit, а как понимаю дерево должно быть развёрнуто на том ключе на котором мы нажали.
Потом опять в менеджере автозапуска щёлкаем ПКМ на ключе - поиск в Rambler - в строку поиска в конце параметра дописывается *&where=1* например 


```
C:\WINDOWS\System32\cscui.dll&where=1
```

+ Там в столбике параметров отображается только запускаемы файл без дополнительных параметров, к примеру 


```
"C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr
```

В AVZ отображается только


```
C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
```

+ пожелание если можно добавить автоматическое расширение ширина столбца на длину самого длинной строки при двойном клике на границы столбиков.

тестировал на XP

----------


## Sandor

Заметил синтаксическую ошибку в справке (и в локальной и в он-лайн версиях). Раздел Подсистема AVZPM - О технологии:




> собранные драйвером данные применя*е*тся для поиска маскирующихся процессов и драйверов


Должно быть:



> собранные драйвером данные применя*ю*тся для поиска маскирующихся процессов и драйверов

----------


## Vvvyg

> При запуске батника на 7 х64 следующего содержания
> 
> 
> ```
> avz.exe HiddenMode=0 Script=test.txt
> ```
> 
> Просто двойным кликом AVZ запускается и работает нормально, при запуске ПКМ от имени админа, не видно чтобы AVZ вообще запустился .
> Разумеется все файлы лежат рядом с AVZ.


Баг подтверждаю.

----------


## regist

1) При попытке прочитать с какими параметрами был запущен AVZ он не возвращает параметр NewDsk. Можно проверить запустив AVZ с параметром командной строки  NewDsk=Y и выполнив скрипт


```
begin
 AddToLog(GetParamByName('NewDsk'));
end.
```

в лог добавляется пустая строка.

2) Импортируем в реестр такой ключ


```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVZ"="\"C:\\Test\\AVZ\\avz.exe\" Script=\"C:\\Test\\AVZ\\Script2.txt\" HiddenMode=0 spoollog=test-log.txt"
```

После запуска AVZ отчёт _test-log.txt_ создаётся в _%USERPROFILE%_  - тестировал на XP.

3) Просьба добавить поддержку комбинации горячих клавиш Ctrl + A в окне выполнения скрипта AVZ.

----------


## Зайцев Олег

> 1) При попытке прочитать с какими параметрами был запущен AVZ он не возвращает параметр NewDsk. Можно проверить запустив AVZ с параметром командной строки  NewDsk=Y и выполнив скрипт
> 
> 3) Просьба добавить поддержку комбинации горячих клавиш Ctrl + A в окне выполнения скрипта AVZ.


1. Так и было задумано. Указание этого ключа приводит к тому, что создается новый десктоп, на нем - AVZ без параметра NewDsk
3. Изменил, добавил попутно редактор с подсветкой синтаксиса
Полиморф обновлен, можно пробовать.

*Добавлено через 14 минут*




> Заметил синтаксическую ошибку в справке (и в локальной и в он-лайн версиях). Раздел Подсистема AVZPM - О технологии:
> 
> 
> Должно быть:


Пофиксил

*Добавлено через 5 минут*




> 2) Импортируем в реестр такой ключ
> 
> 
> ```
> Windows Registry Editor Version 5.00
> 
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
> "AVZ"="\"C:\\Test\\AVZ\\avz.exe\" Script=\"C:\\Test\\AVZ\\Script2.txt\" HiddenMode=0 spoollog=test-log.txt"
> ```
> ...


Создает в текущем каталоге процесса ... для однозначности сделал так - в параметре если не указан полный путь начиная от диска, то к нему приписывается путь к каталогу AVZ. Т.е.:
spoollog=test-log.txt будет трактоваться как "создать test-log.txt в каталоге AVZ"
spoollog=..\test-log.txt будет трактоваться как "создать test-log.txt на уровень выше каталога AVZ"
spoollog=c:\logs\test-log.txt будет трактоваться как "создать test-log.txt по указанному полному пути"

*Добавлено через 4 минуты*




> Баг подтверждаю.


AVZ в таком случае вообще не запускается ... это особенность системы, а не AVZ.

