# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.27

## Зайцев Олег

Вышла новая версия антивирусной утилиты AVZ - 4.27. Архив с утилитой содержит базу вирусов от 30.08.2007 125002 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 371 микропрограмма эвристики, 9 микропрограмм ИПУ, 62024 подписей безопасных файлов. 
Страница загрузки:
http://www.z-oleg.com/secur/avz/download.php
Прямой линк:
http://www.z-oleg.com/avz4.zip


------------------------------------------------------------------------
*Список доработок и модификаций: 
*[+++] Новая подсистема - резервное копирование. Позволяет автоматически создавать резервные копии различных системных настроек (резервные копии выполняются в основном в виде REG файлов, которые могут быть импортированы стандартным редактором реестра) 
[+++] Автоматическое резервное копирование настроек SPI перед их исправлением и ряда настроек системы перед их восстановлением. Резервные копии создаются автоматически по мере надобности в папке BackUp в виде стандартных REG файлов, которые в случае необходимости могут быть импортированы в реестр 
[+++] Добавлена новая подсистема - ИПУ (Искатель Потенциальных Уязвимостей). Его задача - поиск потенциально уязвимых служб, требующих внимания со стороны пользователя настроек и прочих моментов, влияющих на быстродействие и (или) безопасность ПК. Данная подсистема может вызываться из скриптов. Если уязвимость устранима, то в меню исследования системы автоматически добавляется соответствующая позиция, генерирующая фрагмент скрипта для устранения проблемы 
[+++] Новая функция исследования системы - сохранение результатов исследования в формате XML. Данные XML файла дублируют данные протокола исследования системы, предназначено для автоматизированной обработки результатов исследования 
[+++] Добавлено множество команд скриптового языка (более 20 штук - экспорт реестра, сканирование реестра, запуск эвристики, работа с INI файлами и т.п.) 
[++] BootCleaner - добавлена функция копирования файла, подправлен карантин 
[++] В восстановлении новая функция - пересоздание настроек SPI/LSP. Помогает, если зловред повредил системные ключи или подменил своими. Данная функция делает бекап текущих наcтроек и пересоздает их по эталону 
[+] Менеджер автозапуска - добавлен контроль ряда экзотических ключей автозапуска, применяемых malware 
[+] Добавлена прогресс-индикация в окне &quot;Выполнить скрипт&quot; 
[+] Все кнопки главного окна продублированы пунктами меню (для устранения проблем доступа к ним при работе на низких разрешениях экрана в защищенном режиме) 
[+] в логе сканирования системы отображаются данные о запуске из консольной сессии и о состоянии восстановления системы, в итоге лога отображаются данные о количестве подозрительных объектов 
[+] Скрипты - расширен набор макросов, допустимых в имени файла 
[-] Исправлен конфликт между системой AVZGuard и модулем проверки файлов по базе безопасных 
[+/-] Сообщения об ошибках разархивации перемещено в раздел отладочной информации ипо умолчанию не выводится в протокол 
--------
Важный момент - обновилась только русскоязычная версия. Англоязычная не обновлялась и ее поддержка будет прекращена (базы можно обновлять вручную - совместимость есть). Причина проста - принято решение истребить русскую/английскую версии AVZ и вместо них сделать нормальную единую мультиязычную версию (причем не только русскую-английскую - можно будет добавлять перевод на любой язык). Работы над этим в стадии завершения...

Отдельная ветка для пожеланий, обсуждения и критики системы ИПУ: http://virusinfo.info/showthread.php?p=130660

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jef239

> Вышла новая версия антивиурсной утилиты AVZ - 4.27.


А почему сразу 4.27? Что с 4.26 стряслось? Кошка-Машка съела?  :Smiley:

----------


## Зайцев Олег

> А почему сразу 4.27? Что с 4.26 стряслось? Кошка-Машка съела?


4.26 давно вышла - просто публичного релиза не было. А пока дело дошло до релиза - изменений набежало столько, что вышла уже следующая версия  :Smiley:

----------


## Rene-gad

> обратите внимание - версия англоязычной программы не изменилась !


...и баэы не обновляются  :Angry: . А у меня в русской версии - одни _??????.
_Беру бессрочный отпуск... :Book2:

----------


## Зайцев Олег

> ...и баэы не обновляются . А у меня в русской версии - одни _??????._
> Беру бессрочный отпуск...


Базы можно обновить вручную - скачать ZIP и подсунуть. Я сниму блокировку на обновление через неделю, заменю "мягкой" блокировкой (обновление будет, но с матюгальником про устаревшую версию)

----------


## Jef239

"Внимание !!! База поcледний раз обновлялась 14.08.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 30.08.2007 16:18:36
Загружена база: 136619 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 30.08.2007"

Это я скачал новую версию 5 минут назад и сразу сделал автоматическое обновление... То есть "база от 30.08.2007" а "обновлялась 14.08.2007". Красиво!  :Smiley: 

"C:\BOOT\OLD\NDOS.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\BOOT\OLD\NDOS.COM)"
Ну в слове "изменненным" явно маловато букв "н". Я бы туда ещё 3-4 штуки засадил..  :Smiley:  А вообще-то это MS-DOS файлы... Ну ладно, попробую со временем отправить его в базу чистых...

*Добавлено через 1 минуту*




> 4.26 давно вышла - просто публичного релиза не было.


А можно как-то скачивать непубличные релизы?
Тестировать я умею... Если слышал про T-Mail (FIDO), то должен и обо мне знать.  :Smiley:

----------


## SuperBrat

> Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\uteznzg0.sys)


AVZ Driver. Нормально?

----------


## Зайцев Олег

> AVZ Driver. Нормально?


Нормально - так всегда сразу после апдейта бывает. Сейчас должно стабилизироваться (я принудительно перезаписал avz4.zip и сейчас обновленные базы расползлись по серверам). Нужно перезагрузить его - и все будет нормально (или базы обновить)

----------


## GRom

Олег, спасибо за новую версию, будем тестить.
Первые ласточки:
NOD32 2.70.39 выдал ложняк при загрузке zip-архива AVZ4.27 с сайта. На virustotal.com (я сканировал уже отдельно avz.exe) отличились еще 2 антивируса. ;-). Это из-за новых фич?

----------


## Зайцев Олег

> Олег, спасибо за новую версию, будем тестить.
> Первые ласточки:
> NOD32 2.70.39 выдал ложняк при загрузке zip-архива AVZ4.27 с сайта. На virustotal.com (я сканировал уже отдельно avz.exe) отличились еще 2 антивируса. ;-). Это из-за новых фич?


Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32  :Sad:  Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.

----------


## GRom

Спасибо за разъяснения, Олег. Я им отписал посредством самого NOD32. Комментарий к файлу такой: "It's 100% false positive!!! It's an execution file from AVZ 4.27 program made by Oleg Zaicev. Please, update your bases as soon as possible!"

----------


## Зайцев Олег

> Спасибо за разъяснения, Олег. Я им отписал посредством самого NOD32. Комментарий к файлу такой: "It's 100% false positive!!! It's an execution file from AVZ 4.27 program made by Oleg Zaicev. Please, update your bases as soon as possible!"


Отлично, спасибо. Ситуация нехорошая - они же не просто детектят - удаляют avz.exe. Шквал писем с сообщениями о детекте огромный ...

----------


## Muzzle

нада будет в правилах пометочку сделать,о данной проблеме,чтоб пользователи нод32 не пугались.
ЗЫ.только что проверил,эвиристик отработал,удалив файл avz.exe  :Smiley:

----------


## Зайцев Олег

> нада будет в правилах пометочку сделать,о данной проблеме,чтоб пользователи нод32 не пугались.
> ЗЫ.только что проверил,эвиристик отработал,удалив файл avz.exe


Да, именно так. Если не поправят до конца дня, я сдалаю фильтр по слову "NOD" в почте саппорта AVZ и отрулю все это на них  :Smiley: 
Список отличившихся:
eSafe -> suspicious Trojan/Worm
NOD32v2 -> probably a variant of Win32/Genetik
Webwasher-Gateway->Worm.Win32.ModifiedUPX.gen!90 (suspicious)

----------


## Muzzle

Cамое главное,сказать о том чтоб не блокировали загрузку,ибо нод32 начинает орать ещё при закачки архива AVZ,а то пользователи его так и не скачают.

----------


## Зайцев Олег

> Cамое главное,сказать о том чтоб не блокировали загрузку,ибо нод32 начинает орать ещё при закачки архива AVZ,а то пользователи его так и не скачают.


Я написал им (с ящика ЛК) о проблеме, как AVZ детектится, ссылками на оф-сайт и архив

----------


## Jef239

> Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32  Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.


Но ведь можно не хранить константы в теле программы целиком? Или хранить их в какой-то кодировке (ХOR $52?)?

----------


## Зайцев Олег

> Но ведь можно не хранить константы в теле программы целиком? Или хранить их в какой-то кодировке (ХOR $52?)?


Это мое предположение, что детектятся константы ... зашифровать то их можно - тогда будет детект типа trojan.Cripter  :Smiley: 
По поводу поста чуть выше - файл C:\BOOT\OLD\NDOS.COM AVZ обложил правильно, это EXE файл с расширением COM, такие предупреждения выдаются при включении птички "расширенный анализ" (там ловятся пробелы в имени, несколько расширений, несоответствие расширения и содержимого). Очепятки в сообщениях - это святое  :Smiley:  По поводу приватных версий - они доступны хелперам virusinfo, со временем я организую раздел типа "бета-версии" у меня на сайте (сейчас ссылки есть только на стабильный релиз)

----------


## Jef239

Файл успешно помещен в карантин (F:\Software\Internet\FlashGet\fgf140.exe)
F:\Software\Internet\FlashGet\fgf140.exe >>>>> AdvWare.Win32.Cydoor  успешно удален

Это не вирус, это исталятор.. БЫЛ. :Cry:

----------


## Макcим

Там AdvWare сидит, всё правильно.

----------


## Jef239

> Там AdvWare сидит, всё правильно.


Ну когда на тебя комар сядет, я его тоже могу топором убить (с тобой вместе).  :Smiley:  Как там у Ленина было "по форме правильно, а на деле - издевательство".  :Smiley:  Или это не у Ленина?

В общем есть такой класс программ, за которые денег платить не надо, но зато нужно смотреть рекламу. FlashGet - самый известный из них.

Более того, он честно предупреждает, что или плати деньги или смотри рекламу... Одно хорошо, что 1.40 - это старая версия, её не жалко...

Понимаешь разницу между показом рекламы без желания пользователя и по желанию пользователя?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.

----------


## anton_dr

> В общем есть такой класс программ, за которые денег платить не надо, но зато нужно смотреть рекламу. FlashGet - самый известный из них.
> 
> Более того, он честно предупреждает, что или плати деньги или смотри рекламу... Одно хорошо, что 1.40 - это старая версия, её не жалк


А галочку тогда слабо убрать? Если они нужны.

----------


## Jef239

> А галочку тогда слабо убрать? Если они нужны.


А мне не нужны ADWare, которые привешиваются к каждому окну браузера...

----------


## Зайцев Олег

> И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.


Все верно - весьма старые версии FG ставили AdvWare.Win32.Cydoor без спросу. Причем если убить Cydoor-а, то FG от казывался работать. Потом они от этой ерунды отказались - последние версии чистые, причем давно уже ...

----------


## Jef239

> И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.


Нет, не удаляли. Во всяком случае предыдущий прогон по всем дискам был полгода назад и этот файл тогда уцелел. 

Плохо, что нет варианта "Спрашивать перед удалением". Или я его просмотрел...

----------


## Зайцев Олег

> Нет, не удаляли. Во всяком случае предыдущий прогон по всем дискам был полгода назад и этот файл тогда уцелел. 
> 
> Плохо, что нет варианта "Спрашивать перед удалением". Или я его просмотрел...


Как нет ? У AVZ по умолчанию только лог, если включить лечение, то можно выбрать действие (только лог, прибить, спросить у пользователя)

----------


## Jef239

F:\Software\Systemautomatic\OMRON CD\SYSWIN\3_0\DISK1.rar - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (F:\Software\Systemautomatic\OMRON CD\SYSWIN\3_0\DISK1.rar)

Это уже придирки пошли... Можно было понять,  что это самораспаковывающийся RAR-архив. Просто при передаче по почте их часто из EXE переименовывают в RAR. Чтобы сильно параноидальные системы не удаляли.

*Добавлено через 51 секунду*




> Как нет ? У AVZ по умолчанию только лог, если включить лечение, то можно выбрать действие (только лог, прибить, спросить у пользователя)


Значит это я дурак, что не увидел.... А сейчас ещё сканирование идёт, так что не посмотреть....

----------


## SuperBrat

> Поиск потенциальных уязвимостей
> >> разрешена потенциально опасная служба TermService (Службы терминалов)
> >> разрешена потенциально опасная служба Schedule (Планировщик заданий)


Не боитесь перейти в категорию riskware после таких советов? В корпоративных сетях эти две службы очень часто используются. Теперь придется присматривать за "активными" пользователями и убрать AVZ c ftp.  :Sad:

----------


## Зайцев Олег

> Это уже придирки пошли...


Рассуждаем вслух: Уровень анализа какой ? Предельный. А по умолчанию какой ? Средний ... Птичка "Расширенный анализ" плюс к этому установлена ? Да ...  А она по умолчанию включена ? Нет, отключена ... Какое в самораспаковывающегося архива расширение ? *.exe. Возникает последний вопрос - что неправильного в том, что программа пишет в лог о том, о чем ее принудительно попросили ?  :Smiley:  (вообще это описано в разделе 12.2 справки - http://www.z-oleg.com/secur/avz_doc/term_ha.htm)

----------


## Jef239

> Рассуждаем вслух: Уровень анализа какой ? Предельный. А по умолчанию какой ? Средний ... Птичка "Расширенный анализ" плюс к этому установлена ? Да ...  А она по умолчанию включена ? Нет, отключена ... Какое в самораспаковывающегося архива расширение ? *.exe. Возникает последний вопрос - что неправильного в том, что программа пишет в лог о том, о чем ее принудительно попросили ?  (вообще это описано в разделе 12.2 справки - http://www.z-oleg.com/secur/avz_doc/term_ha.htm)


А всё просто.... Можно посмотреть, что это не просто EXE, а самораспаковывающийся архив. И не просто архив - а именно RAR. И тип архива с расширением совпадает... Я же говорю - это придирка....

То есть "Неправильного" - НИЧЕГО НЕТ. Но теоретически можно действовать тоньше...

----------


## Зайцев Олег

> Не боитесь перейти в категорию riskware после таких советов? В корпоративных сетях эти две службы очень часто используются. Теперь придется присматривать за "активными" пользователями и убрать AVZ c ftp.


Тут очень важный момент - AVZ не устраняет ничего, найденного ИПУ - просто пишет в лог. А устранение глубоко запрятано и вызывается через скрипт. Именно на случай того, что шустрый юзер нажмет кнопку "Пофиксить", если таковая будет ...

*Добавлено через 1 минуту*




> Я же говорю - это придирка....


Еще раз - http://www.z-oleg.com/secur/avz_doc/term_ha.htm, цитирую сам себя: 


```
"Имя файла >>> PE файл с нестандартным расширением" - это означает, 
что обнаружен программный файл, но вместо типичного расширения EXE, DLL, SYS он имеет другое, 
нестандартное расширение. Это не опасно, но многие вирусы маскируют свои PE файлы, 
давая им расширения PIF, COM. Данное сообщение выводится в любом уровне эвристики для PE 
файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики.
```

Т.е. на среднем уровне (по умолчанию) файл проверится как SFX архив и ничего в лог не запишется (и автокарантина не будет), определение типа архива идет по содержимому файла. А вот если уровень эвристики максимальный - то получим текущую ситуацию, т.е. это уже будет рассматриваться как аномалия

----------


## SuperBrat

> Тут очень важный момент - AVZ не устраняет ничего, найденного ИПУ - просто пишет в лог. А устранение глубоко запрятано и вызывается через скрипт. Именно на случай того, что шустрый юзер нажмет кнопку "Пофиксить", если таковая будет ...


Буду молиться, чтобы "шустрые юзеры" не нашли так же быстро как и я прочитав whatsnew на сайте.  :Wink:

----------


## Jef239

> Данное сообщение выводится в любом уровне эвристики для PE 
> файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики.


Могу только принести свои извинения. Был неправ.

А одна из причин установки максимального уровня эвристики - сообщение "Процесс Имя файла может работать с сетью", оно весьма информативно при анализе неизвестных вирусов. У меня вообще дефоолтные настройки рассчитаны на сканирование памяти. И система такая, что если вирусы и появляются - то в основном неизвестные (примерно 80% неизвестных зверей на 20% известных).

----------


## Макcим

> Все верно - весьма старые версии FG ставили AdvWare.Win32.Cydoor без спросу. Причем если убить Cydoor-а, то FG от казывался работать. Потом они от этой ерунды отказались - последние версии чистые, причем давно уже ...


Поспорю, в новых уже идёт spyware. Эволюция однако  :Cheesy: 




> 8. Поиск потенциальных уязвимостей
> >> Безопасность: разрешен автозапуск программ с CDROM


По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска *C* с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?

----------


## SuperBrat

> По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска C с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?


Вот этого "кроме" и хватило, имхо.

----------


## Зайцев Олег

> Буду молиться, чтобы "шустрые юзеры" не нашли так же быстро как и я прочитав whatsnew на сайте.


Все в наших руках   :Smiley: 
Завтра я планирую завести отдельную тему "что должен искать ИПУ", пообсуждаем, что и когда считать опасным ... я составлю сегодня описание, что ищет AVZ в ИПУ, и пообсуждаем - тема серьезная,  есть что обсудить

*Добавлено через 3 минуты*




> Поспорю, в новых уже идёт spyware. Эволюция однако 
> 
> По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска *C* с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?


Автозапуск на диске C: нужно отключить в первую очередь ... Это же автозапуск файлов типа autorun.inf, а не системы ! А файлу autorun.inf в корне системного диска делать точно нечего. Автозапуск с CDROM отключается в двух местах, PowerToys явно правит одно из их (где задается маска дисков), а AVZ смотрит на глобальный флаг. Про описание ИПУ (что проверяет и где) будет отдельная ветка обсуждения и отдельное описание

----------


## Макcим

> Автозапуск на диске C: нужно отключить в первую очередь ... Это же автозапуск файлов типа autorun.inf, а не системы !


А как же будет запускаться Касперской? Или я чего-то не понимаю? 


> PowerToys явно правит одно из их (где задается маска дисков)


Не только  :Smiley:

----------


## Jef239

8. Поиск потенциальных уязвимостей
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)

Повторение - мать учения?  :Smiley: 

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
F:\WINNT\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
F:\WINNT\system32\RICHED20.dll>>> Поведенческий анализ: 
  1. Реагирует на события: клавиатура
  2. Опрашивает состояние клавиш
F:\WINNT\system32\RICHED20.dll>>> Нейросеть: файл с вероятностью 0.53% похож на типовой перехватчик событий клавиатуры/мыши

Всё бы хорошо, но этот RichEdit используется самим AVZ. Просто из того, что запущено, никто его сейчас больше не использует... Странно, что AVZ его не знает и зелёным не пометил. Впрочем у меня Win2k, а не XP.

