# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  Бета-тестирование антивируса "ВирусБлокАда"

## Dr.Xmas

Тут *только* о бета-тестировании. 
Обсуждение антивируса тут: http://virusinfo.info/index.php?boar...ay;threadid=88
Записаться в бета тестеры можно тут: http://anti-virus.by/download/beta/




> Кстати. Можно когда выходит новая бета писать что изменилось, что бы знали что тестировать?


хорошо, будем публиковать. до сих пор пока народ не сильно интересовался. в ближайшем времени открываем у себя на сайте форум, и сюда будем постить. пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
> и если будут сообщения "похож" на нормальные файлы, выслать их нам


А если в интерфейсе настраивать, то какие должны быть установки?

----------


## Geser

Ок, просканировал комп с максимальным уровнем эвристика. В настройках стоит при нахождении подозрительных файлов спрашивать что делать. Однако почти всегда никакого запроса не выдавалось. 
Когда были найдены вирусы в почтовых базах, есть только опция лечить или пропустить. А где опция удалить? И почему нет опции сделать резервную копию?

----------


## Minos

> пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
> и если будут сообщения "похож" на нормальные файлы, выслать их нам


Не понял только где его взять   :Wink: ? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.

----------


## serge

> Не понял только где его взять  ? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.


В Vba32w.dll находится антивирусное ядро, которое используется сканером, монитором и другими компонентами комплекса. Vba32w.exe - консольный сканер. Скорее всего инсталлирована Personal-версия, в которой нет консольного сканера. Ничего страшного, можно запустить и GUI-сканер с настройками эвристического анализа по максимуму и включенным ведением файла отчета.

----------


## Minos

Полная версия - это для рабочих станций? Т.е. нужно скачать и поставить версию для рабочих станций, затем обновиться из бета-раздела и получится полная версия? Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.

----------


## Geser

В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.

----------


## HA

> В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.


Эта настройка была бы полезна в основном для тестирования. Для защиты конечного пользователя действительно не предусмотрена, т.к. считаем это излишним. Почтовые сообщения, чаще всего, не являются чрезмерно ценными и "не восполнимыми", а обезвреживание РОР3-фильтр проводит достаточно корректно. За предложение: Спасибо.

----------


## HA

> Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.


В комплектацию для рабочих станций входит наиболшее количество компонентов. Для тестирования она наиболее удобна (кроме случаев, когда тестируются функциональность и работоспособность серверного монитора). Состав комлектаций:
Vba32.W - сканер и монитор с графическим пользовательским интерфейсом для Win -рабочей станции, расширение меню Проводника, консольные сканеры для DOS и Win32, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль, 
Vba32.P - сканер и монитор с графическим пользовательским интерфейсом для Win – локального ПК, расширение меню Проводника, консольный сканер для DOS, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль.
Vba32.NT.S - сканер и монитор с графическим пользовательским интерфейсом для WinNT – сервера, расширение меню Проводника, консольные сканеры для DOS и Win32.

----------


## Geser

Прошу обрартить внимание на пост #2, а так же хотелось бы сказать что не хватает нормального карантина. То что есть очень неудобно  :Sad:

----------


## maXmo

с UI-based virus reportoм
ЗЫ извиняюсь за выражение : :Smiley:

----------


## Dr.Xmas

в сегодняшней ежедневной базе для бета-тестеров выложена экспериментальная база по эвристике. если есть возможность, потестируйте, плз.

----------


## Geser

С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?

----------


## userr

Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?

----------


## Dr.Xmas

> С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?


если суммарный размер файлов большой, можно куда-нибудь выложить и мне дать ссылку, я скачаю. можно на [email protected] с паролем

----------


## Dr.Xmas

> Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?


можно, сейчас сделаем. я напишу отдельным письмом

----------


## serge

Более подробная информация об обновленной эвристике в свежих бета-версиях (взята из списка рассылки для бета-тестеров):



> Уважаемые бета-тестеры!
> 
> В последних бета-версиях комплекса выложена экспериментальная база по эвристике. В базу добавлены записи для распознавания модификаций и новых версий более тысячи семейств самых разнообразных вредоносных программ (они пока даже не классифицируются по именам, а определяются как &#039;new.?&#039;, где ? - числовой индекс).
> 
> Общий принцип действия эвристики - имеется некий робот, которому для анализа выдаются две группы файлов: одна содержит вредоносные программы, другая - обычные файлы. Задача робота - найти характерные признаки (мы называем их &#039;алгоритмическими сигнатурами&#039, которые встречаются во вредоносных программах, но которых нет в "хороших". По результатам работы данного робота получается база, используя которую, комплекс Vba32
> может находить вредоносные программы и их модификации, но при этом избежать ложных срабатываний на нормальных файлах.
> 
> По результатам тестирования, уже даже сейчас среди присланных бета-тестерами файлов обнаруживается целая куча новых модификаций троянов и других вредоносных программ, хотя и ложных срабатываний пока многовато. Но данная база сейчас пока является экспериментальной, количество новых записей достаточно большое, так что это нормально.
> 
> ...

----------


## Geser

Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.
Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных *только* характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.

----------


## serge

> Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.


Да, верно, после расширения списка "хороших" программ, может получиться так, что какая-то вредоносная программа перестает детектироваться. Но это обычно бывает только для тех троянов, которые содержат очень мало кода (например, только сотня-другая байт у downloader&#039;ов). Там просто практически не за что "зацепиться" и есть вероятность, что такой же фрагмент кода может встретиться и в нормальной программе. Но для относительно больших троянов (10 и более KB), обычно робот всегда может найти уникальные фрагменты кода, по которым можно проводить детектирование.




> Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных *только* характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.


Попробую объяснить, откуда берутся ложные срабатывания эвристики.