*Добавлено через 17 минут*




> 7) Открываем -Сервис -> Менеджер авто-запуска - переходим к какому-то ключу реестра -> ПКМ открыть в regedit - открывается просто regedit, а как понимаю дерево должно быть развёрнуто на том ключе на котором мы нажали.
> Потом опять в менеджере автозапуска щёлкаем ПКМ на ключе - поиск в Rambler - в строку поиска в конце параметра дописывается *&where=1* например 
> 
> 
> ```
> C:\WINDOWS\System32\cscui.dll&where=1
> ```


Пофиксил (раньше такой параметр зачем-то присутствовал при поиске в Rambler через его форму поиска)

*Добавлено через 3 минуты*




> 1) 
> Оказывается этот параметр, а также протестировал QuarantineBaseFolder (возможно и остальные ключи запуска) не работают в последнем полиморфе. Это баг или фича? 
> 2) 
> А скриптом это нельзя будет удалить? 
> По поводу webalta вот частный случай экспорта ключей реестра от неё, хотелось бы чтобы все они вычищались. А также может стоит дополнить чистку командой  ExecuteRepair(4); ? 
> 3)
> заодно тогда напомню про 
> Кстати ссылка имеет адрес
> 
> ...


1. Глюк полиморфа, исправлю
2. Визард еще и ищет проблемы, а многие пользователи и е знают, что  у них засело ... Визард можно вызывать из скрипта, причем операции визарда не меняют порядковых номеров - можно вызвать определенные операции, и дочистить если надо скриптом
3. поправлю
4. частотакое требуется ? Больше вроде нет похожих жалоб
5. При удалении ключа с него сбиваются права (удаленному ключу это не повредит). При операциях с параметром права не трогаются, нужно сбивать их в явном виде
6. обновил

----------


## regist

1) 


> Проверил, это новый функционал, там экранирования не было, что является багой ... пофиксил


Баг по прежнему актуален. Вот лог версией AVZ версии 4.42.152 private build.
2) 


> Создает в текущем каталоге процесса ... для однозначности сделал так - в параметре если не указан полный путь начиная от диска, то к нему приписывается путь к каталогу AVZ. Т.е.:
> spoollog=test-log.txt будет трактоваться как "создать test-log.txt в каталоге AVZ"
> spoollog=..\test-log.txt будет трактоваться как "создать test-log.txt на уровень выше каталога AVZ"
> spoollog=c:\logs\test-log.txt будет трактоваться как "создать test-log.txt по указанному полному пути"


Это будет исправлено в следующей версией? Потому, что в текущей версии полиморфа при автостарте из ключа реестра у меня всё осталось по старому.

3) Этот баг также всё ещё актуален, воспроизвёлся на windows 7 x64 и 8.1 х64.
Кстати какая разница между командами KillProcess и TerminateProcess ? Команда KillProcess при выполнение данного скрипта возвращает ошибку 


> Ошибка [2, KILLPROCESS]


4) Насчёт не экранированных кавычек 


```
<ITEM File=".dll" CheckResult="-1" Enabled="-1" Type="?" X1="HKEY_LOCAL_MACHINE" X2="System\CurrentControlSet\Control\Lsa" X3="Security Packages" X4="""" Is64="0"
```

В архиве экспорт ключа. 


По этому же ключу второй вопрос, откуда в логе взялось .dll 


5) windows 7 x64 AVZ не видит в реестре следующего ключа автозапуска


```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babakan"="cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://virusinfo.info && exit)"
```

Баг похоже воспроизводится не у всех, поэтому скрин прилагаю

Браузер успешно автозапускается, а ключа не видно ни в менеджере автозапуска ни в логе даже в текстовой части. Кстати просьба включить (перенести) подобные ключи с запуском командной строки из текстовой части лога в таблицу.

6) 


> Заметил синтаксическую ошибку в справке (и в локальной и в он-лайн версиях). Раздел Подсистема AVZPM - О технологии:


Это тоже пока актуально.

7) 


> частотакое требуется ? Больше вроде нет похожих жалоб


Насчёт hosts.ics да вроде пока больше таких случаев не было, но учитывая, что вы



> не люблю часто обновлять AVZ


то хочется чтобы AVZ это видел уже сейчас, а не ждать пока это станет массово популярным. То что вирусописатели это могут использовать уже доказано, при этом это остаётся абсолютно не видимым в логе (и если бы пользователь не прислал дроппер виря, то неизвестно ещё сколько бы времени искали в чём там проблема).

----------


## Vvvyg

По hosts.ics - надо, сталкивался с использованием его для перенаправления.

----------


## regist

> Пофиксил. Символ с кодом 0x00 будет заменяться при помещении в XML на пробел


увы, но и этот баг всё ещё актуален. Вот лог.
По этому же логу ещё одна вещь


```
\\?\C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key
```

AVZ же вроде должен подобные пути перед выводом в лог исправлять?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

http://virusinfo.info/showthread.php?t=155719 - вышла версия 4.43

----------

*olejah*,  *thyrex*

----------