Вот именно для таких вещей и хотелось бы локальный список чистых файлов. Ну и для проверки уязвимостей - тоже. Можно - под пяток подтверждений юзера, что он понимает, что делает, включая файл в чистые.

*Добавлено через 51 секунду*

Вдогонку... Интересно, а почему он не нашёлся по базе чистых Microsoft?

----------


## Зайцев Олег

> Поспорю, в новых уже идёт spyware. Эволюция однако


Если он ничего шпионского в систему не устанавливает, и крутит рекламу / собирает данные о загруженные файлах только в рамках своего процесса - то его классификация в качестве spyware спорная. А вот если вылезет за пределы - другое дело. Кстати популярный в многих качалках сбор статистики о загружаемых файлах анонимный и его можно очень просто отключить небольшим хакерским приемом

*Добавлено через 3 минуты*




> 8. Поиск потенциальных уязвимостей
> >> разрешена потенциально опасная служба TlntSvr (Telnet)
> >> разрешена потенциально опасная служба TlntSvr (Telnet)
> 
> Повторение - мать учения? 
> 
> 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
> F:\WINNT\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
> F:\WINNT\system32\RICHED20.dll>>> Поведенческий анализ: 
> ...


Повтор в логе - глюк, ИПУ будет отстраиваться и обсуждаться ... с RICHED20.dll странно, нужно проверить. С локальной базой подумаю, в принципе можно и привернуть.

----------


## Макcим

> Если он ничего шпионского в систему не устанавливает, и крутит рекламу / собирает данные о загруженные файлах только в рамках своего процесса - то его классификация в качестве spyware спорная. А вот если вылезет за пределы - другое дело.


В настройках программы это не отключается и пользователя ни кто не предупреждает.



> и его можно очень просто отключить небольшим хакерским приемом


Шаманство с HOST?  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> А как же будет запускаться Касперской? Или я чего-то не понимаю?


А какая взаимосвязь между запуском файлов autorun.inf и KAV ?!

----------


## Jef239

F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader  удаление запрещено настройкой
7. Эвристичеcкая проверка системы
>>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Гм, какое тут подозрение, если AVZ его ЯВНО распознал?  :Smiley: 

Но я сам понимаю, что  придираюсь,ибо эти блоки программы между собой мало связаны..

----------


## Зайцев Олег

> В настройках программы это не отключается и пользователя ни кто не предупреждает.
> Шаманство с HOST?


И не только. Любой продвинутый Firewall позволяет отфильтровать обмен с заданным хостом, а статистика идет на четко известный статический адрес. Кроме того, он или в настройках хранится, или в EXE файле - можно немножко подправить и все  :Smiley: 

*Добавлено через 2 минуты*




> F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader удаление запрещено настройкой
> 7. Эвристичеcкая проверка системы
> >>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)
> 
> Гм, какое тут подозрение, если AVZ его ЯВНО распознал? 
> 
> Но я сам понимаю, что придираюсь,ибо эти блоки программы между собой мало связаны..


Совершенно верно - в первом случае идет сигнатурный детект, во втором - анализ ЭПС. Это две независимые системы (т.е. можно отрубить ЭПС и оставить файловый сканер и наоборот), отсюда и дублирование. Со временем я думаю совместить это как-то (например, в ЭПС приделать проверку по базе зверей или наоборот, блокировать для ЭПС файлы, которые уже продетектились сигнатурным сканером). Аналогичное дублирование кстати будет в случае перехват+ЭПС, подозрение+ЭПС

----------


## Макcим

> А какая взаимосвязь между запуском файлов autorun.inf и KAV ?!


Мы же говорим об автозапуске? KAV автоматом стартует с Windows...

----------


## Jef239

> с RICHED20.dll странно, нужно проверить.


В списке внедрённых dll он чёрный. Видимо потому. что у меня win2k, а не XP.




> С локальной базой подумаю, в принципе можно и привернуть.


А вот это ОЧЕНЬ хочется. Потому как процесс с присылкой чистых идёт МЕДЛЕННО. Запоминать, кто там старый чистый, а кто новый подозрительный - лень.  А вот выделить ОДИН РАЗ всех старых чистых - вполне можно. А потом уже каждый "не зелёный" становится подозрительным ВТРОЙНЕ.

----------


## Зайцев Олег

> Мы же говорим об автозапуске? KAV автоматом стартует с Windows...


Мы говорим об "Автозапуске с CDROM", т.е. обработке файлов autorun.inf на дисках. Это с другими видами автозапуска совершенно никаким образом не связано

----------


## Макcим

> Мы говорим об "Автозапуске с CDROM"


Тогда причём диск C? Это HDD...

----------


## mayas

переложите плиз прогу на другой файлоотстойник. 
rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло

----------


## Зайцев Олег

> Тогда причём диск C? Это HDD...


А вот системе до этого не всегда есть дело. И зловреды этим пользуются (причем HDD еще не мобилен особенно, а вот флешка - мобильна и является отличным транспортом). Ближайший пример с autorun.inf: http://forum.kaspersky.com/index.php...ic=26907&st=40, у нас тут "слушались дела" с его наличием в корне HDD

----------


## Макcим

Так как отключить автозапуск, чтобы не задеть Касперского?

----------


## Зайцев Олег

> Так как отключить автозапуск, чтобы не задеть Касперского?


Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронет

----------


## tar

* Очень здорово, что в новой версии в "ПРосмотр протокола" всякие klif.sys-ы пишутся только ОДИН раз. Респект!
* В справке нет описания "Поиск потенциальных уязвимостей". Например, пишет ">>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX". В "Свойствах обозревателя" ActiveX отключен во всех пунктах. А как отключить это? Может, нужна возможность отключения данных уязвимостей из окна AVZ?

----------


## Зайцев Олег

> переложите плиз прогу на другой файлоотстойник. 
> rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло


http://slil.ru/24796770

----------


## Rene-gad

Олег
посмотри этот топик пожалуйста: чего-то он безопасные файлы в карантин кидает?
http://virusinfo.info/showpost.php?p=130470&postcount=9

----------


## Макcим

> Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронет


Как это сделать?

----------


## drongo

Олег, не забудь пожалуйста изменить на своём сайте в правом верхнем углу данные версии, там до сих пор 4.25.

----------


## Surfer

Поставил, из интересного  :Smiley: 



> >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
> >> Безопасность: к ПК разрешен доступ анонимного пользователя
> >> Безопасность: Разрешена отправка приглашений удаленному помошнику
> >> Безопасность: разрешен автоматический вход в систему


Поподробнее можно по каждому пункту ?  :Smiley: 
Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.

----------


## SuperBrat

> Как это сделать?


У тебя утилита была. С помощью ее или новыми командами AVZ.

*Добавлено через 1 минуту*




> Поподробнее можно по каждому пункту ? 
> Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.


Олег обещал чуть позже это сделать.

P.S. Список служб в Windows XP

----------


## XL

А кто подскажет, как в висте отключить планировщик?




> *>> разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)*
> >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
> >> Безопасность: к ПК разрешен доступ анонимного пользователя


Через консоль управления службами не выходит, т.к. нужные поля по изменению типа запуска или по остановке сервиса попросту неактивны.

UPD: сам догадался. Autoruns Русиновича выручила  :Wink:

----------


## Arhimed

Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## santy

> Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32  Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.


Добрый день!

Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем? Пока, проблема решается внесением папки \AVZ в список исключений монитора AMON. Но кто знает, как в дальнейшем "уживутся" на одной системе NOD32 и AVZ.
---
кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?
---
Олег, что это может значить:

Функция NtBuildNumber (8046CCDC) - модификация машинного кода. 

Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)

----------


## незареg

При закачке последней версии программы, NOD32 находит в ней  троян Genetick.

----------


## Muffler

> При закачке последней версии программы, NOD32 находит в ней троян Genetick.


А всю тему прочитать слабо?

----------


## aldares

Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...

----------


## Макcим

> У тебя утилита была. С помощью ее или новыми командами AVZ.


Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.

----------


## Зайцев Олег

> потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...


Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...

*Добавлено через 1 минуту*




> Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.


А их там и нет - модификации настроек сводятся в основном к правке реестра, а команды для этого в скрипт-языке есть от рождения. Если после скана сделать исследование, то в логе будут ссылоски для автогенерации скрипта, меняющего настройки.

*Добавлено через 5 минут*




> Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем?


Вопрос только в том, как это сделать ? Я вежливо написал им о существующей проблеме, письмо гарантировано дошло, и тишина. Вот текст моего письма:


```
Добрый день !
 
Ваш антивирус детектирует и удаляет исполняемый файл антивирусной
утилиты AVZ версии 4.27 (детектируется как probably a variant of Win32
/Genetik). 
Просьба исправить базу для устранения детекта. 
Адрес страницы загрузки - http://www.z-oleg.com/secur/avz/download.php, 
прямой URL загрузки - http://z-oleg.com/avz4.zip. 
 
С уважением,
Зайцев Олег
```

писал я на  [email protected] с ящика @kaspersky.com.

*Добавлено через 1 минуту*




> кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?


Не обязательно, но очень желательно. В стандартных скриптах (Файл\Стандартные скрипты) есть скрипт для зачистки всего, что AVZ устанавливает в систему - можно его прогнать и перезагрузиться.



> Олег, что это может значить:
> Функция NtBuildNumber (8046CCDC) - модификация машинного кода. 
> Метод не определен., внедрение с байта 4
> (Скан в новой версии 4.27; Win2000, SP4)


Попробуйте посканировать сегодня после обеда, предварительно обновив базы - это сообщение должно исчезнуть

*Добавлено через 3 минуты*




> Олег, а проблемы с серверными ОС в новой версии решены?
> Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.


Проблема решена:
1. В логе пишется о том, что AVZ запущен из консольной сессии
2. Исправление SPI/LSP сначала делает автоматический бекап настроек в виде REG файла, поэтому если в результате действий AVZ что-то запортится, то можно откатить настройки SPI на исходные

----------


## santy

*Олег*, написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.

----------


## Зайцев Олег

> *Олег*, написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.


Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.

----------


## Rene-gad

> Мне не ответили например


А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили  :Smiley: .

----------


## santy

> Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.


Ругается он все-таки на avz.exe, который находит в архиве и проверяет после скачивания. Также ругается, но не удаляет при сканировании файлов, если при этом загружен АВЗ.

Cкaниpoвaниe выпoлнeнo зa: 31.08.2007 12:58:05
Лог сканирования
Версия NOD32 2493 (20070831) NT
Командная строка: C:\Arhives\avz4.zip
*Оперативная память  - вероятно модифицированный  Win32/Genetik  троян*

Дата: 31.8.2007  Время: 12:59:21
Технология Anti-Stealth включена.
Проверены диски, папки и файлы: C:\Arhives\avz4.zip
C:\Arhives\avz4.zip »ZIP »avz4/avz.exe - вероятно модифицированный  Win32/Genetik  троян
Количество проверенных файлов: 58
Количество найденных вирусов: 1
Время завершения: 12:59:23 Общее время сканирования: 2 сек (00:00:02)

*Добавлено через 8 минут*




> А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили .


На некоторые образцы вирусов отвечал их вируслаб, единственно что просят прислать регистрационные данные, но потом все-таки переадресовали в российский филиал.
-----
Hello,

please download and install NOD32 2.50.25 from http://www.eset.com/download/download.htm, update the virus signature database to the actual version 1.1248 and carry out an in-depth scan of your disk(s). If a suspicious file is found, let NOD32 submit it via the integrated ThreatSense.Net Early Warning System for further analysis (the Submit for analysis option in the alert window should remain ticked).


If you are not a registered user, you can download a trial version from http://www.eset.com/download/trial.htm


Best regards,

Mark

Eset
NOD32 Technical Support
Slovakia

Web: www.eset.com
Email: [email protected]

=========================================
NOD32 ... protecting digital worlds!
=========================================

----------


## Rene-gad

> На некоторые образцы вирусов отвечал их вируслаб


поскольку я всегда посылаю файлы через интерфейс НОДа, ответа ни разу не удостоился  :Smiley:

----------


## SuperBrat

Ситуация с ложным детектом на сегодня:



> File *avz.exe* received on 08.31.2007 09:17:41 (CET)
> Antivirus	Version	Last Update	Result
> AVG	7.5.0.484	2007.08.30	Generic7.CNE
> eSafe	7.0.15.0	2007.08.29	suspicious Trojan/Worm
> NOD32v2	2493	2007.08.31	probably a variant of Win32/Genetik
> Webwasher-Gateway	6.0.1	2007.08.31	Worm.Win32.ModifiedUPX.gen!90 (suspicious)
> 
> Additional information
> File size: 726016 bytes
> ...

----------


## Зайцев Олег

> AVG 7.5.0.484 2007.08.30 Generic7.CNE


у них детека не было, появился с утра ... вывод о принципе наполнения сигнатурной базы "если это детектят конкуренты, то будем детектить и мы как Generic"  :Smiley:  Их саппорт правда ответил немедленно (ответил правда робот, но заявке присвоили номер G#0702153258, стало быть идет регистрация обращений и обработка)

*Добавлено через 54 минуты*

Я завел отдельную ветку для пожеланий, обсуждения и критики системы ИПУ: http://virusinfo.info/showthread.php?p=130660, там же краткая дока по тому, что проверяется и что при этом сообщается в логе

----------


## PavelA

Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.

----------


## Зайцев Олег

> Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.


От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?

----------


## SuperBrat

> От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?


Утром жаловались на AVG.

----------


## Jef239

> Локальную базу чистых файлов прикручивать _нельзя_!
> Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...


1. Я так понимаю, что другого способа хранения базы, кроме как в файлике, ты не представляешь? Ещё как минимум реестр есть. Да и файлик можно не в папке AVZ держать.
2. Ну и что в этом плохого в таком сценарии? Ты думаешь,  сейчас иначе???? Просто списочек этот НА ЛИСТОЧКЕ клиенту пишется. Мол проверяй себе систему, но на вот на эту вот ругань не смотри, это у тебя не вирус, это firewall.
3. В выкладывание распакованного AVZ на FTP вместо ссылки на авторский архив - НЕ ВЕРЮ.

*Добавлено через 9 минут*




> Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...


А что, база чистых на листочке сильно полезней? Почти у каждого юзера что-то находится - антивируc, FireWall, русификатор, какая-нибудь программка для запуска игрушек без CD.....  Так что всё равно приходится "на листочке" базу чистых записывать...

Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...

----------


## santy

От Eset Russia пришло письмо в ответ на информацию о детекте АВЗ... 

"Спасибо за информацию, будет передана в центр разработки."

----------


## Макcим

> Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...


Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.

----------


## Зайцев Олег

> Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.


Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"
--------
Пришел ответ от саппорта AVG:
The file that you sent us is a false detection. This detection willl be removed in the next AVG update. Please keep your AVG updated to be safe against the newest threats. 
Thank you for your cooperation. It is highly appreciated.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

А какой тогда смысл? Файлы юзера всё равно будут в логе.

----------


## Jef239

> Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.


Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.

Насчёт добавления всего подряд - вряд ли... Что сейчас происходит? Юзер шлют мне лог AVZ. После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что... То есть та же самая база передаётся, просто не файликом, а описанием (через агент или телефон).

Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить. И сильно дурные вирусы тоже могут в неё залезть. А обычные юзеры - не лезут.

Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус. А сечас что? Сейчас я говорю, что мол сравни список красных строчек с ЛИСТОЧКОМ, и если что-то новенькое - тогда зови. То есть явно менее надёжная процедура.

Кстати, насчёт расковырять формат базы чистых AVZ - это мысль. Надо будет попробовать. По крайней мере свою локальную проблему я этим решу. Просто это не красиво по отношению к Автору. Да и показ жёлтым (найдено в локальной базе) лучше, чем показ зелёным (найдено в хакнутой базе чистых AVZ).

Я понимаю, что AVZ - бесплатная утилита. Поэтому наладить БЫСТРОЕ добавление в базу чистых и не прошу. Тем более, что у меня версии FireWall скоро раз в неделю начнут меняться...

Гм... Ещё одна идея - платное оперативное добавление в базу чистых. С платой через WebMoney. Тоже устраивает.

Ещё идея в жанре полного бреда - добавление в базу чистых с контролем через VirusTotal.....

И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит. Просить, чтобы не детектил - глупо. А вот в локальную базу запихать - вполне...

----------


## AStr

Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4

1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=080820)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
   SDT = 80480820
   KiST = 80472128 (24 :Cool: 
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0

----------


## Ego1st

вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.

----------


## Surfer

Сорри за оффтоп, но ситуация с нодом повторяется из раза в раз, пока ситуация не приобретёт массовый характер(как в этом случае) они и пальцем не пошевелят.
Делаем выводы.

----------


## Зайцев Олег

> Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4
> 
> 1.2 Поиск перехватчиков API, работающих в KernelMode
> Драйвер успешно загружен
> SDT найдена (RVA=080820)
> Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
> SDT = 80480820
> KiST = 80472128 (24
> Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
> Проверено функций: 248, перехвачено: 0, восстановлено: 0


Я пофиксил баг... после обновления баз он пропадет.

----------


## Nick222

> платное оперативное добавление в базу чистых


А трояны будут добавлять по каким расценкам?  :Stick Out Tongue:

----------


## Макcим

> Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.


Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут! 



> После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что...


Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.



> Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить.


Очень сомневаюсь...



> Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус.


То что нужно Вам, не слишком безопасно для остальных.



> И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит.


Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?

----------


## Зайцев Олег

> вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.


В теории - можно. Но только по команде скрипта ... я думал сделать автоматическую зачистку (по принципу - ссылка битая, значит удалить. Но оказывается масса ссылок на CD, отключенный в текущий момент диск и т.п.), но пока воздержался от этого. В слудующей версии думаю добавить ее

----------


## drongo

А я вот тоже не получил ответа от нод .Странная политика компании. Авг прислала ответ, что исправят  :Wink: 


```
Dear Sir/Madam,

Thank you for your email.

Please let us inform you, that this false positive will be fixed in the upcoming virus update.

We are sorry for the inconvenience.

     Best regards,

     Daniel Urminsky
     AVG Technical Support

website: http://www.grisoft.com
mailto: [email protected]
```

----------


## Rene-gad

> А я вот тоже не получил ответа от нод


А чем ты лучше остальных  :Cheesy: ? SCNR

----------


## Макcим

Попросите *Синауридзе Александра*, ему отвечают.

----------


## Jef239

> Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут!


Отчёт для хелпера - это "исследование системы". В нём много дополнительной информации. В том числе, можно туда добавить и список чистых файлов. Он отличается от обычного протокола. 



> Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.


И причина этого  в том, что Олегу ВСЕ варианты драйверов Касперского в базу чистых не включить. Я бы тоже прелдпочёл чтобы мои юзеры понаковали при виде руткита, а не лезли бы смотреть по бумашке, какой "рутки" безопасен, а какой - нет.



> То что нужно Вам, не слишком безопасно для остальных.


Ну самое БЕЗОПАСНОЕ поведение сейчас  демонстрирует NOD32. Оно настолько БЕЗОПАСНОЕ, что даже не даёт закачать AVZ на комп. Ты представляешь, какая анархия бы получилась, если бы NOD32 имел эту самую локальную базу?! Это же каждый юзер мог себе поставить тот антивирус, какой хочется ему, а не авторам NOD32. И даже страшно сказать - могу бы сменить FireWall. Представляешь, как это было бы ужасно?  :Smiley:  А сейчас всё ПРАВИЛЬНО и БЕЗОПАСНО, что авторы NOD32 не разрешают, то юзеры и не ставят. И чего это вы письма-то им пишете?  :Smiley: 




> Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?


У меню детёнышей за компом полно бывает. И я могу объяснить ребёнку (даже шестилетнему) "ткни сюда, если будет красное - ничего не трогай и зови меня". А вот проверять по списку... Это даже взрослых сложно обучить...

На самом деле есть компромис под названием "фиксация чистого состояния". Выдаётся команда "фиксировать чистое состояние". Все драйвера, "руткиты" (то есть антивирус и FireWall), автозапуск, внедрённые dll, расширения IE и так далее, работающие в этот  момент считаются чистыми. В логах они отмечаются жёлтым цветом и только при максимальном уровне анализа. Дополнительно в логе пишется дата фиксации чистого состояния.

Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.

Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.

*Добавлено через 13 минут*




> А трояны будут добавлять по каким расценкам?


Так... Для тормозов - медленно и подробно.... Оплачивается АНАЛИЗ присланного файла в оговоренные сроки. Не "Когда руки дойдут, а рак на горе свиснет", а в течение 5 рабочих дней (например).

А уж если он не чистый - гарантированный ответ, что файл не может быть включён в базу чистых по таким-то основаниям.

----------


## Kuzz

> Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.
> 
> Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.


Мне представляется это наиболее верным вариантом, но возможны трудности реализации..
Напр. номер HDD не так просто считать (вроде как только из r0), серийник тома //в противоположность// - доступен всем и каждому.

То, что локальная база "безопасных" нужна, подтверждается (в том числе) .net-программами. 
Сборок библиотек для нэт-фреймворк оч. много 
и далеко не все из них занесены в баэу безопасных.

----------


## Jef239

> Мне представляется это наиболее верным вариантом, но возможны трудности реализации..


Видишь ли, если привязывать этот слепок к "МАШИНЕ", то его можно храниь не в папке AVZ, а в %WINNT%\system32 или реестре. Тогда можно вообще никаких привязок не делать.
Смысл всех этих привязок - не допустить копирование вместе с папкой AVZ в случае, если AVZ работает с флэшки.

----------


## Kuzz

> Так... Для тормозов - медленно и подробно....


*Jef239*, шутки тоже надо понимать (не в обиду..)



> в %WINNT%\system32 или реестре.


В "идеологии" AVZ - быть _утилитой_, т.е. не оставлять после себя в машине ничего лишнего, ни в реестре ни в сис. директориях..
Где гарантия, что тот-же юзер не будет распространять вместе с AVZ файл-экспорт реестра с исключениями или файл исключений со скриптом атвокопирования в %system32% (если захочет, к примеру).

*Добавлено через 9 минут*

Если-бы все так просто было с защитой от копирования, не появился-бы старфорс, алкоголь, деймон-тулс и т.д...

В идеале каждая копия Windows должна иметь уникальный идентификатор, но и здесь встречаются 2 проблемы:
1. Пиратство. Сколько копий проинсталено с одного _оригинального_ диска..
2. Образы установленной системы.

*Добавлено через 50 минут*

*Зайцев Олег*, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?

----------


## Зайцев Олег

> Зайцев Олег, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?


Можно - добавлю.
--------
Не знаю, что с NOD32 делать - детект до сих пор идет, я получил более 500 рапортов - видимо, придется вешать объявление на сайте ...

*Добавлено через 26 минут*

Я повесил у меня на сайте объявление следующего содержания:
_Уважаемые пользователи AVZ! С момента выхода новой версии AVZ 4.27 антивирус NOD32 детектирует исполняемый файл avz.exe  как  "вероятно модифицированный  Win32/Genetik" (в англоязычном варианте "probably a variant of Win32/Genetik trojan") и уничтожает его. В техподдержку NOD32 отправлено сообщение о данном ложном срабатывании (по почте и средствами самого NOD), однако накакой реакции за прошедшие два дня не последовало и ложное срабатывание сохраняется до сих пор. _ 
Поскольку отвечать на шквал сообщений о ложняке NOD32 уже нет физической возможности

----------


## ALEX(XX)

> Не знаю, что с NOD32 делать - детект до сих пор идет


Я тоже пнул суппорт. Кстати, помимо NOD32 детект также у eSafe и Webwasher-Gateway

*Добавлено через 19 минут*

Также отписался на тамошнем форуме. Нюхом чую, что скоро меня там забанят  :Smiley:  Немного не вписываюсь я в тамошнюю политику  :Smiley:

----------


## SuperBrat

Изменения в ложном детекте на сегодня:



> File avz.exe received on 09.01.2007 10:55:13 (CET)
> Antivirus	Version	Last Update	Result
> eSafe	7.0.15.0	2007.08.29	suspicious Trojan/Worm
> NOD32v2	2495	2007.09.01	probably a variant of Win32/Genetik
> Webwasher-Gateway	6.0.1	2007.08.31	Worm.Win32.ModifiedUPX.gen!90 (suspicious)
> 
> Additional information
> File size: 726016 bytes
> MD5: 8499121440521062210cfd1b09357764
> ...


Сравните с этим. AVG исправил.

----------


## Зайцев Олег

> Сравните с этим. AVG исправил.


Да, я от них получил письмо и ложняк они оперативно исправили.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Luks

Странная ситуация...
Ну, AVG принимает avz.exe за вирус и предлагает удалить, об этом уже писалось.

Но и при выключенном AVG файл не исполняется с сообщением "Error executing program". В нормальном режиме. А в "защищённом" (W2K) всё в порядке.
Непонятно...

----------


## Jef239

> Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"


Как вариант - не прятать в исследовании системы, но прятать в обычном протоколе при отключённом расширенном детекте.
А как тебе вариант со слепком чистой системы?
Просто для меня вся история с NOD32 - это зеркало того, что может происходить с AVZ без локального списка чистых. Ну с тем отличием, что AVZ не удаляет. Кстати, реакция Agnitum (outpost firewall) на детект одной из dll AVZ была примерно такая же, как наша на NOD32.  :Smiley:

----------


## SuperBrat

> Ну, AVG принимает avz.exe за вирус и предлагает удалить, об этом уже писалось.


Писалось, что уже не принимает. Обновите базы антивируса.

----------


## Arhimed

Похоже Nod32 тоже исправил ситуацию. По крайней мере, я смог скопировать avz.exe в неигнорируемые Нодом папки. Версия базы 2497 от 01.09.2007

----------


## Muffler

Да исправили, вот скан с вирустотал:




> Antivirus	Version	Last Update	Result
> AhnLab-V3	2007.9.1.0	2007.09.01	-
> AntiVir	7.4.1.66	2007.09.01	-
> Authentium	4.93.8	2007.09.01	-
> Avast	4.7.1029.0	2007.09.01	-
> AVG	7.5.0.484	2007.09.01	-
> BitDefender	7.2	2007.09.01	-
> CAT-QuickHeal	9.00	2007.09.01	-
> ClamAV	0.91.2	2007.09.01	-
> ...

----------


## ALEX(XX)

Вот что ответили на форуме ESET



> Win32/Genetik and Win32/Pacex are the names that ESET uses for packer-based detection

----------


## Зайцев Олег

> Вот что ответили на форуме ESET


Странно - AVZ упакован обычным UPX ...

----------


## ALEX(XX)

> Странно - AVZ упакован обычным UPX


Но, насколько я понял 3 раза?

----------


## Зайцев Олег

> Но, насколько я понял 3 раза?


Нет, обычная упаковка, upx 2.03.

----------


## ALEX(XX)

> Нет, обычная упаковка, upx 2.03.


Что ж поделать, эвристика...

----------


## Alex_Goodwin

Осталось остальным отписать.

----------


## NickGolovko

Олег, одно сообщение, не соответствующее действительности, все же вылезло:

----------


## Макcим

Очепятка в интерфейсе главного окна. Лишняя буква "v" в слове "AdWare".

----------


## Зайцев Олег

> Очепятка в интерфейсе главного окна. Лишняя буква "v" в слове "AdWare".


Нет, там написано правильно ... Просто исторически сложилось, что рекламные программы я называл "AdvWare", а не "AdWare" (по английский "рекламный" звучить как "*Adv*ertising").

----------


## aintrust

> ...рекламные программы я называл "AdvWare", а не "AdWare" (по английский "рекламный" звучить как "*Adv*ertising").


С другой стороны, в английском языке прослеживается довольно устойчивое употребление сокращения *ad* вместо *advertisement* (реклама, объявление) - отсюда, собственно, и *adware*. Употребление *AdvWare* выглядит несколько надуманным (к примеру, слово *adware* вы найдете в *wikipedia.org*, а вот *advware* - нет).

----------


## Зайцев Олег

> С другой стороны, в английском языке прослеживается довольно устойчивое употребление сокращения *ad* вместо *advertisement* (реклама, объявление) - отсюда, собственно, и *adware*. Употребление *AdvWare* выглядит несколько надуманным (к примеру, слово *adware* вы найдете в *wikipedia.org*, а вот *advware* - нет).


Я знаю ... просто это исторический пережиток, со временем от него можно уйти и перейти к общепринятому термину "adware".

----------


## Spakr

День добрый.

  При сканировании (4.27, параметры по умолчанию, база от 03.09.2007 10:31)  не проходит пункт 7 (эвристическая проверка) :

...
Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
...

7. Эвристичеcкая проверка системы
Ошибка скрипта: Not enough actual parameters, позиция [29:18]
Ошибка микропрограммы 366
Проверка завершена

----------


## Rene-gad

Привет,
сделал небезынтересное открытие: оказывается русский интерфейс АВЗ может быть использован на _не-русском_ ПК (см. Картинку). А нельзя ли сделать *всю* кодировку интерфейса так, чтобы заменить все вопросительные знаки на понимаемый текст?  :Huh:

----------


## SuperBrat

> Протокол антивирусной утилиты AVZ версии 4.27
> Сканирование запущено в 03.09.2007 14:45:13
> Загружена база: 125645 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.09.2007 10:31
> Загружены микропрограммы эвристики: 371
> Загружены микропрограммы ИПУ: 9
> Загружены цифровые подписи системных файлов: 62402
> Режим эвристического анализатора: Средний уровень эвристики
> Режим лечения: выключено
> Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
> ...


На XP SP2+фиксы тоже такое вылезло.

----------


## Зайцев Олег

> На XP SP2+фиксы тоже такое вылезло.





> Ошибка микропрограммы 366


Это моя промашка, сейчас поправлю (там в 366 МП запятая пропущена, я сообщение компилятора при сборке базы я прозевал).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jef239

> Привет,
> сделал небезынтересное открытие: оказывается русский интерфейс АВЗ может быть использован на _не-русском_ ПК (см. Картинку). А нельзя ли сделать *всю* кодировку интерфейса так, чтобы заменить все вопросительные знаки на понимаемый текст?


Давай я тебе отвечу, я тоже на Delphi пишу.  :Smiley: 
Сделать можно - в каждой форме Font.Charset русским поставить. Но скорее всего получим проблемы с длинными путями из национальных символов. Переделывать всё на Unicode - довольно трудоёмко даже с пакетом TNT (этот путь я проходил).
А ты уверен, что у тебя во всех шрифтах есть русская страница? Проверил бы при помощи "таблицы символов" шрифты, указанные в "оформлении" в "свойствах экрана".

----------


## Зайцев Олег

> Сделать можно - в каждой форме Font.Charset русским поставить


Он именно такой там и есть ... Font.Charset = RUSSIAN_CHARSET

----------


## Jef239

> Он именно такой там и есть ... Font.Charset = RUSSIAN_CHARSET


Значит у него часть шрифтов без русской кодовой страницы... У тебя шрифты какие? Просто установка Font.Charset сбрасывает ParentFont в FALSE и имена шрифтов берутся из DFM.

А вывод имён файлов с умляутами не работает? Или там Unicode?

Могу дать код, как примирить установку русских шрифтов с ParentFont.... Но там тоже не всё гладко - меняется для всего компа, а не для приложения.

----------


## Rene-gad

> А ты уверен, что у тебя во всех шрифтах есть русская страница?


не уверен, но судя по тому, что программой a-squared HiJackFree 2.0 я могу пользоваться в русском варианте - да  :Wink: . И мой вопрос был собственно: если в интерфейсе часть программы написана *так*, а часть - *эдак*, то почему бы не написать все *эдак*, а не *так* ?



> А вывод имён файлов с умляутами не работает


работает, но криво: например *&#228;* выдается, как *д*.



> Но там тоже не всё гладко - меняется для всего компа, а не для приложения.


я уже так тоже пробовал - еле вернул обратно  :Smiley:

----------


## Jef239

> не уверен, но судя по тому, что программой a-squared HiJackFree 2.0 я могу пользоваться в русском варианте - да .


А я думаю, что - нет. То есть часть шрифтов русских страниц не имеет. Ты проверь, не так уж сложно запустить "таблицу символов". Собственно знак вопроса покаызвает, что в твоих шрифтах такого символа нет. Потому как если бы была неверная кодировка, то были бы кракозябры (умляуты всякие).




> И мой вопрос был собственно: если в интерфейсе часть программы написана *так*, а часть - *эдак*, то почему бы не написать все *эдак*, а не *так* ?


Ты хочешь, чтобы всё было один и тем же шрифтом? Ну вот как-то принято в  виндах что меню идёт одним шрифтом, тексты в окнах - другим....

И потом, наверное проще тебе русифицировать комп при помощи чем Олегу менять шрифты во всех формах. Не говоря уже об именах файлов с умляутами (европейцы тоже могут файлы и папки на родных языках называть).

*Добавлено через 1 минуту*




> работает, но криво: например &#228; выдается, как д.


Это как раз следствие бездумной установки RUSSIAN_CHARSET

----------


## Rene-gad

> И потом, наверное проще тебе русифицировать комп при помощи чем Олегу менять шрифты во всех формах.


1. Я могу и далее спокойно пользоваться английской версией, хотя и в ней есть парочка вопросительных знаков вместо букв, и это наблюдается и на англоязычных компах. 
2. Русификация ПК не стоит у меня на повестке дня, хотя может _для Олега_ это было бы и проще  :Wink: . А речь идет просто о возможности создания универсального языкового интерфейса, как напр. в уже упомянутой a-squared HiJackFree 2.0 или Spybot Search and Destroy. Если говорить о распространении программы в мире, где подавляющее большинство машин работают с латиноязычным интерфейсом, и, м.б. даже выпуска платной версии АВЗ, то без этого не обойтись. Если же применение программы по задумке ограничивается *только Россией*  - то не _стоїть шкурка вичинки_.Ну и подстраивать кобылу под подкову ИМО в любом случае не логично.



> Это как раз следствие бездумной установки RUSSIAN_CHARSET


я тут ничего не устанавливал, виноват, как всегда он  :Wink:

----------


## Jef239

> 1. Я могу и далее спокойно пользоваться английской версией,


Особенно с учётом того, что английская 4.27 не вышла.



> 2. Русификация ПК не стоит у меня на повестке дня,


Гм... Ну либо играем, либо не играем... Либо у тебя в шрифтах ЕСТЬ русские буквы, либо ты видишь вместо них вопросы.




> хотя может _для Олега_ это было бы и проще . А речь идет просто о возможности создания универсального языкового интерфейса, как напр. в уже упомянутой a-squared HiJackFree 2.0 или Spybot Search and Destroy.


В переводе это означает, что часть шрифтов  у тебя с русскими буквами. Посмотреть, какие именно тебе лень.  :Smiley:  И ты предлагаешь Олегу сыграть в  угадайку. 

Давай ты вначале посмотришь, какие у тебя шрифты с русскими буквами.. А уж потом - заменишь оставшиеся (или Олег что-то поменяет, если у него где-то неюникодные шрифты выбраны).




> Если говорить о распространении программы в мире, где подавляющее большинство машин работают с латиноязычным интерфейсом, и, м.б. даже выпуска платной версии АВЗ, то без этого не обойтись.


Для этого полезнее была бы аглийская версия. А ещё лучше - версии на всех языках. Как я понял, шаги в эту сторону есть.




> я тут ничего не устанавливал, виноват, как всегда он


 Нет, это Олег поставил принудительный русский язык там, где нужно было оставить национальный (это я об умляутах в именах файлов).

----------


## Rene-gad

> Особенно с учётом того, что английская 4.27 не вышла


ОК, сказал не точно: я вообще *не пользуюсь программой, чтобы лечить мой ПК*  :Smiley: . Кроме того - пока не появилась английская версия, а это случилось только 3-4 месяца назад (special tnx @NickGolovko :Wink: ), я вообще не имел возможности прочитать, что я собсно делаю - ориентировался на *расположение команд в меню*.



> В переводе это означает, что часть шрифтов  у тебя с русскими буквами. Посмотреть, какие именно тебе лень. И ты предлагаешь Олегу сыграть в  угадайку.


Я не предлагаю Олегу, подогнать АВЗ к  *моему* компьютеру . Набор руссифицированных шрифтов в стандартной версии немецкого Винда *достаточный*, чтобы писать или читать по-русски: почтовые клиенты, браузеры, оффис-программы etc. справляются. Я как _избалованный потребитель_ только того хочу, чтобы интерфейс был мне удобен и ничего не нужно было бы фундаментально переставлять в системе, т.к. это может повлиять на работу других программ.



> Для этого полезнее была бы аглийская версия. А ещё лучше - версии на всех языках.


именно так.

----------


## Jef239

> Я не предлагаю Олегу, подогнать АВЗ к моему компьютеру . Набор руссифицированных шрифтов в стандартной версии немецкого Винда достаточный, чтобы писать или читать по-русски: почтовые клиенты, браузеры, оффис-программы etc. справляются.


Видишь ли, есть два варианта... Или Олегу ставить немецкие винды, или тебе прислать список русифицрованных шрифтов. Угадай, что проще? Ещё раз - вызываешь таблицу символов (Пуск-стандартные) и смотришь. А потом правой мышкой на десктопе, вызываешь свойства, закладка оформление и проверяешь, что во все используемые шрифты имеют русскую страницу. 
Вот после этого Олегу поправить будет довольно просто. Был бы AVZ не запакован - и сам мог бы исправить в EXE.

----------


## pig

99% - со знаками вопроса экранные шрифты (MS Sans Serif), а по-русски выскочила строка, где [по недосмотру] оказался Arial.

----------


## Rene-gad

> Видишь ли, есть два варианта... Или Олегу ставить немецкие винды, или тебе прислать список русифицрованных шрифтов. Угадай, что проще?


мдя, у меня 448 ttf-файлов, если я сегодня вечером начну их просматривать, то к пенсии м.б. закончу. Или ты хочешь, чтобы я их тебе прислал?  :Wink:  Нет уж, пусть Олег *спокойно* работает над русской версией.
edit: Спасибо pig 
Задача упростилась до противного. Sans Serif всего 4 типа. Подвесил.

----------


## Зайцев Олег

> мдя, у меня 448 ttf-файлов, если я сегодня вечером начну их просматривать, то к пенсии м.б. закончу. Или ты хочешь, чтобы я их тебе прислал?  Нет уж, пусть Олег *спокойно* работает над русской версией.
> edit: Спасибо pig 
> Задача упростилась до противного. Sans Serif всего 4 типа. Подвесил.


Эта строка изменилась не по недостмотру, в потому, что я с ней ставил опыты с отображением русского языка на нелокализованной Windows  :Smiley:  Подняв записи я вспомнил об этом ... далее нужен опыт, подробности см. PM

----------


## aintrust

> ...далее нужен опыт...


А что, неужели нигде не написано, как правильно писать программы на Делфи для многоязычных интерфейсов? Неужели эта среда программирования не содержит нескольких простых правил для достижения необходимого результата? В других более-менее распространенных языках все это делается довольно просто (при использовании поставляемых с ОС true type шрифтов), что здесь-то не так? Зачем нужно каждому конкретному пользователю ОС, отличной от русской, подстраивать свой системный интерфейс и набор шрифтов под AVZ? Просто эта проблема так долго уже тянется, постоянно всплывая то здесь, то там (например, не так давно в редакторе скриптов), что создается ощущение непонимания, как это можно (и нужно) сделать... 

Делфийцы, соберитесь с силами и придумайте (или поищите) уж какое-либо приемлемое решение! =)

PS. Кстати, шрифты, что прислал *Rene-gad*, довольно старые (1996 года издания) и, полагаю, вряд ли системные. Вероятно, они были поставлены в систему с какой-то программой от всеми любимой _Adobe_.

----------


## Зайцев Олег

> Делфийцы, соберитесь с силами и придумайте (или поищите) уж какое-либо приемлемое решение! =)


Беда вся в том, что у меня под рукой есть W2K и W2K3 (сервер и клиенсткая операционка), обе английские. В обоих есть AVZ и все аналогичные программы там работают без проблем, все отображается как положено. Там применяется обычный "MS Sans Serif" с кодировкой RUSSIAN_CHARSET и нечего более. Поэтому я просто не могу пронаблюдать проблему ... да и в свете создания нормальной многоязычной версии в ближайшее время причины искать нет особого смысла ... Хотя с дургой стороны если под рукой у меня появится скажем немецкая Windows и я свогу воспроизвести проблему на моем полигоне, то она будет решена за десяток минут. Только стоит ли - лучше нормальный многоязычный GUI сделать, там вообще проблема исчезнет как класс

----------


## drongo

ждём мультиязычную  :Wink:

----------


## Muffler

> и я свогу воспроизвести проблему на моем полигоне, то она будет решена за десяток минут.


*Олег*, рассказываю как воспроизвести проблему:

 - Ставим английскую *Win XP PRO SP2*
 - Control Panel -> Regional and Language Options -> 
  --->
--->

 - Перегружаем машину.

После этого получаем то что у *Rene-gad* на скриншоте.

----------


## Hawker

Никак не получается провести проверку версией 4.27 со стандартными настройками стандартным скриптом сбора информации и карантина. Просто вылетает программа.. иногда вот с таким экраном...
что делать? предыдущая версия работала без проблем  :Sad:

----------


## Jef239

> А что, неужели нигде не написано, как правильно писать программы на Делфи для многоязычных интерфейсов?


Написано. Все тексты выводятся в dll, для каждого языка - своя dll. И редактор для синхронного изменения текстов во всех языках. Удобно для больших проектов, которые изначально заточены под многоязыковость.



> Неужели эта среда программирования не содержит нескольких простых правил для достижения необходимого результата?


А вот тут ты делаешь подмену понятий. В первом абзаце ты говорил о многоязыковом интерфейсе. А тут уже речь идёт о показе русского языка на машинах, которые для этого не предназначены.



> В других более-менее распространенных языках все это делается довольно просто (при использовании поставляемых с ОС true type шрифтов), что здесь-то не так?


Да, НЕ ТАК. У Renegad использует не те шрифты, что поставляются с ОС. Во всяком случае, в его шрифтах русских букв нет. 
Реально в дельфи есть два стандартных пути:
1) В куче мест задать, что используется русский шрифт. Но при этом сам шрифт фиксируется, то есть он такой, как на машине разработчика.
2) Использовать шрифты, заданные пользователем на вкладке "оформление" в свойствах дисплея. Тогда кодовая страница (язык) берётся из региональных настроек.
А вот брать заданные пользователем шрифты и менять в них кодовую страницу действительно неудобно. У меня есть код для этого, могу запостить.... Но там нужно будет подрихтовать, потому как я заодно ещё и всю машину русифицирую...



> Зачем нужно каждому конкретному пользователю ОС, отличной от русской, подстраивать свой системный интерфейс и набор шрифтов под AVZ?


Не под AVZ, а под большой набор русскоязычных программ. В частности у ReneGad будут проблемы с ЛЮБЫМИ неюникодными программами, использующими MS San Seirif (или просто San Serif).



> Просто эта проблема так долго уже тянется, постоянно всплывая то здесь, то там (например, не так давно в редакторе скриптов), что создается ощущение непонимания, как это можно (и нужно) сделать...


Глобально это решается использование пакета TNT и переводом всего на юникод. Морока большая. Мы это делали для заказчиков в Казахстане. Зато проблем с умяутами в именах файлов не будет.



> Делфийцы, соберитесь с силами и придумайте (или поищите) уж какое-либо приемлемое решение! =)


Ну если Олег попросит - я свой код вышлю. В принципе дельфи вообще позволяют сразу после открытия формы изменять её шрифт. Просто стоит ли овчинка выделки? То есть много ли таких страдальцев?



> PS. Кстати, шрифты, что прислал *Rene-gad*, довольно старые (1996 года издания) и, полагаю, вряд ли системные. Вероятно, они были поставлены в систему с какой-то программой от всеми любимой _Adobe_.


Это к вопросу о "каждому конкретному пользователю ОС, отличной от русской".  :Smiley: 

*Добавлено через 4 минуты*




> мдя, у меня 448 ttf-файлов, если я сегодня вечером начну их просматривать, то к пенсии м.б. закончу. Или ты хочешь, чтобы я их тебе прислал?


Нет, я хочу чтобы ты проверил только те, что упомянуты в оформлении. Их максимум 8 штук, а скорее всего 5 - Times New Roman, Tahoma, Arial, SanSerif.... 
Дело в том, что в НЕКОТОРЫХ стандартных темах там стоят шрифты без русских букв. По крайней мере так была на гиганской стандартной схеме в русской Windows NT 4.0.
Думаю, что тебе всё равно придётся 10 минут на это потратить...

----------


## Nikollay

Всем доброго времени суток.
Слышал что новый AVZ не дружит с NOD32, а счем это связано?

----------


## ALEX(XX)

> Всем доброго времени суток.
> Слышал что новый AVZ не дружит с NOD32, а счем это связано?


Уже дружит  :Smiley:  Связано это было с тем, что NOD32 и несколько других антивирусов из-за эвристики приняли исполняемый файл AVZ как вредоносный. Ложные срабатывания были исправлены

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nikollay

Всем доброго времени суток.
Беда такая 


```
Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 04.09.2007 0:30:42
Загружена база: 125645 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.09.2007 10:31
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 62402
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: отключено
1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 000B4881], шаг [9]
2. Проверка памяти
 Количество найденных процессов: 30
```

А вчем может быть проблема, проблема исчезла после перезагрузки но появилась другая:


```
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1005DD0A]
 >>> Код руткита в функции SetWindowsHookExW нейтрализован 
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Ошибка в работе антируткита [Range check error], шаг [11]
```

----------


## drongo

*Nikollay*, сделай логи по правилам, посмотрим  :Wink:

----------


## aintrust

> А вот тут ты делаешь подмену понятий. В первом абзаце ты говорил о многоязыковом интерфейсе. А тут уже речь идёт о показе русского языка на машинах, которые для этого не предназначены.


Да ну? =) Я как начал в первом предложении говорить о многоязычном интерфейсе, так и продолжил говорить только о нем. То, как сейчас написан AVZ в русскоязычном варианте и почему в различных локализованных ОС происходит то, о чем упоминает *Rene-gad*, мне, собственно, малоинтересно (у меня все работает замечательно как в русскоязычной версии, так и во всех англоязычных - Windows 2k, Windows XP, Windows 2003, Windows Vista - что у меня есть под рукой). Я вообще не вижу тут особой проблемы - точнее, я предполагаю, как бы я для себя ее разрешил, если бы с ней столкнулся - однако бросаться решать ее для данного конкретного случая я не вижу особого смысла, и особенно в свете того, что Олег говорит о работе над полноценной многоязычной версией. Просто мне бы очень хотелось, чтобы и с новой версией не было тех проблем, с которыми Олег периодически сталкивался при написании существующей версии.

----------


## drongo

Олег, Я бы хотел напомнить о моей просьбе, если уж пишешь с чистого листа мультиязычный интерфейс, чтобы была поддержка иврита (стало быть письмо справа налево  :Wink:  )

----------


## Geser

> Олег, Я бы хотел напомнить о моей просьбе, если уж пишешь с чистого листа мультиязычный интерфейс, чтобы была поддержка иврита (стало быть письмо справа налево  )


А зачем??? У нас английский более менее все знают

----------


## Saule

Небольшая ошибка в 'Менеджере автозапуска' (AVZ 4.27.0.1), раздел 'TerminalServer'.
В следующих ключах должен быть пробел между 'Terminal' и 'Server':



```
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...

...Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
...Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
...Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
```

AVZ ищет их без пробела, из-за чего не выводит файлы, которые пытаются запускаться оттуда.

----------


## Зайцев Олег

> Небольшая ошибка в 'Менеджере автозапуска' (AVZ 4.27.0.1), раздел 'TerminalServer'.
> В следующих ключах должен быть пробел между 'Terminal' и 'Server':
> 
> 
> 
> ```
> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...
> HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...
>  
> ...


Спасибо - баг подтверждается, там проверяется 4 ключа - один с пробелом как нужно, остальные три без пробела. Баг пофигсен, видимо скоро выйдет исправленный билд 4.27

----------


## joniscoolkz

Вопрос. Как будет вести себя и работать AVZ с Win NT... и как потом будет себя вести NT после сканирования?

----------


## Зайцев Олег

> Вопрос. Как будет вести себя и работать AVZ с Win NT... и как потом будет себя вести NT после сканирования?


NT точно ничего не станет, а вот в AVZ часть функций просто заблокируется, т.е. на NT4 не поддерживается

----------


## joniscoolkz

жалко... а что посоветуете для NT4?

----------


## Зайцев Олег

> жалко... а что посоветуете для NT4?


Так там 90% всех проверок AVZ стработает. Скорее всего выключится AVZGuard и функции антируткита, все остальное будет функционировать.

----------


## Virtual

глючит при наличии картовода
отправил
заявка №487

----------


## Ego1st

хм кстати пару раз и на 4.25 встречал такую картинку..

----------


## Зайцев Олег

> хм кстати пару раз и на 4.25 встречал такую картинку..


Это возникает, когда ищутся файлы Autorun.inf. Баг с CD я отмел в 4.27, а вот с картридером хуже.

----------


## Jef239

> Да ну? =) Я как начал в первом предложении говорить о многоязычном интерфейсе, так и продолжил говорить только о нем.


Значит я тебя не понял...



> у меня все работает замечательно как в русскоязычной версии, так и во всех англоязычных - Windows 2k, Windows XP, Windows 2003, Windows Vista


У тебя англоязычные русифицированы или нет? Если нет - то получается, что это вообще локальная проблема ReneGad.



> Просто мне бы очень хотелось, чтобы и с новой версией не было тех проблем, с которыми Олег периодически сталкивался при написании существующей версии.


Не знаю, о каких старых проблемах ты говоришь, но проблемы при написании мультиязычного интерфейса будут... Ну никуда ты не денешься от разной длины слов и разных правил склонения и спряжения в разных языках...

----------


## drongo

> А зачем??? У нас английский более менее все знают


Во первых не все  :Wink: Я знаю людей у которых ивритская винда стоит и как видят программу на английском -впадают в ступор  :Wink: Возможно их меньшинство, но эти люди даже не хотят учить базовый английский.
Да и вообще, а почему нет ?Если уж делать мультиязычный , то с  возможностью подключить любые языки. Пусть будет и на иврите , да хоть на китайском  :Wink: Главное чтобы мультиязычный модуль был дееспособным и  на любой  язык можно было бы перевести при желании и минимум знаний.Предлагаю такой вариант: Человек  скачивает английский экземпляр длл,переводит  при помощи определённой тулзы, которую Олег надеюсь смастерит  и преобразует при помощи её нужный код, который или компилит сам или отсылает Олегу  :Wink:

----------


## Jef239

> Предлагаю такой вариант: Человек  скачивает английский экземпляр длл,переводит  при помощи определённой тулзы, которую Олег надеюсь смастерит  и преобразует при помощи её нужный код, который или компилит сам или отсылает Олегу


Вот как раз такая "Тулза" в комплекте дельфей есть.  :Smiley: 
Там другого нет - механизма для выбора кодовых страниц. То есть пока язык программы совпадает с языком, установленным в виндах для неюникодных программ - всё хорошо. А как не совпадает.....

----------


## drongo

> А как не совпадает....


как раз этот случай имеет место быть  :Wink:

----------


## Muffler

> у меня все работает замечательно как в русскоязычной версии, так и во всех англоязычных - Windows 2k, Windows XP, Windows 2003, Windows Vista


Неверю! Хочу увидеть скриншот авз с настройками как я написал в посте №137





> Если нет - то получается, что это вообще локальная проблема ReneGad.


Нет не локальная, у меня такие же проблемы, на рабочих компах...

----------


## Jef239

> Неверю! Хочу увидеть скриншот авз с настройками как я написал в посте №137


И кто тебя заставляет в настройках английский язык ставить? А когда там русский - вполне верю.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Muffler

> И кто тебя заставляет в настройках английский язык ставить?


Страна в которой я живу...





> А когда там русский - вполне верю.


Но почему бы не сделать всю прогу так как сделано в этой строке ->

----------


## Jef239

> Но почему бы не сделать всю прогу так как сделано в этой строке ->


А что это даст? Ну кроме того, что у одной части пользователей появятся вопросительные знаки вместо русского текста,а у другой русский текст вместо вопросительных знаков?  :Smiley: 
Олег же объяснил, что это просто замена одного шрифта на другой.  У кого-то есть русские буквы в San Serif, а у кого-то в Arial. Вот если кто-то докажет, что в Arial (или Times New Roman) у 90% английских виндов есть русские буквы - это будет другой разговор.
У тебя английские винды? Ну так и посмотри, в каких из стандартных шрифтов есть русская кодовая страница. Неужели так трудно таблицу символов запустить?

----------


## Muffler

*Олег*, я вчера отправлял вам архив ~8MB, вы его получили?

----------


## Mad Scientist

Лог:
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
когда я ее отключил

----------


## Arhimed

Олег, понимаю что это пустячек, но хотелось бы... в 'Справка-> О программе' видеть дату обновления всей базы, а то рыскать по списку в поисках самой последней даты... глаза разбегаются.

----------


## Virtual

в расширеном режиме не находит окна на другом рабочем столе

//[ES]:Приложение не имеет видимых окон

----------


## aintrust

> Неверю! Хочу увидеть скриншот авз с настройками как я написал в посте...


*Muffler*, ваша фамилия случаем не Станиславский? =)

Что касается скриншотов... Во-первых, разве я где-то писал, что у меня Windows настроены в точности так, как показано у вас на скриншоте (я его даже и не смотрел, к слову...)? Во-вторых, я написал, что можно настроить англоязычные Windows таким образом, что в русскоязычном варианте AVZ с отображением букв все будет нормально. Надеюсь, вы в этом не сомневаетесь? =)

*Jef239* написал все правильно: в закладке 'Advanced' апплета 'Regional and Language Options' у меня установлен русский язык для не-Unicode приложений, и этого вполне достаточно для того, чтобы с AVZ не было никаких проблем. У вас, как я понимаю из дискуссии, там установлен английский язык - что же, ваше право, и в этом случае в текущем варианте AVZ русские буквы будут отображаться "крокозябрами". В общем, это такой компромисс: или одно, или другое, и вам выбирать, что для вас важнее...

Можно ли сделать так, чтобы AVZ нормально отрисовывал русские буквы в вашем варианте? Да, можно - как вариант, переписав AVZ на использование только Unicode-шрифтов (ну, или специальных битмап-шрифтов, содержащих русские буквы - хотя это, на мой взгляд, далеко не лучший вариант).

----------


## Rene-gad

> Вот если кто-то докажет, что в Arial (или Times New Roman) у 90% английских виндов есть русские буквы - это будет другой разговор.


Arial, Arial Black, Times New Roman, Tahoma - наиболее часто используемые шрифты имеют в немецкой винде кириллицу. Еще раз - у меня не возникло бы вопросов, если бы *все* надписи в интерфейсе состояли из *?????*. Часть надписей, даже в одном и том же окне, выглядит нормально, напр. http://freenet-homepage.de/rene-gad/...ng/update2.gif , а часть ваще с кракозябрами, напр. http://freenet-homepage.de/rene-gad/...update_end.gif

----------


## pig

> У кого-то есть русские буквы в San Serif, а у кого-то в Arial.


В Arial русские буквы есть всегда. Это вообще мультиязычный шрифт. Sans Serif таковым сделать нереально, поскольку получится очень большим по объёму (это не TrueType/OpenType, а растровый шрифт, поэтому там дублирование символов для разных размеров). При смене региональных настроек в систему подсовываются разные версии экранных шрифтов. Я это себе так представляю.
Ergo, надо просто использовать Arial (или Tahoma) с указанием нужной кодовой страницы. Как в HTML.

----------


## Jef239

> Arial, Arial Black, Times New Roman, Tahoma - наиболее часто используемые шрифты имеют в немецкой винде кириллицу.


В ЛЮБОЙ немецкой винде или именно в твоей? И проверь ещё Lusida San Unicode и Courier New. У меня, например, Lusida Console имеет страницу для иврита, но не имеет ивритского набора символов.



> Еще раз - у меня не возникло бы вопросов, если бы *все* надписи в интерфейсе состояли из *?????*.


Ну выяснилось уже, что дело именно в разных шрифтах. Чего пережёвывать...

*Добавлено через 1 минуту*




> а, можно - как вариант, переписав AVZ на использование только Unicode-шрифтов


Увы - не всех. Lucida Console видимо не подходит, несмотря на его уникодность... По крайне мере в русском варианте этого шрифта есть символы не всех языков, несмотря на его юникодность.

----------


## PavelA

@Rene-gad



> Еще раз - у меня не возникло бы вопросов, если бы все надписи в интерфейсе состояли из ?????. 
> 
> Ну выяснилось уже, что дело именно в разных шрифтах. Чего пережёвывать...


Просто именно в этой строчке программер ошибся и назначил не тот фонт.

----------


## Rene-gad

> В ЛЮБОЙ немецкой винде...?


В любой, по-крайней мере в ХР Про и Хоум  :Wink: 



> И проверь ещё Lusida San Unicode и Courier New.


Проверил: есть в обох.



> Просто именно в этой строчке программер ошибся и назначил не тот фонт.


Так не в этой *одной строчке*: *и тут и там* возникают кириллические буквы или кракозябры.

----------


## Jef239

> В Arial русские буквы есть всегда. Это вообще мультиязычный шрифт.


А откуда эта информация? То есть есть ли документ микрософт, который определяет, какие шрифты всегда содержат все символы, а какие (как Lucida Console) - содержат не все, несмотря на их юникодность. Иначе будет после покорения паневропейских версий виндоус плясать с азиатскими.

*Добавлено через 1 минуту*




> Просто именно в этой строчке программер ошибся и назначил не тот фонт.


Не ошибся, Олег же написал, что это был эксперимент.  :Smiley: 

*Добавлено через 2 минуты*




> Проверил: есть в обох.


Итак. Годятся Arial, Arial Black, Courier New, Lucida San Unicode, Tahoma, Timew New Roman

На мой взгляд - этого хватит. Даже более чем.

*Добавлено через 1 минуту*

Дальше - дело за Олегом. Причём, если у него DFM  текстовые, то это вообще на полчаса работы....

----------


## Зайцев Олег

> Дальше - дело за Олегом. Причём, если у него DFM текстовые, то это вообще на полчаса работы....


Не полчаса, а 3-5 секунд - они у меня в Oracle находятся и имеется автомат модификации. Английская версия то как делалась - за пару секунд из русской, все модифицировалось автоматом по базе данных. Но смысла далать такую операцию нет - я столь же просто могу заменить все сообщения на их коды, и затем прикрутить внешнюю базу на 10 кб для любого языка. Именно этим я прямо сейчас и балуюсь - автоматика модифицирует исходники и DFM, я смотрю что вышло, вношу корректуры в базу - и так заново, уже вполне действующий пример имеется .... на завтра запланированы окончательные тесты чистового варианта (причем в базе имеется не только перевод, но и схема подстановки шрифтов)

----------


## Jef239

> Но смысла далать такую операцию нет - я столь же просто могу заменить все сообщения на их коды, и затем прикрутить внешнюю базу на 10 кб для любого языка.


СМЫСЛ ЕСТЬ. Ну действительно, даже у меня в Питере бывает необходимость запускать программы не настроенных англоязычных ОС. Например, Windows 2000 server русской вообще не бывает. И я вполне верю, что забугорным пользователям удобнее (или приятнее) читать русский интерфейс.

*Добавлено через 1 минуту*

Да, а на Win 95/98 AVZ работает? Если да, то вроде Lusida San Unicode не стоит использовать...

----------


## Зайцев Олег

> СМЫСЛ ЕСТЬ. Ну действительно, даже у меня в Питере бывает необходимость запускать программы не настроенных англоязычных ОС. Например, Windows 2000 server русской вообще не бывает. И я вполне верю, что забугорным пользователям удобнее (или приятнее) читать русский интерфейс.


Если будет универсальный локализатор, то я сделаю набор ключей для управления им - возможность задать таблицу шрифтов пример т т.п. - русская версия AVZ то отомрет равно как английская - будет нормальная мультиязычная

----------


## aintrust

> Например, Windows 2000 server русской вообще не бывает.


Бывает, по крайней мере _Standard Edition_, у меня до сих пор парочка таких работает на стареньких серверах. _Enterprise_, насколько мне известно - не  было, по крайней мере я таковой живьем не видел. Однако и тут не было никаких проблем: на англоязычных _Windows 2000 Server_ везде выставлялся русский язык для не-юникод шрифтов (как и в случае с _XP_, _2003_ и выше). В таком варианте AVZ все отображает корректно, как я уже писал ранее...

----------


## Jef239

> Бывает, по крайней мере _Standard Edition_,


Значит я ошибся, это 2003 русской не бывает....

----------


## ALEX(XX)

> Значит я ошибся, это 2003 русской не бывает....


Это как? Не то что бывает, а есть.

----------


## Jef239

> Это как? Не то что бывает, а есть.


Точно помню, что одну из серверных (толи 2000, толи 2003) мы хотели купить русскую, но не удалось. Пришлось покупать английскую. То есть возможно и бывает, но не продаётся... А нам на завод надо было лицензионку ставить....

*Добавлено через 2 минуты*

Да, дело не в поддержке русского языка, а в интерфейсе самой ОС и её хелпов. Купить с русскоязычным интерфейсом - не получилось. Может быть, с тех пор и выпустили, это уж года три назад было...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

*Jef239*, мы себе года 1,5 назад взяли русскую Win 2003 server Standart. (полностью русская)Тем более, что 2003 вообще MUI поддерживает (если не ошибаюсь). С 2000 могли быть проблемы, но точно не помню

----------


## Kuzz

Гм, есть у меня и 2000-я и 2003-я (std, ent) - русские..

----------


## Jef239

> Внимание !!! База поcледний раз обновлялась 14.08.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
> Протокол антивирусной утилиты AVZ версии 4.27
> Сканирование запущено в 05.09.2007 23:54:06
> Загружена база: 134886 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 05.09.2007 20:02


А это он только у меня на 14 августа жалуется?

----------


## Mad Scientist

Я уже писал:
http://virusinfo.info/showpost.php?p...&postcount=165
Что в логе работы пишется:
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
когда я ее отключил

----------


## Jef239

> Я уже писал:
> http://virusinfo.info/showpost.php?p...&postcount=165
> Что в логе работы пишется:
> >> Безопасность: Разрешена отправка приглашений удаленному помошнику
> когда я ее отключил


Ты отключил через политику. Насколько я помню, все отключения через политику малонадёжны, то есть могут быть обойдены. Грубо говоря они действуют только на те программы, которые эту политику проверяют. А кто не проверяет - тот может и вопреки политике действовать. 
Не говоря уже о том, что при включении компьютера в домен (в 2000 и далее) локальная политика просто перестаёт работать.
Насколько я понимаю, Олег проверяет более жёсткое отключение.

----------


## AStr

> Значит я ошибся, это 2003 русской не бывает....


Бывает, Юра, бывает - купили пару месяцев назад Windows Server 2003 R2 Standart Edition русский

----------


## aintrust

> Значит я ошибся, это 2003 русской не бывает....


Прямо передо мной лежат инсталляционные диски _Microsoft Windows Server 2003 R2 Enterprise Edition With Service Pack 2_ (5 дисков)... =)




> Насколько я помню, все отключения через политику малонадёжны, то есть могут быть обойдены. Грубо говоря они действуют только на те программы, которые эту политику проверяют. А кто не проверяет - тот может и вопреки политике действовать.


Если бы все было так, как вы говорите, то такая политика безопасности вряд ли была бы кому-то нужна... В общем, вы не правы.

----------


## PavelA

@Олег
Нельзя ли в станд. скрипты добавить создание доп. лога из 
http://virusinfo.info/showthread.php?t=10387 

Часто стали случаться такие случаи, когда он становится необходимым.

----------


## Jef239

> такая политика безопасности вряд ли была бы кому-то нужна...


 Ну почему же? Ею можно ограничить действия ПОЛЬЗОВАТЕЛЕЙ, а не программ. То есть пока юзер не ставит в систему свои программы, то политика работает эффективно.
По крайней мере так было на NT 4. Да и на WIn2k - не лучше.
Ну сделай эксперимент - запрети вызов какой-нибудь CPL. А потом она у тебя прекрасно вызовется из FARа.
Да и AVZ наверняка на эти политики не смотрит.

----------


## Blasphemie

Я очень извиняюсь, если пишу в неправильный подфорум, но ничего более подходящего не нашел, не судите строго.

У меня вопрос: как в AVZ можно внести какие-либо файлы в список доверенных? Дело в том, что он мне постоянно рапортует, что файл vsdatant.sys перехватил много чего в Kernel Mode. А это драйвер ZoneAlarm'a, ему положено перехватывать. Но самое неприятное, что при лечении он эти перехваты убивает, а мне бы этого не надо.

----------


## SuperBrat

> Но самое неприятное, что при лечении он эти перехваты убивает, а мне бы этого не надо.


Вы лечите компьютер много раз на дню? Снятие перехватов - разовая процедура, ее нет необходимости проводить постоянно.

----------


## Rene-gad

> У меня вопрос: как в AVZ можно внести какие-либо файлы в список доверенных?


Пошлите файлы, которые Вы считаете хорошими,  Олегу Зайцеву на мыло [email protected] или закачайте их через форму: http://z-oleg.com/secur/avz/uploadvir.php. В любом случае приложите сответствующее описание.

----------


## Blasphemie

> Вы лечите компьютер много раз на дню? Снятие перехватов - разовая процедура, ее нет необходимости проводить постоянно.


Нет, конечно, не по нескольку раз.
Но мне приходится работать с клиентскими компами, а там такие ситуации тоже встречаются - одни перехваты надо убить, а другие оставить. Поэтому меня и интересует гипотетическая возможность отметки какого-либо перехвата как "доверенного".

UPD:



> Пошлите файлы, которые Вы считаете хорошими


Спасибо за совет, отправил.

----------


## Зайцев Олег

> Поэтому меня и интересует гипотетическая возможность отметки какого-либо перехвата как "доверенного".


 Технически возможность есть и всегда была, но:
1. Снятие части перехватов может привести к неодекватным последствиям в работе разного ПО
2. Часто бывает эффект "каскадного перехвата" - когда функцию перехватывает сначала зловред, а затем поверх что-то еще, напрмиере Firewall

----------


## Bratez

> одни перехваты надо убить, а другие оставить.


Зачем такие сложности? Перехваты снимаются только на время лечения и исследования системы. После перезагрузки они снова действуют (если конечно перехватчик не был удален в процессе).

----------


## Макcим

> Но мне приходится работать с клиентскими компами, а там такие ситуации тоже встречаются - одни перехваты надо убить, а другие оставить.


Это какие случаи? AVZ не занимается снятием конкретных перехватов.

----------


## Blasphemie

> Часто бывает эффект "каскадного перехвата" - когда функцию перехватывает сначала зловред, а затем поверх что-то еще, напрмиере Firewall


Да, об этом я не подумал.




> Это какие случаи? AVZ не занимается снятием конкретных перехватов.


Так я о том и толкую, что _иногда надо бы_ одни перехваты снять, а другие оставить.
Но меня почти убедили, что этого делать не надо.  :Smiley:

----------


## Jef239

> Технически возможность есть и всегда была, но:
> 1. Снятие части перехватов может привести к неодекватным последствиям в работе разного ПО
> 2. Часто бывает эффект "каскадного перехвата" - когда функцию перехватывает сначала зловред, а затем поверх что-то еще, напрмиере Firewall


Олег, а ведь ему нужно то же, что и мне - локальных список чистых файлов. Думаю, что если он не увидит этих перехватов в логе, то ему этого хватит.

*Добавлено через 15 минут*




> Пошлите файлы, которые Вы считаете хорошими,  Олегу Зайцеву на мыло [email protected] или закачайте их через форму: http://z-oleg.com/secur/avz/uploadvir.php. В любом случае приложите сответствующее описание.


А что, сервис закачки чистых (по  справке AVZ это http://virusinfo.info/index.php?page=upload_clean, а на самом деле http://virusinfo.info/upload_clean.php) уже приказал нам долго жить?
Кстати, а насколько слодно указать в справке AVZ правильный путь? Я об этом еще два месяца назад просил (http://virusinfo.info/showthread.php...480#post120480)

----------


## AndreyKa

По теме: http://virusinfo.info/showthread.php?t=12281
Странно в логе HijackThis троянская служба есть:



> O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)


А в логах AVZ нет. Это потому что поток у файла, занесенного в базу безопасных?

----------


## Зайцев Олег

> По теме: http://virusinfo.info/showthread.php?t=12281
> Странно в логе HijackThis троянская служба есть:
> 
> А в логах AVZ нет. Это потому что поток у файла, занесенного в базу безопасных?


Почему AVZ его не видит ? См. в логе с лечением:
c:\windows\system32\svchost.exe:exe.exe:$DATA >>>>> Trojan.Win32.Agent.bfd  успешно удален
Т.е. AVZ в данном случае нашел зловреда в потоке и прибил его ... прибиение известных зловредов  идет до исследования системы

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jef239

Олег, а насколько трудно добавить в AVZ менеджер типов фалйов? Периодически бывают проблемы, когда по раширению HTM запускается что-то дургое,например медиаплейер.... Я н прошу проверять (хотя можно и првоерить). Но вот показать... Или сделайть скрипт, чтобы на стандатные исправлять....

*Добавлено через 2 минуты*

Просто часа два возьни с AVZ не дали ничего. Потом нашли вручную в свойствах папки. Правда в итоге оказалось, что это прокладка (между экраном и клавиатурой) постаралсь.  :Smiley: 
Если не трудно, то запиши в список пожеланий? Я такие проблемы примерно раз в неделю вижу....

----------


## AndreyKa

> Почему AVZ его не видит ? См. в логе с лечением:
> c:\windows\system32\svchost.exe:exe.exe:$DATA >>>>> Trojan.Win32.Agent.bfd успешно удален


Файл на диске увидел, а службу - нет. Лог HijackThis создается по Правилам *после* логов AVZ.

----------


## Rene-gad

Хочу проверить - это только у меня так, или у всех:
1. Английская АВЗ+обновление баз вручную. Информация в логе:



> ...The database was last updated *11.08.2007* - it is necessary to update ....Database loaded: 134762 signatures, 2 NN profile(s), 55 microprograms of healing, signature database released *08.09.2007 17:07*


2. В списке HOSTS FILE записаны все хосты, которые заблокированы Spybot S&D V. 1.5. 
Лог в аттаче.

----------


## Alex_Goodwin

*Rene-gad*, По пункту 2 так у всех.

----------


## Jef239

> 1. Английская АВЗ+обновление баз вручную.


У меня тоже самое. Уже писал об этом. AVZ 4.27 русская

----------


## Зайцев Олег

> У меня тоже самое. Уже писал об этом. AVZ 4.27 русская


К концу следующей недели 4.27 может прекратить свое существование по причине готовности v4.28. Версия 4.28 мультиязычная, с ее выходом англоязычная версия прекратит существование как класс.

----------


## aintrust

> К концу следующей недели 4.27 может прекратить свое существование...


Ну, если Олег говорит "к концу следующей недели", то, как показывает практика за последний год, недели через 2-3 мы это можеть быть увидим! =)

А если серьезно, то может стоит такое событие "отметить" повышением номера версии, т.е. 5.0 (ну, или хотя бы 4.50), чтобы нам всем потом не путаться ни с версиями, ни с базами?

----------


## Muffler

> К концу следующей недели 4.27 может прекратить свое существование по причине готовности v4.28. Версия 4.28 мультиязычная, с ее выходом англоязычная версия прекратит существование как класс.



*Олег*, может сначало в закрытый раздел для тестов?

----------


## Зайцев Олег

> *Олег*, может сначало в закрытый раздел для тестов?


Это непременно будет - в понедельник.

----------


## anton_dr

Олег, по отключению службы терминалов. Она может использоваться и на домашних компах - служба "Монитор инфракрасной связи" зависима от службы терминалов.

----------


## Bratez

Дополню Антона:
1. От Терминалов зависит еще Fast User Switching, некоторые юзают.
2. От SSDP Discovery зависит UPnP Host, их надо вместе отключать.

----------


## aintrust

> 2. От SSDP Discovery зависит UPnP Host, их надо вместе отключать.


Насчет последнего нужно быть довольно осторожным: некоторые сетевые устройства взаимодействуют с клиентами-компьютерами через службу UPnP, и отключение последней может привести к отсутствию возможности использования сетевых сервисов (локальная сеть, выход в Интернет и т.д.). Такие случаи уже были и даже обсуждались тут...

----------


## ISO

> >> Безопасность: Разрешена отправка приглашений удаленному помошнику


Так маленькая поправочка -грамматическая ошибка в слове помоШник, правильно помощнику.

----------


## AndreyKa

Олег, я как-то поднимал тему автоматической очистки папки временных файлов IE средствами AVZ из-за очень большого времени сканирования. С этим есть подвижки?
Насколько помню, были пожелания:
1. Команда скрипта, которая очищает временную папку.
2. Очистка не только стандартным механизмом (как через GUI), но и принудительным удалением всех лишних файлов.
3. Очистка папок всех пользователей, а не только активного.
4. Автоматическая очистка временной папки IE при выполнении стандартного скрипта лечения.

----------


## Зайцев Олег

> Олег, я как-то поднимал тему автоматической очистки папки временных файлов IE


Подвижки таковы - будет отдельная подсистема AVZ - "очистка системы", которая будет чистить кукизы, темп папки, разные истории и т.п.

----------


## Макcим

Когда будет?  :Smiley:

----------


## Зайцев Олег

> Когда будет?


Когда нибудь - когда до этого руки дойдут ...

----------


## Rene-gad

> Олег, я как-то поднимал тему автоматической очистки папки временных файлов IE средствами AVZ


ребята, давайте не будем давить на Олега с созданием eierlegende Wollmilchsau (см. картинку, не требующую перевода  :Wink:  )
 
Для очистки этих папок имеются 
а) встроенные средства Виндоуз
б) куча freeware -программ
описание первого и одной из вторых см. тут: http://virusinfo.info/showthread.php?t=10025
ИМО можно/нужно дополнить Правила пунктом, рекомендующим очистку ПК от временных файлов.

----------


## Surfer

В этом плане CCleaner лучше всех  :Smiley:

----------


## Макcим

> В этом плане CCleaner лучше всех


+1

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## afik

После проверки AVZ выдала следуюущее :
 Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 317 описаний портов
 На данном ПК открыто 2 TCP портов и 5 UDP портов 
(файрвол - MCAfee)
 Проверка завершена, подозрительные порты не обнаружены
насколко опасно?и как блокировать?(стоит ли блоктровать?)

----------


## pig

А что блокировать, если опасности не видно?

----------


## Thomas

Приветствую всех.

Тут у меня проблемка случилась. Завелся "зверек" на компе. Обнаружился при помощи утилиты AVZ, выличить систему не удалось, пришлось переставить.
Так вот какой факт обнаружился.
После установки системы проверяю её AVZ все чисто, никаких перехватов ни в user mode ни в kernеl mode.
Устанавливаю OutPost.
Он просит перезагрузить комп. Ок. Комп перезагружается и ...
система не стартует. После заставки Windows получаем просто черный экран вместо синего экрана приветствия и возможности залогиниться.
А лампочка активности харда мигает, то очень активно, то переодически.
Ждал, ждал ... довольно долго. Потом резет.
Со второго раза система запустилась.
Закончилась донастройка Outposta. Обновились, проверились. 
И тут самое интересное.
Ожидаю после проверки AVZ увидеть что, Outpost перехватил некоторые функции в кернел моде, а вижу совсем другое.
Перехват непонятно кем более 30-ти функций в user mode!

Что бы это значило?

----------


## AndreyKa

> Что бы это значило?


Полный лог проверки можно увидеть?
В KernelMode перехватов что ли нет?

----------


## drongo

*Thomas * , http://helpme.virusinfo.info

----------


## HATTIFNATTOR

Аутпост их и перехватывает



```

1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004D806]
Функция kernel32.dll:WinExec (897) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll:ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004D766]
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]

```

----------


## Jef239

> Ожидаю после проверки AVZ увидеть что, Outpost перехватил некоторые функции в кернел моде, а вижу совсем другое.


А при отрытии окна Аутопост слов Service mode нет. Так? Это означает, что у тебя не запустился сервис аутпост, а только оболочка. Поэтому оболочка взяла на себя функции сервиса. Такой режим менее надёжен. И не работает, когда ты вышел из логина или ещё не зашёл под логин. Перестаустанови атупост или попробуй пересутановить службу руками.

----------


## Thomas

> Полный лог проверки можно увидеть?
> В KernelMode перехватов что ли нет?


AndreyKa
Приветствую.
Сейчас перехваты и в кернел моде.
Тут четко видно что, перехватчик Outpost.

----------


## AndreyKa

> ребята, давайте не будем давить на Олега с созданием eierlegende Wollmilchsau


А я и не давлю, просто напомнил. Олег сам решает какие предложения реализавывать. А моё вполне актуально:
http://virusinfo.info/showpost.php?p=134988&postcount=6

----------


## SuperBrat

В генерации текста ответа пользователю надо исправить ошибку в слове.


```
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

После выполнения скрипта компьютер перезагрузится. 
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
```

----------


## Макcим

Я уже писал об этом в закрытом разделе

----------


## aintrust

> В генерации текста ответа пользователю надо исправить ошибку в слове.
> 
> 
> ```
> 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
> 
> После выполнения скрипта компьютер перезагрузится. 
> Прислать карантин согласно приложения 3 правил .
> Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
> ...


Хотя это оффтопик, но в приведенном отрывке я вижу одну описку (упомянутую выше) и две ошибки... =)

----------


## AndreyKa

Олег, опять какая то неразбериха со службами. http://virusinfo.info/showthread.php?t=12493 
В логах AVZ все службы опознаны как безопасные, а логе HijackThis:



> O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\vfujclog.exe (file missing)

----------


## NickGolovko

Вроде в логе отображаются только активные службы.

----------


## Зайцев Олег

> Вроде в логе отображаются только активные службы.


Да, именно так ... если служба полуубитая (т.е. у нее к примеру прибит тип запуска, или отна отключена), то она в логе не отобразится

----------


## толстопуз

Сабж. Выскажусь с позиций юзера.
Сидишь себе, работешь. Год за годом. Вирус или троян появляется раз в год-два. В результате внимания проверкам невольно уделяется всё меньше и меньше. И совсем не сложно пропустить новую строчку в куче предупреждений о перехватах функций симантековским корпоративным антивирусом, "подозрительных" утилитах видеокарты висящих в трее, "подозрительном" фаерволе, Лингве, и т.д. и т.п. 

Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения. Ну и конечно параметр в настройках позволяющий отключать использование этой базы. Чтоб админ при желании мог целиком видеть всё, без учета мнения юзера.

ЗЫ: Вопрос по портам. AVZ ругается на 135-139 порты. Создал в фаерволе правело запрещающая принимать на них TCP и UDP. AVZ по-прежнему ругается. Так и должно быть, или я что-то не так сделал. Фаервол COMODO. Последний.

----------


## Jef239

> Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения.


Олег, это вот как раз в духе того, что я просил. То есть меня такая локальная база устроит.

----------


## толстопуз

И ещё по поводу локальной базы чистых. 
ИМХО она должна защищать файлы от выдачи предупреждений о подозрениях, но не как не от проверок на известные вирусы и прочую адварь.

----------


## Blasphemie

> Я бы только предлагал делать локальную базу с включением размеров, дат и CRC файлов. Чтобы обновленный или испорченый софт опять вызывал предупреждения. Ну и конечно параметр в настройках позволяющий отключать использование этой базы. Чтоб админ при желании мог целиком видеть всё, без учета мнения юзера.


Ага, именно это я и имел в виду, собственно.

*Rene-gad*, это пишется Vollmilchsau.  :Wink:

----------


## aldares

При отложенном удалени видим просто например:



> Отложенное удаление файла C:\WINDOWS\system32\msdnc0.exe
> Автоматическая чистка следов удаленных в ходе лечения программ


теперь не пишется, что именно из реестра удалено, или это значит, что ничего не найдено ?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## tar

Уважаемый Олег, сейчас наступило время массового распространения коммутикаторов в народе. Вирусов толковых еще для них, нет, но это время не загорами.
Поэтому у меня вопрос: будет ли создан AVZ для коммуникаторов? Пусть для начала самое простое: анализ автозагрузки, анализ процессов в памяти, и ревизор-примитив.

----------


## Jef239

Авторы программ для комуникаторов пишут (см. последня компьютера), что мол для них антивирусы есть, а вирусов нету. Потому как всегда программы подписываются.

----------


## Зайцев Олег

> Уважаемый Олег, сейчас наступило время массового распространения коммутикаторов в народе. Вирусов толковых еще для них, нет, но это время не загорами.
> Поэтому у меня вопрос: будет ли создан AVZ для коммуникаторов? Пусть для начала самое простое: анализ автозагрузки, анализ процессов в памяти, и ревизор-примитив.


такая вероятность есть - что-то типа микро-AVZ для коммуникатора под Windows Mobile. Windows Mobile кстати идеалогически мало отличается от обычной Windows (тот-же реестр, файловая система и т.п.). Я когда издевался над своим коммуникатором, потребность в некоем анализаторе возникала ...

----------


## Rene-gad

> *Rene-gad*, это пишется Vollmilchsau.


нет, это пишется *Woll*milchsau (от Wolle - шерсть): http://de.wikipedia.org/wiki/Eierlegende_Wollmilchsau

----------


## Blasphemie

> от Wolle - шерсть


Ах, в этом смысле... Тогда да, спорить не буду.   :Lipsrsealed: 

Флудить больше не буду, честно!..  :Smiley:

----------


## Ego1st

Олег у меня 3 машинки в бсод уходят при сканировании, если отметить 2 скрипта поиск и нейтрализация руткитов и сбор информации для раздела помогите.. 
есть мини дампы с 2 машинок.. 
http://rapidshare.com/files/58836283/Minidump.rar.html вот линк, на рапиду закачал потому что почему-то тут немогу найти как..

----------


## Зайцев Олег

> Олег у меня 3 машинки в бсод уходят при сканировании, если отметить 2 скрипта поиск и нейтрализация руткитов и сбор информации для раздела помогите.. 
> есть мини дампы с 2 машинок.. 
> http://rapidshare.com/files/58836283/Minidump.rar.html вот линк, на рапиду закачал потому что почему-то тут немогу найти как..


Спасибо !
Еще неплохо бы логи с перехватами - посмотреть, что за функции там перехвачены. В версии 4.28 я навернео сделаю регулируемое отключение разных уровней снятия перехватов из скрипта - на такой случай (4.28 кстати на подходе)

----------


## Jef239

Имеется проблема - иногда разного рода шароварные программки устанавливают расширения проводника (или IE) в HKLM, но хранят DLL в Document and Setiings для того юзера, который устанавливал их. В итоге при запуске под юзером без админских прав начинаются разного рода траблы, например отсутствие входа под логин.
С другой стороны, установка DLL в необщедоступное место может быть и при зловредной активности.
Хотелось бы следующее (я прошу по максимуму :Smiley:  ):
1) Проверку доступности для всех юзеров для всех DLL и EXE, упомянутых как автозапуск или расширения (проводника, IE, печати, DPF....) не в HKCU и папке "автозапуск" логина.
2) Индикацию в списках доступности файлов для всех юзеров (в отдельном столбце или по контектному меню (
3) Скрипт для деактивации (снятие галки) таких DLL из списков автозапуска или расширрений.
4) Скрипт для изменения доступа таким образом, чтобы эти dll были доступны всем логинам (точнее - группе "пользователь").

----------


## PavelA

По- моему это нужно поправить.
Ну нет в этой системе "Восстановления"  :Wink: 


```
Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
Восстановление системы: включено
```

----------


## Зайцев Олег

> По- моему это нужно поправить.
> Ну нет в этой системе "Восстановления" 
> 
> 
> ```
> Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
> Восстановление системы: включено
> ```


А может есть, но хорошо спрятано ?  :Smiley:  Это конечно баг, там просто ключик реестра читается и проверяется, не глядя на версию и не проверяя чего либо еще

----------


## Ego1st

> Спасибо !
> Еще неплохо бы логи с перехватами - посмотреть, что за функции там перехвачены. В версии 4.28 я навернео сделаю регулируемое отключение разных уровней снятия перехватов из скрипта - на такой случай (4.28 кстати на подходе)


там каспер стоит.. 6 версии в следующий раз буду там, притащу логи..

----------


## UriF

Не могу скачать англоязычную версию 4.27. Скачиваю, а там - 4.25

----------


## Muffler

> Не могу скачать англоязычную версию 4.27. Скачиваю, а там - 4.25


А нет английской версии 4.27, последняя - 4.25.

Ждите 4.28.

----------


## Гость

При сканирвоаниии AVZ(4.27) диска возникает интерсная ситуация: находит файл, сообщает: ошибка распаковки и AVZ отключается. Ни у кого раньше не было такого?

----------


## stopka2top

Возможно ли появление опции показывающей что файл (архив)
защищен паролем.

----------


## Ego1st

логи http://slil.ru/24965656 с 2 машин..

----------


## stopka2top

Очень хочется  опцию в поиске файлов на диске .
Нужна возможность выделения всех найденных файлов одной кнопкой .
А то 4000 тысячи кликов (для проставления галочки) делать не очень хочется.
Всему виной Win32.HLLM.Graz http://info.drweb.com/virus_description/471

----------


## Зайцев Олег

> Очень хочется опцию в поиске файлов на диске .
> Нужна возможность выделения всех найденных файлов одной кнопкой .
> А то 4000 тысячи кликов (для проставления галочки) делать не очень хочется.
> Всему виной Win32.HLLM.Graz http://info.drweb.com/virus_description/471


Вопрос не совсем ясен - "Сервис\Поиск файлов на диске" в AVZ - это особый менеджер для поиска файлов из GUI. В списке найденных файлов можно отметить все найденное через меню для списка файлов, вызываемое по правой кнопке. Плюс поиск файлов поддерживается из скриптов - в хелпе есть перимеры поиска файлов, обхода дерева каталогов и сигнатурного поиска по диску.

----------


## stopka2top

Извините , не нашёл.

----------


## SuperBrat

Зайцев Олег, при лечении зловреда на флешке AVZ удаляет сам exe-файл вредоноса и чистит ветки реестра, но оставляет файл autorun.inf через который запускался зловред. В итоге остается след заражения. Можно поправить?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Зайцев Олег, при лечении зловреда на флешке AVZ удаляет сам exe-файл вредоноса и чистит ветки реестра, но оставляет файл autorun.inf через который запускался зловред. В итоге остается след заражения. Можно поправить?


Я думал об этом - попробую что-то придумать в новой версии ...

----------


## stopka2top

Может сделать возможным архивацию карантина не только с паролем virus,
а infected или задаваемый пользователем .

----------


## Гость

Здравствуйте

В лицензионном соглашении есть текст: 
"2. Данная версия распространяется бесплатно и предназначена для некоммерческого применения;"
означает ли он, что этот продукт нельзя ставить на компьютеры в организации, или он подразумевает лишь то, что за этот продукт нельзя брать деньги?

----------


## stopka2top

А можно сделать так чтобы контекстное меню (правый мышеклик) 
в "Сервис\Поиск файлов на диске" соответствовало контекстному меню "Область поиска "
Т. е. возможность проверки без подкаталогов

----------


## Exxx

Во время выполнения скрипта "сбора неопознанных и подозрительных файлов" выдаёт вот такое:


```
...Выполняется автокарантин
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_atapi.sys)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS)
 Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\WINDOWS\system32\TUKERNEL.EXE)
Ошибка карантина файла, попытка прямого чтения (deskpan.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения ("D:\Util\TuneUp\sdshelex.dll")
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
 Карантин с использованием прямого чтения - ошибка
Автокарантин завершен...
```

При этом некоторые, непопавшие в карантин, файлы спокойно ищутся виндовым поиском и копируются Ctrl+C.

----------


## gafan2

Вопрос про testtesttesttest...

Извините если не в тему. Обратил внимание, что в конце работы AVZ 4.27 в открытый
текстовый файл былезает строка testtesttestest.. и т.д.
Нормально ли это?

----------


## SuperBrat

> Вопрос про testtesttesttest...
> 
> Извините если не в тему. Обратил внимание, что в конце работы AVZ 4.27 в открытый
> текстовый файл былезает строка testtesttestest.. и т.д.
> Нормально ли это?


Пользуйтесь поиском. Уже отвечали и не один раз. Это нормально. Ненормально другое - запускать другие программы при лечении вирусов.

----------


## gafan2

Спасибо за быстрый ответ. Поиском пользовался - поиск по "testtest"
выбрасывает на тему AVZ 4.25 (27 страниц). Прошелся по нескольким страницам
с начала и с конца но слово "test" не встретилось.
Согласен что "ненормально" запускать другие программы при лечении вирусов.
А при сканировании на вирусы - тоже не нормально?
Всех благ!

----------


## SuperBrat

> А при сканировании на вирусы - тоже не нормально?


Риторический вопрос, но я все же отвечу. При поиске (лечении) вирусов лучше бы все приложения (кроме фоновых) закрыть. И вам и антивирусу будет проще работать с возможными рисками.

----------


## Surfer

> И вам и антивирусу будет проще работать с возможными рисками.


ИМХО эти вещи про "закройте все приложения.." остались в 20 веке, сколько не пробовал, никакой разницы не улавливал


*gafan2*
Это, если память мне не изменяет, авз проверяет на кейлоггеры.

----------


## Зайцев Олег

> ИМХО эти вещи про "закройте все приложения.." остались в 20 веке, сколько не пробовал, никакой разницы не улавливал
> *gafan2*
> Это, если память мне не изменяет, авз проверяет на кейлоггеры.


да - это эмуляция клавиаотрно-мышиных событий. Если AVZ не в фокусе ввода, то он всодит строку символов test в активное окно

----------


## gafan2

Всем спасибо за помощь.
Удачной борьбы с малварью!

----------


## UFANych

Здравствуйте все. 

Собственно, озвучивалась идея локальной базы, озвучивалась идея "доверенного снимка системы". ИМХО, если это будет, логичным продолжением может быть следующее - режим работы с включенным AVZGuard, который позволяет полноценную работу только тем приложениям, кто есть в списках чистых\доверенных. 
Как бы это сказать, инверсия от действующей модели работы антивирусов.

Олег, ?

----------


## Nick222

Скажите, плз, в связи с тем, что The Bat версия 4 требует электронной цифровой подписи от плагинов - планируется ли обновление плагина AVZ для The Bat ?

----------


## Ego1st

Олег тут в лечении проскакивали файики в потоке
С:\windows\system32\svchost.exe:ext.exe:$DATA такого плана.. 
тут недавно столкнулся с такой же ерундой.. 
самое интересное то что в диспетчере служб и драйверов данная служба отмечена зеленым и при удалении, AVZ говорит что служба опознана как системная и типа фиг вам а не удаление..=)

----------


## [500mhz]

вопрос!
как у AVZ с самообороной? по моим наблюдениям имхо совсем никак
что то планируется делать в данном направлении?

----------


## Зайцев Олег

> вопрос!
> как у AVZ с самообороной? по моим наблюдениям имхо совсем никак
> что то планируется делать в данном направлении?


Конекретные предложения есть ? У альтернативы AVZ в виде AVPTool самозащита есть, у AVZ тоже есть свой вариант - для опыта стоит запустить _avz.exe ag=Y_, только перед этим опытом следует закрыть все программы и от греха сохранить все документы. Но тем не менее это беда не только AVZ, а всех утилит, которые ставятся на зараженную систему - если знающий утилиту зловред уже там, то он и может достаточно легко противодействовать запуску утилиты и сколь бы не была крутой ее самозащита, она попросту не успеет сработать.

----------


## aintrust

> как у AVZ с самообороной? по моим наблюдениям имхо совсем никак


С самозащитой у AVZ действительно беда - насколько мне помнится, AVZ даже после установки режима AVZGuard до сих пор легко "пристреливается" стандартным Task Manager-ом (Диспетчером задач). И, понятно, это далеко не единственный способ - было бы только желание у зловредописателя.

----------


## XL

Да, вот только драйвер защиты (тот самый AG) продолжает фунциклировать после пристреливания без возможности его выгрузки, что доствавляет немало проблем, если AVZ была убита чем-либо в памяти.... Рука сама собой тянется к reset на корпусе...

----------


## tar

Относительно вопроса ненадежности любого антивируса:
может дополнить AVZ возможностью создания системной дискеты с компонентами AVZ ?
Что может быть надежней, чем проверка системы без активного зловреда?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Относительно вопроса ненадежности любого антивируса:
> может дополнить AVZ возможностью создания системной дискеты с компонентами AVZ ?
> Что может быть надежней, чем проверка системы без активного зловреда?


Тут два момента:
1. Реестр. Загрузившись с системного диска, мы получим доступ к файлам, но не доступ к реестру (если отбросить его чтение/запись напрямую, парсингом файлов реестра) 
2. AVZ является Windows GUI приложением - из под DOS его не запустить  :Smiley:  
А вот если сделать загрузочный диск/флешку типа BertPE или аналогов, и поместить туда AVZ и аналогичные утилиты - тогда эта идея сработает.

----------


## Bratez

> если сделать загрузочный диск/флешку типа BertPE или аналогов, и поместить туда AVZ


Насколько я понимаю, при этом можно будет только просканировать диск "целевой" системы, но не получить протокол ее исследования (автозапуск, службы-драйверы и проч.). А было бы очень здорово иметь средство такого "оффлайнового" исследования! Ведь существуют даже редакторы реестра NT/2k/XP, работающие из-под ДОС (например такой есть на Hiren's Boot CD).

----------


## aintrust

> Да, вот только драйвер защиты (тот самый AG) продолжает фунциклировать после пристреливания без возможности его выгрузки, что доствавляет немало проблем, если AVZ была убита чем-либо в памяти...


А какие проблемы? Основная задача зловреда в данном случае - не позволить anti-malware программе (AVZ) выполнить анализ системы с последующим ее лечением. Если эта первичная задача выполняется, то достигается и конечная цель - зловред остается жить в системе. Даже если вы нажмете кнопку Reset, зловред никак не пострадает.

Кроме того, AVZGuard ограничивает выполнение лишь небольшого объема функций, поэтому оставшийся в системе зловред может, если нужно, доставить довольно много неприятностей.

----------


## XL

Проблема в том, что система зачастую впадает в тотальный висяк.  Ну оно и понятно. Если мне память не изменяет, то не работают даже клавиши перезагрузки и выключения из под Windows. AVZ повторно уже тоже не запустить и остается только ребут... А это драгоценное время.

----------


## aintrust

> Проблема в том, что система зачастую впадает в тотальный висяк.


Скажу откровенно - я потерял нить... =) 

Клавиши перезагрузки и выключения продолжают работать как и ранее - AVZGuard совершенно не мешает им (более того, это так и задумано изначально), но как это соотносится с темой о слабости AVZ в отношении его убиения (возможными) зловредами, я не понял, sorry.

----------


## XL

Восстанавливаю нить... Поскольку AVZ иногда убивается зловредами в силу прорех в системе самозащиты (и происходит это обычно при попытках завершения зловредных процессов или при исследовании системы даже при включенном ag), это обстоятельство вызывает проблемы после убиения AVZ зловредом из памяти. В результате данных проблем мы иногда имеем невозможность полноценно работать с Windows, т.к. после убиения avz ЗАВИСАЕТ и explorer.exe в т.ч, становится невозможным повторный запуск avz и, соответственно, выгрузка ag из памяти. Т.Е. единственным выходом из ситуации становится перезагрузка компьютера, сопряженная с потерями времени, а также с началом работы по-новой абсолютно без гарантии не наступить на те же грабли.
Извиняюсь за дотошность - это у меня профессиональное... =)

----------


## aintrust

Это я все понял... =)

Но вот какое дело зловреду, который смог воспрепятствовать AVZ сделать свою работу, до того, что пользователь теряет время на перезагрузку? Ему, зловреду, главное - не дать себя обнаружить и не дать себя пристрелить - ему ведь нет дела до ваших (и AVZ) проблем, связанных с "невозможностью нормальной работы, перезагрузкой компьютера и т.д.", не так ли? Ему, зловреду, нужно делать свою темную работу, он любой ценой должен остаться в системе!

Основная "проблема" утилит типа AVZ состоит в том, что они загружаются в уже зараженную систему. Если эта система содержит нечто (зловред), активно противодействующее загрузке или нормальной работе антивирусногло средства, то толку от такого антивирусного средства - ноль, оно никак не поможет найти и/или убить зловреда. В этом смысле AVZ почти никак не защищен - ни во время своей загрузки в систему, ни во время анализа, ни в режиме AVZGuard. На любом из этих этапов AVZ можно легко обезвредить, не дав ему сделать ничего полезного. Другие же утилиты подобной направленности, например RootkitUnhooker (который также грузится в уже зараженную систему), имеют значительно более высокий уровень самозащиты - как на этапе загрузки утилиты, так и во время ее работы.

----------


## XL

Да, бесспорно. Рисование заголовка окна, случайное имя исполняемого файла, упаковка полиморфиком и пр. играют на руку RKU. Но когда тот падает на, казалось бы, ровном месте во время простого исследования системы...все старания разработчиков сходят на нет. Им (разработчикам) бы обрести ту же дружелюбность по отношению к простым смертным, что прослеживается в случае с AVZ, тогда, глядишь, получалось бы лучше в силу возросшей от этого популярности утилиты  и большего простора для бета-тестинга. Но это так, к слову.
Ну а то, что самозащиту AVZ есть куда развивать - это безусловно. Хотя бы опыт конкурентов перенять некоторый. Слава Богу, что пока вирусописатели не обращают на AVZ особого внимания в силу не такой уж высокой популярности продукта. За исключением, пожалуй, только авторов Storm, про других пока не слышал. Вроде бы еще и Pandex тоже не совсем дружелюбен к AVZ. Это из того, что известно мне. Возможно, кто-то назовет и больше примеров. Тот же Storm применяет кернелмодное убиение процесса и блокирует подгрузку драйвера. Так что даже банальное переименование исполняемого файла приносит некоторые результаты...
Ведь не исключено что через годик-другой при поддержке ЛК процесс avz.exe станет таким же популярным как и kav.exe =) И тогда уже avz.exe ну просто обязан будет попасть в блэк лист малварописателей. Если, конечно, avz останется такой же самобытной, а не станет частью avp tool да и только...

----------


## RoKir

Подскажите пожалуйста, а в какой ветке задавать вопросы по работе программы? А то она выдает 205 строк вида:


```
Маскировка процесса с PID=452, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 452)
```

Я уже по всякому и проверял и AVZPM стоит, и ProocessExplorer'ом смотрел... ни как не пойму - это ошибка AVZ или у меня все-таки реально 205 замаскированых процессов.
(я работаю на системе Win2k3 EE SP2)

----------


## [500mhz]

> Слава Богу, что пока вирусописатели не обращают на AVZ особого внимания в силу не такой уж высокой популярности продукта


не верно, я делал уже пакер/криптор с килянием AVZ еще наверно год назад примерно

пс
я бы порекомендовал делать процесс с рандомным именем, и тоже самое относительно окошек и бутонов, покрайне мере таким образом даже без установки драйвера получим защиту от автокликеров

----------


## Зайцев Олег

> не верно, я делал уже пакер/криптор с килянием AVZ еще наверно год назад примерно
> 
> пс
> я бы порекомендовал делать процесс с рандомным именем, и тоже самое относительно окошек и бутонов, покрайне мере таким образом даже без установки драйвера получим защиту от автокликеров


У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы, исполняемый файл будут криптоваться случайно выбираемым пакером из определенного набора, плюс при сборке будут рандомно меняться ключевые моменты типа заголовка и класса окна, и прочее, за что может зацепиться автокликер или искатель окон по именам

----------


## [500mhz]

Зайцев Олег
я такое под линюх писал ) правда для загрузчика малваре
при каждом срабатывании ехплоита (ИЕ ехплоит) была новая криптовка

в принципе вариант не плохой при каждой скачке с офф сайта АВЗ будет иметь разную структуру

а насчет автокликеров, не просче ли хукать свой собственный процес на предмет фильтрации месаджей контролам?

----------


## Зайцев Олег

> а насчет автокликеров, не просче ли хукать свой собственный процес на предмет фильтрации месаджей контролам?


Можно и так ... и давить все левые мессаджи на корню. Хотя самое опасное для утилиты, которая ставиться на зараженную систему - это блокировка запуска (например, по имени файла, по копирайтам и т.п.), тогда уже ничего не поможет  :Smiley:

----------


## XL

> У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы, исполняемый файл будут криптоваться случайно выбираемым пакером из определенного набора, плюс при сборке будут рандомно меняться ключевые моменты типа заголовка и класса окна, и прочее, за что может зацепиться автокликер или искатель окон по именам


А не боитесь ли Вы, что все это породит массу ложняков (по одному  в день примерно...на каждую новую сборку) со стороны особо чувствительных эвристиков типа Avira? Преценденты уже были...

----------


## Зайцев Олег

> А не боитесь ли Вы, что все это породит массу ложняков (по одному в день примерно...на каждую новую сборку) со стороны особо чувствительных эвристиков типа Avira? Преценденты уже были...


Вот именно этого я и боюсь - поэтому всякие полиморф-шифровки и прочие чудеса не реализованы до сих пор - велика вероятность массовых ложняков, пару месяцев назад мы это уже наблюдали

----------


## [500mhz]

да неее
у меня есть рабочий вариант полиморфного движка (стековый/в познавательных целях делался-делается) эвристики молчат
если только эмулятор будет ругатся на запуск кода в стеке

----------


## rav

> если только эмулятор будет ругатся на запуск кода в стеке


Прежде всего,  на это будет ругаться Hardware DEP  :Smiley:

----------


## [500mhz]

точно и 99% юсеров им пользуются

----------


## SuperBrat

> точно и 99% юсеров им пользуются


Hardware DEP появился недавно и его поддерживают только новые процессоры. А реализован он нормально лишь в Vista 64 и серверных W2K3. Неувязочка с процентами, не находите?

----------


## [500mhz]

SuperBrat а вы не находите что в моем ответе была доля сарказма?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## aintrust

> У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы...
> 
> ...исполняемый файл будут криптоваться случайно выбираемым пакером...


Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.

----------


## Зайцев Олег

> Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.


Так методика то от этого не изменится ! Т.е. получается следующий алгоритм - имеется робот, задача которого состоит в том, чтобы запускаться по крону через заданный интервал времени и по некоему алгоритму собрать дистрибутив AVZ, архивировать его и укладывать куда следует. Далее рассматриваем методики, по которым зверь может понять, что это AVZ. Их можно поделить на:
1. Методы поиска статических признаков файлов (на момент их открытия или запуска) - это имена файлов, копирайты файлов, их размер и CRC, характерные сигнатуры. До сигнатур дело видимо не дойдет, обычно идет лобовая блокировка по имени файла. Методы защиты - переименовать файлы, пересобрать EXE ...
2. Методы поиска статических признаков процесса. Аналогично для процесса - поиск имени/класса окна, характерных имен чего-то в интерфейсе, характерные строки в памяти процесса и т.п. Обычно реализации опять-же простейшие - типа поиска окна с заданными параметрами
3. Методы поведенческой блокировки - защищают зловред не от конкретного продукта, а от конкретных действий - открытия его процесса, убиения процесса и т.п. Известны методики на основе ловушки - например, создать маскируемый процесс и убивать всякого, кто попробует его открыть или убить

----------


## aintrust

Олег, ты для кого это пишешь? =) Ведь с методикой все было ясно еще два (или даже более) года назад, когда появились первые "опыты" по борьбе с AVZ, в том числе и мои. Сейчас уже вполне можно обсуждать конкретику реализации тех или иных вещей, и особенно того, что идет под 3-м пунктом.

На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?

----------


## [500mhz]

> Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.


ой не хватит
Зайцев верно написал, если еще и по сигнатурам будут авз палить то придется выдумывать криптовку

а еще можно по последовательности вызовов апи спалить )))

----------


## aintrust

> ... если еще и по сигнатурам будут авз палить ...


Ключевое слово тут - "если". Вот если начнут "палить", тогда и... =)

----------


## [500mhz]

aintrust
PoC написать? )))

----------


## aintrust

PoC написать может любой школьник, начавший программировать пару месяцев назад. Я сейчас говорю не о PoC-ах, а о реальной жизни. Если (или когда) появятся (более-менее массово) зловреды, "палящие" AVZ по сигнатурам, тогда и будет иметь смысл что-то в этом плане делать.

----------


## [500mhz]

хочется как лучше а получается как всегда
"гром не грянет, мужик не перекрестится" )))

зачем исправлять последствия если можно изначально прибить причину?

----------


## Geser

> На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?


+1

----------


## [500mhz]

господа!
никто не говорит о том что Зайцев должен все бросать и начинать релизить модуль самообороны, мы же рассуждаем не так ли?
на то форумы и нужны что бы люди высказывались и мнениями обменивались

а однобокая позиция "нафик надо все равно это еще никто не использует" приводит к смешной ситуации схожей в противостоянии КИСЫ и автокликеров

----------


## aintrust

> господа!
> на то форумы и нужны что бы люди высказывались и мнениями обменивались


Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)

----------


## Зайцев Олег

> Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)


Поддерживаю. Критика, ежели она по делу и конструктивна, равно как и полезные предложения по поводу того, что и где следует делать - это полезно и очень хорошо. Это же не означает, что следует все бросить и кинуться это делать - достаточно просто взять на заметку, продумать, затем можно провести какие-то опыты в данном направлении ...
По поводу XML анализатора и прочих анализаторов/исправляторов и т.п. - как раз реализацией анализа системы я сейчас и занимаюсь ...

----------


## Geser

Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.

----------


## Зайцев Олег

> Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.


Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны

----------


## Geser

> Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны


Возможно стоит вынести их в конец лога.
Кроме того, как на счет того что бы по каждому файлу выводить состояние
1. Отсутствует на диске
2. Присутствует доступ невозможен.
3. Присутствует доступ возможен

Я думаю будет *очень* полезно.

----------


## drongo

Гесер опередил, я тоже хотел предложить  :Wink: Идея очень полезная.
 Не забудь пожалуйста в рубрике " о программе " сделать тоже самое как на сайте по количеству зловредов. 
Также  перед сканированием или  открытия рубрики скриптов - AVZ  должен проверить дату на компьютере и дату своих  антивирусных баз , при разногласии - большой жирный pop-up со ссылкой на обновления.

----------


## XL

Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.

----------


## Зайцев Олег

> Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.


Удаление файлов по маске реализовать несложно, но представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?!

----------


## aintrust

> представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?!


Ну, разве это причина для того, чтобы не реализовывать удаление по маске? 

Я бы вообще предложил немного другой синтаксис этой команды, к примеру:
_DeleteFileMask(папка, маска, удаление_в_подпапках, ...)_

Тогда приведенная выше команда будет выглядеть так:
_DeleteFileMask('C:', '*.*', 'yes', ...)_

Такой случай, когда в качестве "папки" используется только диск, можно специально оговорить или даже запретить, заменив его отдельной специальной командой. 

Кстати, есть такая команда, _DeleteDirectory(папки)_. Почему у тебя не было сомнений в ее реализации, ведь с ее помощью тоже можно прибить систему всего лишь одной "неловкой" командой?

----------


## Зайцев Олег

> Ну, разве это причина для того, чтобы не реализовывать удаление по маске? 
> 
> Я бы вообще предложил немного другой синтаксис этой команды, к примеру:
> _DeleteFileMask(папка, маска, удаление_в_подпапках, ...)_
> 
> Тогда приведенная выше команда будет выглядеть так:
> _DeleteFileMask('C:', '*.*', 'yes', ...)_
> 
> Такой случай, когда в качестве "папки" используется только диск, можно специально оговорить или даже запретить, заменив его отдельной специальной командой. 
> ...


DeleteDirectory убивает только пустую папку - если в папке есть хоть один файл, то она останется на диске ... поэтому она не опасна. ОК, я сделаю DeleteFileMask с такими параметрами ...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nick222

Может, просто запретить работу данной команды в директориях системных, программ, и прочих?
Иначе, чует моё сердце, будет вал претензий - "Почему Ваша тупая прога удалила мою систему?".
Ответ "У Вас самого кривые руки" - не катит, т.к. любая прога должна иметь защиту от дурака...
И потом - мало ли кто после 10 часов напряжённой работы может случайно дать неправильную команду?!?

----------


## aintrust

> DeleteDirectory убивает только пустую папку...


В доке, кстати, этого не написано... =)

----------


## Зайцев Олег

> В доке, кстати, этого не написано... =)


Я дописал доку и соорудил функцию. Убойная получилась штука, особенно для чистки темп папок и кешей IE

----------


## Muffler

Вопрос: что не правильно в этом скрипте?



```
begin
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','DefaultUserName','User');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','DefaultPassword','password');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','AutoAdminLogon','1');
end.
```

У меня он не работает, тоесть значения в реестре не меняются...

*Добавлено через 15 минут*

LOL

Всё работает. Ошыбка на сайте Microsoft -> http://support.microsoft.com/kb/315231

Должно быть так:



```
begin
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','DefaultUserName','User');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','DefaultPassword','password');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon','1');
end.
```

----------


## PavelA

В логах AVZ:



> Файл успешно помещен в карантин (C:\WINDOWS\system32\cd_load.exe)
> C:\WINDOWS\system32\cd_load.exe >>>>> AdvWare.Cydoor  успешно удален


На самом деле это ADwWare.Cydoor

----------


## Зайцев Олег

> В логах AVZ:
> На самом деле это ADwWare.Cydoor


Какая разница - главное, что он удален  :Smiley:

----------


## Rene-gad

> На самом деле это ADwWare.Cydoor


ну а на самом деле это *Adware.Cydoor*   :Wink: 



> Какая разница - главное, что он удален


Эт' точно (с)  :Wink:

----------


## PavelA

> Какая разница - главное, что он удален


Проблема в том, что ищещь в гугле и не находишь И-ции.
Если по правильному имени, то можно еще неск. файликов прихватить.

Сорри, за обшибку. Даже стыдно, что сам такой же оказался.

----------


## Зайцев Олег

> Проблема в том, что ищещь в гугле и не находишь И-ции.
> Если по правильному имени, то можно еще неск. файликов прихватить.
> 
> Сорри, за обшибку. Даже стыдно, что сам такой же оказался.


Это имена из моей классификации - надо бы их истребить, так как последние пару лет я стараюсь полностью придерживаться классфикации ЛК (в частности я это делал именно из за удобства поиска зловредов в viruslist или гугле) - даже если вводится недетектируемый ЛК на момент внесения зловред, то имя я даю по их классификации (что-то типа Trojan.Win32.Pinch.gen или по ближайшему похожему - имхо нет принципиальной разницы, если AVZ будет детектить Hoax.Win32.Renos.ab, а KAV - скажем Hoax.Win32.Renos.bc - тип зловреда и семейство ясны).

*Добавлено через 4 минуты*

Теперь вопрос к хелперам - очередной раз в обсуждении вспомнился попрос о введении цифровых подписей к скрипту и привязке подписанного скрипта скажем к серийному номеру диска - дабы исключить возможность лобового запуска "чужих" скриптов для самолечения. Подписанный скрипт на ПК с "привильным" номером тома (или иной уникальной меткой) будет работать как и сейчас, без вопросов, а вот неподписанный или сделанный для другого ПК - выдавать куча алертов, предупреждая, чем чреват запуск "чужого" скрипта. Есть мнения или идеи по этому поводу ?

----------


## UFANych

С учётом факта подписывания достаточно при подписывании в AVZ автоматически добавлять в начало скрипта проверку на совпадение с исходным компьютером. И при запуске неподписанного, конечно, орать. А уж при запуске скрипта с кривой подписью орать ещё больше. Ещё вопрос, стоит ли ор отключать ключами комстроки...
Кстати, подпись будет на X.509 и отдельным файлом, isn't it? Или всё же свой бинарный формат?

----------


## zerocorporated

> Теперь вопрос к хелперам - очередной раз в обсуждении вспомнился попрос о введении цифровых подписей к скрипту и привязке подписанного скрипта скажем к серийному номеру диска - дабы исключить возможность лобового запуска "чужих" скриптов для самолечения. Подписанный скрипт на ПК с "привильным" номером тома (или иной уникальной меткой) будет работать как и сейчас, без вопросов, а вот неподписанный или сделанный для другого ПК - выдавать куча алертов, предупреждая, чем чреват запуск "чужого" скрипта. Есть мнения или идеи по этому поводу ?


Я "за", только как будет реализована подпись ?

----------


## Зайцев Олег

> Я "за", только как будет реализована подпись ?


При исследовании ПК будет вычислен некий бредокод, в основе например серийный номер системного тома. Далее этот код хелпер вводит куда-то (в отдельную тулзу, в существующий редактор скриптов ... и жмет "подписать"). В результате в скрипт вставляется комментарий с контрольной суммой скрипта и ID его системы. Лобовой запуск такого скрипта на дрегом ПК приведет к выдаче алерта о том, что применять "чужие скрипты" чревато и предложением одуматься и отменить выполнение скрипта. Аналогично с правкой и искажениями - если скрипт искажен, то будет выдан алерт о том, что нарушена CRC скрипта и лучше его не выполянять.
Понятное дело, что если убрать из скрипта этот комментарий или сделать свой скрипт по образу и подобию найденного в Инет, то алерт выдаваться не будет. Это имиенно мера защиты от ситуаций:
1. Один юзер обращается за помощью по нескольким ПК. Особенно актуально, если это скажем админ - он делает логи с 2-3 ПК и есть опасность, что он перепутает скрипты
2. Юзер находит в разделе "помогите" подходящие по его мнению скрипты и начинает их пускать все подряд - в этом случае алерт быть может заставит его лишний раз подумать

----------


## Bratez

> Аналогично с правкой и искажениями - если скрипт искажен, то будет выдан алерт о том, что нарушена CRC скрипта и лучше его не выполянять.


Вот это IMHO лишнее. Бывает, хэлпер допускает неточность или опечатку, которую тут же и обнаруживает. Одно дело быстренько поправить "по месту", другое - прогонять через редактор и копировать скрипт заново...

----------


## V_Bond

полностью согласен с *Bratez* ...

----------


## pig

Тогда подпись получится несколько ущербная.

Хотя инцидентов с самостоятельной правкой скриптов самими пользователи я не припомню. Да и нет, по большому счёту, защиты от активного дурака.

----------


## AStr

Imho пусть "бредокод" генерится при исследовании системы и пишется в hmml/xml (незаметно для юзера типа желтым по желтому)
При генерации скрипта по протоколу исследования автоматом сразу после begin его и вставить можно. код не совпадает - ругань, нет кода - предупреждение

----------


## XL

> Imho пусть "бредокод" генерится при исследовании системы и пишется в hmml/xml (незаметно для юзера типа желтым по желтому)
> При генерации скрипта по протоколу исследования автоматом сразу после begin его и вставить можно. код не совпадает - ругань, нет кода - предупреждение


и это очень правильное мнение. Лучше сделать эту процедуру выполняемой автоматически при исследовании системы, чем потом ручками что-то куда-то вставлять, получать пряник, который потом скармливать программе.

----------


## DoggoD

AVZ 4.27 30.08.2007
Какой-то походу баг..
Запускаю ревизор. Выбираю Documents and Settings. Настройки: Типы файлов - все файлы, режим создания базы - любой.
Нажимаю пуск. Начинается создание базы, через некоторое время вылетает окно "Антивирусная утилита AVZ" с текстом "Range check error."
Методом исключений начинаем искать где собака порылась и находим "C:\Documents and Settings\DoggoD\Рабочий стол".
На рабочем столе имеются папки. Если я в дереве Ревизора убиру галку с ЛЮБОЙ из вложенных папок, то база создается..

----------


## Jolly Rojer

> Может, просто запретить работу данной команды в директориях системных, программ, и прочих?
> Иначе, чует моё сердце, будет вал претензий - "Почему Ваша тупая прога удалила мою систему?".
> Ответ "У Вас самого кривые руки" - не катит, т.к. любая прога должна иметь защиту от дурака...
> И потом - мало ли кто после 10 часов напряжённой работы может случайно дать неправильную команду?!?


Согласен если это домашний пользователь сделает ... то подобные высказывания возможны, если системный администратор то проблем как правило возникать не будет! Думаю, что перед тем как выполнить скрипт, AVZ проверит к какому классу пользователей относится учетная запись... если без прав администратора то команда не будет выполненна в системных директориях. Возможно Олег уже это предусмотрел!

----------


## Nick222

Вы что - издеваетесь?
У 99% домашних юзеров права админа на своём же компе...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XL

Вы еще скажите, что домашний юзер читает справку про непонятные слова типа "скрипт", а потом еще и начинает с этим скриптом экспериментировать по отношеню к логу исследования ситемы своего компьютера... Вставляет туда непонятные команды и проверяет - удалится папка Windows после их выполнения или нет... Меня всегда в душе веселит поведение юзеров (а домашних в моей работе - большинство), стоящих за спиной в те моменты, когда я работаю с AVZ и начинаю клепать скрипт по логу исследования системы. Каких только вопросов и мнений тут порой не услышишь... ) 
Тот, кому это, действительно, нужно непременно оценит и извлечет пользу от новой фичи, а все остальные все равно пойдут в "помогите"

----------


## XL

Олег, в последнее время часто на машинах попадается зверь, располагающийся в NTFS потоке svchost.exe. Так вот, в диспетчере служб и драйверов вражеская служба FCI с телом \svchost.exe:exe.exe всегда выделена зеленым. Это баг или фича?
Да, в протоколе исследования AVZ кричит на этого зловреда, но если не делать протокол, то...

----------


## SuperBrat

Есть подозрение, что newvirus :@: z-oleg.com не принимает образцы, если они были отосланы с mail.ru. Другие дополнительные адресаты их получают. Олег, проверь, пожалуйста.

----------


## Jef239

> Ну, разве это причина для того, чтобы не реализовывать удаление по маске?


А если зловред будет использовать AVZ как средство для внесения гадостей в cистему?

----------


## Зайцев Олег

> Есть подозрение, что newvirusz-oleg.com не принимает образцы, если они были отосланы с mail.ru. Другие дополнительные адресаты их получают. Олег, проверь, пожалуйста.


Да, имеют место дурки - это связано с параноидально защитой у хостера, отключить они это не могут ...

*Добавлено через 2 минуты*




> А если зловред будет использовать AVZ как средство для внесения гадостей в cистему?


Дюже громоздко и экстремально ... Если уже на то дело пошло, то на бортовом языке AVZ можно даже вирусы писать (сетевых и почтовых червей в частности). Но не пишут же - ввиду громоздкости и экзотичности. Тем более что в Инет тучи скриптов на VB для бортового интерпретатора Windows из раздела Trojan.*.KillFiles - такой скрипт самодостаточен и имеет размер порядка 300-500 байт

----------


## tar

AVZ + outpost меня почти избавило от бесполезных анивирусов.
Олег, мини AVZ - это уже реальность?

----------


## Jef239

> Олег, мини AVZ - это уже реальность?


А что это такое и зачем он нужен? Это AVZ для блондинок миниюбках?

----------


## SuperBrat

tar, AVZ не антивирус в чистом виде. У него нет монитора и нет ловли классических вирусов. От антивируса отказываться еще рано.

----------


## Arhad

Вопрос к Олегу Зайеву: есть ли возможность в списке серверов обновления поставить свой сервер обновления? (Имеется локальная сеть, когда абонент вирусован, ему блокируется интернет, хотелось бы сделать внутрисетевой сервер обновления)

----------


## Зайцев Олег

> Вопрос к Олегу Зайеву: есть ли возможность в списке серверов обновления поставить свой сервер обновления? (Имеется локальная сеть, когда абонент вирусован, ему блокируется интернет, хотелось бы сделать внутрисетевой сервер обновления)


Можно обновляться со своего сервера при помощи скриптов - примеры обсуждались пару месяцев назад ... - они есть где-то в этой ветке

----------


## Arhad

Спасибо, уже нашел=)

----------


## tar

> А что это такое и зачем он нужен? Это AVZ для блондинок миниюбках?


Если в вашем понимании, коммуникаторы созданы для "блондинок миниюбках", то значит для них.

----------


## kras07

Здравствуйте,Олег!Решил воспользоваться вашей утилитой для проверки 
системы.Проверка показала,что один файл подозревается в том,что он троян,а 
другой признан опасным AdvWare.Win32.CashOn.Первый файл принадлежит часам 
ClockS (фриварная прога),а второй проигрывателю JetAudio (крякнутая 
прога).Проверка файла из часов на сайтах:http://www.virustotal.com/ru/ , 
http://virusscan.jotti.org/ , http://scanner.virus.org/ показала,что он чист 
(это не троян).Проверил файл из проигрывателя на этих же сайтах.На каждом 
сайте по 2-4 антивиря признали файл подозрительным.Но эти антивири какие-то 
неизвестные,другие признали его чистым.Я послал заархивированный файл на 
проверку в Dr.Web,от них пришел ответ,что это не вирус (файл чистый).Посылаю 
вам лог AVZ и архив с подозрительным файлом.Прошу разобраться и очень жду от 
вас ответа!!!
P.S: Винда XP Pro SP2.В системе установлены такие проги по безопасности: 
Dr.Web , Comodo Firewall , Spyware Terminator , AnVir Task Manager.

----------


## SuperBrat

kras07, по этой ссылке http://virusinfo.info/showpost.php?p=55790&postcount=1 можно прислать все чистые файлы для добавления в базу чистых AVZ. Как это сделать, там есть инструкция.

----------


## Jef239

> Если в вашем понимании, коммуникаторы созданы для "блондинок миниюбках", то значит для них.


Для меня мини-комп - это 2-3 шкафа. Персоналка - Микро. Ну а всякие коммуникаторы - Пико. Я же с больших машины начинал (это там где двумя десятками шкафов не ограничивается). Так что в эту сторону даже не смотрел, ибо на миниэвм сейчас вирусов нет. Да и самих мини-машин - мало. Ну может где-то ещё стоят VaX (которые не MicroVaX)... Ну IBM 390 вроде к мини относиться...
AVZ для не PC-системы это отдельный проект. То есть WIndows CE - она лишь по названию Windows. Процессор там другой. Ну не на Delphi под Net для неё писать? А других вариантов как скомпилить Delphi под WIndows CE я не знаю. Ну а AVZ написан на Delphi с некоторой примесью дельфийского ассемблера.

----------


## tar

Jef239, вы видно активный создатель AVZ
Ну чтож нет дак нет. А шкафы мне, как и другим, по-барабану.

----------


## Jef239

> Jef239, вы видно активный создатель AVZ


Упаси боже. Просто программист. А тебе что, сложно понять, что на каком языке написано?

----------


## tar

> Упаси боже. Просто программист. А тебе что, сложно понять, что на каком языке написано?


Причем здесь язык. Прогресс не обращает внимание на языки и ваши узкие рамки мышления. Сегодня на одном, завтра на другом.

----------


## Jef239

> Причем здесь язык. Прогресс не обращает внимание на языки и ваши узкие рамки мышления. Сегодня на одном, завтра на другом.


А какое мне дело до твоего личного прогресса? Завтра ты себе заведёшь Nokia с Symbian и будешь требовать, чтобы авторы весь софт тебе туда портировал?

Твори свой прогресс САМ. А не важнее, чтобы Олег работал над версией для IBM PC. Ибо тут у AVZ очень сильные успехи. А кто там на базе чего будет делать антивирус для твоеего коммуникатора - ищи сам. Иоли мирофост попроси. 

Гм, а на Windows CE реальные вирусы ходят? То есть их на своём коммуникаторе хоть раз видел? Или тебе просто галочку в табличке хочется поставить?

Для Symbian антивирусы есть. Бела в том, что вирусов нет. А что, на Windows CE иначе?  :Smiley:

----------


## tar

Jef239,
не хочется чтобы какая-то прога отправляла sms на платный номер и т.п.
Мне пофиг на названия телеаппаратов. Есть стандарты WinXP или WM.
XP - на ПК, WM - на зверьках.
Оставьте вашу агрессивность, я хотел спросить одно, а вы прямо кайф ловите от бессмысленной болтовни.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Groft

Я вот думаю, что адо добавить опцию в карантине, "отправка на сервер для детального изучения"  :Wink:

----------


## Jef239

> Оставьте вашу агрессивность, я хотел спросить одно, а вы прямо кайф ловите от бессмысленной болтовни.


Я ловлю кайф от ПРЕСЕЧЕНИЯ бессмысленной болтовни. Почти все наработки AVZ на WinCE бесполезны. Мне кажется, что это даже чайнику должно быть очевидно.




> Я вот думаю, что адо добавить опцию в карантине, "отправка на сервер для детального изучения"


Через SMTP или FTP или как? Есть же функция запаковки. А уж куда отправлять - пусть юзер сам решает. Или ты про локальный сервер в корпоративной сети? Тогда гм, наверное полезно...

----------


## aintrust

> Почти все наработки AVZ на WinCE бесполезны. Мне кажется, что это даже чайнику должно быть очевидно.


Кстати, для справки: идею и возможном написании AVZ для КПК-шек первым высказал "чайник" по имени Олег Зайцев... =)

----------


## Jef239

> Кстати, для справки: идею и возможном написании AVZ для КПК-шек первым высказал "чайник" по имени Олег Зайцев... =)


Ну что же, публично признаю, что я не прав. Если Олег считает это нужным - ему виднее. Но всё равно же, новую программу писать придётся, а не переносить AVZ....

----------


## tar

Jef239, антивирусы для КПК создали почти все антивирусные компании и продают их материальные рубли

----------


## Jef239

> Jef239, антивирусы для КПК создали почти все антивирусные компании и продают их материальные рубли


Мало ли какой чуши продают... Коврики для мыши, тапочки для тараканов. Хочешь драйвер для мышиного коврика продам? Где-то в закромах болтался...

Живые вирусы для КПК есть или нету? 

А со всяким фишиингом должен FireWall бороться.

P.S. Пошёл мужик на базар, продавать щенка дворняжки за миллион рублей.
- Продал?
- Продал!!!
- Точно продал?
- Ну обменял. На два котёнка по поллимона каждый.

----------


## Очч

Несколько раз срабатывала эвристика с вер. 75% на файлы типа распаковщиков exe-шек (написаны на асме).. DrWeb ничего не видит.
Я знаю что эвристика думает не то  - Олег, подумай что можно сделать
Файлы могу выслать.(в каком виде?)

----------


## Зайцев Олег

> Несколько раз срабатывала эвристика с вер. 75% на файлы типа распаковщиков exe-шек (написаны на асме).. DrWeb ничего не видит.
> Я знаю что эвристика думает не то - Олег, подумай что можно сделать
> Файлы могу выслать.(в каком виде?)


Файлы стоит прислать, надежнее всего через форму на моем сайте - я запихаю их в базу чистых ... а срабатывание мне не устранить, я знаю примерно, что там сработало - файлы явно запакованы чем-то экзотическим, и оно шалит с форматом PE файла - обычно там точка входа или между секциями, или вообще в заголовке.

----------


## tar

Jef239, Вы тяжелый человек.
Наверное, ваш дед в свое время кричал "Живые вирусы для ПК есть или нету?"
Ну и анекдотец в качестве метафоры.

----------


## RiC

> Живые вирусы для КПК есть или нету?


Есть, притаскивают переодически вместе с КПК под симбаем, под мобиле пока ещё ни одного не видел.

----------


## Jef239

> Есть, притаскивают переодически вместе с КПК под симбаем, под мобиле пока ещё ни одного не видел.


Ну под симбиан и WinCE разные антивирусы писать придётся. Кстати я читал, что на симбиане живых вирусов нет. Возможно это в серие-60 относилось только, а не UIQ.

*Добавлено через 17 минут*




> Jef239, Вы тяжелый человек.
> Наверное, ваш дед в свое время кричал "Живые вирусы для ПК есть или нету?"


Это не дед, это я сам был.  :Smiley:  А ты что сам программы для удаления вирусов не писал? Ну где-то во времена AidsTest первых версий?

----------


## kras07

Сегодня просканировал систему.Вот лог.Кто мне объяснит,чистая у меня система или есть какие-то звери?Особенно интересует пункт 1.4.Написано,что что-то подменили,какой-то файл Dr.Web.В настройках сканирования выставил "показать отчет",удаление вирусов не стал выставлять.
Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 05.12.2007 23:09:17
Загружена база: 138200 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 04.12.2007 16:16
З

----------


## tar

Jef239,
Эх, как сейчас помню, мне тогда было где-то 45, и написал я свой первый антивирус... Сталин был очень доволен, всего 20 лет каторги дал...
Желаю вам жить настоящим.

----------


## Jef239

> Сегодня просканировал систему.Вот лог.Кто мне объяснит,чистая у меня система или есть какие-то звери?


Похоже есть.




> Особенно интересует пункт 1.4.Написано,что что-то подменили,какой-то файл Dr.Web.


Это не вирус, это нормально. Это SPIDER так работает.




> J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
> J:\WINDOWS\System32\DRIVERS\cmdmon.sys
> J:\Program Files\ClockSN\ClockS\KiFB.exe


Этих троих проверь на http://www.virustotal.com/ru/ Возможно - это вирусы.




> Jef239,
> Эх, как сейчас помню, мне тогда было где-то 45, и написал я свой первый антивирус... Сталин был очень доволен, всего 20 лет каторги дал...
> Желаю вам жить настоящим.


А я вам желаю лучше учит историю. Какой такой Сталин в 1987омм году?

----------


## drongo

kras07, делайте логи по правилам, поможем разобраться.

----------


## kras07

Извините,про правила не знал(я человек здесь новый).Присоединяю лог.Теперь об этом:J:\WINDOWS\system32\drivers\sp_rsdrv2.sys
J:\WINDOWS\System32\DRIVERS\cmdmon.sys
J:\Program Files\ClockSN\ClockS\KiFB.exe
Все три я проверил не только здесь:http://www.virustotal.com/ru/ ,но и здесь:http://www.virscan.net/ ,http://scanner.virus.org/ ,http://virusscan.jotti.org/.Это не вирусы!Первый файл пренадлежит антишпиону Spyware Terminator,второй - Comodo Firewall.Третий пренадлежит часам(они у меня на кнопке Пуск).Третий считает подозрительным только антивирь Ikarus,остальные пишут,что чистый.Что еще в моей системе не так?Кто подскажет?

----------


## zerocorporated

Вот правила

----------


## АлександрУ

При тестировании вылетело такое сообщение, что это может означать? Ошибка диска, памяти?
ПК стандартный десктоп.
Безымянный.JPG

----------


## drongo

АлександрУ, скорее AVZ   не взлюбила net framework :Wink:   мой комп его тоже не любит.

----------


## SuperBrat

Может это результат противодействия AVZ со стороны неизвестного зловреда? Или просто память приказала долго жить?  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## АлександрУ

В первой строке ссылка на ошибку "..низкий заряд..." из той-же "оперы"?!?

----------


## aintrust

> В первой строке ссылка на ошибку "..низкий заряд..." из той-же "оперы"?!?


Нет, это просто имя файла такое (_Windows XP - низкий заряд батарей.wav_) в каталоге _C:\WINDOWS\Media_... =)

PS. Что касается самой ошибки... Такое часто происходит? На одних и тех же файлах? АВЗ какой версии?

----------


## Arhad

Попробовали сделать зеркало обновлений внутри сети следующим скриптом:

скрипт для создания зеркала получился такой:

#!/bin/sh

cd /www/html
mv -f avzupd.zip avzupd.zip.old > /dev/null 2>&1
fetch http://z-oleg.com/secur/avz_up/avzupd.zip > /dev/null 2>&1
unzip -f avzupd.zip > /dev/null 2>&1

echo "#!/bin/sh" > takes.sh
echo -n "" >> takes.sh
cat file.dta | grep "FILE Name=" | awk '{ split ($0, a, "\""); printf("file=%s\n",a[2]);}' | sed 's/file=/fetch -m http:
\/\/z-oleg.com\/secur\/avz_up\//g' >> takes.sh
chmod a+x /www/html/takes.sh > /dev/null 2>&1
/www/html/takes.sh

При попытке обновить AVZ с рабочего компьютера происходит следующее:
          если базы обновлены с интернета (то есть последние), то видимо происходит проверка и AVZ сообщает, что обновление успешно выполнено
          если базы не обновлены, то при попытке обновиться, пишется, что выполнено с ошибками...

Может кто сталкивался с такой проблемой?

----------


## Зайцев Олег

> Попробовали сделать зеркало обновлений внутри сети следующим скриптом:
> 
> скрипт для создания зеркала получился такой:
> 
> #!/bin/sh
> 
> cd /www/html
> mv -f avzupd.zip avzupd.zip.old > /dev/null 2>&1
> fetch http://z-oleg.com/secur/avz_up/avzupd.zip > /dev/null 2>&1
> ...


Файл avzupd.zip не содержит файла с описанием обновления, так как сам зип содержит все актуальные файлы ... вот поэтому апдейт и не работает.

----------


## drongo

http://www.z-oleg.com/secur/avz_doc/...avupdateex.htm

Arhad, только слеши в другую сторону повернуть  :Wink:

----------


## АлександрУ

> Нет, это просто имя файла такое (_Windows XP - низкий заряд батарей.wav_) в каталоге _C:\WINDOWS\Media_... =)
> 
> PS. Что касается самой ошибки... Такое часто происходит? На одних и тех же файлах? АВЗ какой версии?


У меня эта ошибка вылезла первый раз на машине со свежеустановленным netframework,т.е. раньше машины с netframework не проверял.

----------


## aintrust

@ АлександрУ

У меня установлены все .NET фреймворки, с 1-го по 3-й, но такой проблемы нет. Да и первое сообщение об ошибке в отчете было не о файлах .NET. У вас это устойчиво повторяется или как?

----------


## Зайцев Олег

Вышла версия 4.29, поэтому данную ветку закрываю
http://virusinfo.info/showthread.php?t=15175

----------