Например, мы имеем трояна, написанного на Delphi. Чистый код самого трояна будет совсем небольшим, остальной код берется из стандартных библиотек, использованных дополнительных компонент и библиотек, которые можно скачать на разных Delphi-девелоперовских страничках, а также фрагментов кода, один в один скопированных откуда-нибудь (например example по скачиванию файла, используя http-протокол). Робот, выбирая сигнатуры, может посчитать какую-нибудь редко распространенную библиотеку характерным кодом трояна и детектировать как подозрения все файлы, ее использующие. Пока такие нормальные файлы не попадут в нашу коллекцию "хороших" файлов, будут неизбежны ложные срабатывания. Это все напоминает процесс обучения спам-фильтра. 

Насколько я понимаю, более продвинутым пользователям интересен "сверхмаксимальный" уровень эвристики, для которого порог срабатывания выставлен так, что чувствительность максимальна. В таком режиме будут просто неизбежны ложные срабатывания, но это позволит составить список файлов для дальнейшего анализа уже человеком. Кстати, в нашем консольном сканере есть недокументированный ключик командной строки */heuristics_test*, который устанавливает именно данный режим эвристики. Но его пока рано использовать на данном этапе тестирования бета-версии, поскольку там сейчас и в обычном (точнее максимальном) режиме ложных срабатываний хватает  :Smiley:

----------


## Geser

Ок, я выслал с десяток файликов.

----------


## maXmo

а что слышно по поводу баг-трекера? он будет? не актуально? А то я с полпинка уже 11й баг-репорт пишу.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

> можно, сейчас сделаем. я напишу отдельным письмом


Уже можно где-нибудь скачать?

----------


## serge

> Уже можно где-нибудь скачать?


Завтра заканчиваем внутреннее тестирование очередного экспериментального апдейта по эвристике. Исправлены ложные срабатывания на файлах, которые были выявлены на данный момент и присланы бета-тестерами. Добавлено много новых записей эвристики, так что ложные срабатывания скорее всего еще будут  :Smiley:  Но их уже должно быть намного меньше.

Как только все будет готово, выложим апдейт для бета-версии и отдельный архив с консольным сканером.

----------


## drongo

есть надежда на версию (монитором ,сканером , апдейтом) с возможностью установки без шедуллера ???  надежда умирает последней  ;D

----------


## serge

> есть надежда на версию (монитором ,сканером , апдейтом) с возможностью установки без шедуллера ???  надежда умирает последней  ;D


А зачем? Если шедулер не нужен или мешает работе, его можно просто отключить, убрав птичку &#039;периодическое обновление&#039; в настройках. Или есть какие-то существенные причины для создания именно такой версии кроме &#039;идеологических&#039;?  :Wink:

----------


## serge

> Завтра заканчиваем внутреннее тестирование очередного экспериментального апдейта по эвристике. Исправлены ложные срабатывания на файлах, которые были выявлены на данный момент и присланы бета-тестерами. Добавлено много новых записей эвристики, так что ложные срабатывания скорее всего еще будут  Но их уже должно быть намного меньше.
> 
> Как только все будет готово, выложим апдейт для бета-версии и отдельный архив с консольным сканером.


Все, апдейт готов, можно обновляться и тестировать. 

Бета-версию консольного сканера можно скачать здесь.

Для облегчения процесса сбора подозрительных файлов, в архиве с консольным сканером есть бат-файл *heuristics-test.bat* и подкаталог *test-tools*. Этот бат-файл запускает консольный сканер на проверку всех дисков, создает файл отчета, находит в отчете подозрительные файлы и запаковывает их в rar-архив *susp.rar* с паролем *virus*. Далее с этим архивом уже можно разбираться, что есть настоящий троян, а что - ложное срабатывание эвристики. В любом случае, нам бы хотелось посмотреть на эти собранные файлы. Если батник не утащил в архив ничего секретного и размер архива не очень большой, пожалуйста пришлите его нам на [email protected]

----------


## userr

Такое впечатление, что ключи
/AR[+|-]       - включение обработки файлов в архивах;                         
/AD[+|-]       - удаление архивов, содержащих инфицированные файлы;            
   и 
/ML[+|-]       - проверка почты;                                               
/MD[+|-]       - удаление писем с инфицированными файлами;                     
  соответственно не вполне совместимы. Когда запускаешь с ключами /ar+ /ad- /ml+ /md- архивы и почта не проверяется. К счастью, при запуске только с /ar+ /ml+ ничего не удаляется  :Smiley:

----------


## serge

> Такое впечатление, что ключи
> /AR[+|-]       - включение обработки файлов в архивах;                         
> /AD[+|-]       - удаление архивов, содержащих инфицированные файлы;            
>    и 
> /ML[+|-]       - проверка почты;                                               
> /MD[+|-]       - удаление писем с инфицированными файлами;                     
>   соответственно не вполне совместимы. Когда запускаешь с ключами /ar+ /ad- /ml+ /md- архивы и почта не проверяется.


Спасибо, похоже действительно есть баг с разбором ключей командной строки. Судя по всему, ключ /ad- сейчас вообще отключает проверку архивов, а /md- отключает проверку почтовых баз и почтовых сообщений соответственно. Будем исправлять.




> К счастью, при запуске только с /ar+ /ml+ ничего не удаляется


Верно, удаление чего-либо, это такая вещь, которую делать без явной команды совершенно нельзя. Так что это не счастье, а вполне нормальное явление  :Smiley:

----------


## maXmo

ImageReady.exe 8.0.0.117 en из пакета Adobe Photoshop CS попал под раздачу: ImageReady.exe : is suspected of new.1171, он весит 18 метров, что бум делать?

----------


## Dr.Xmas

> ImageReady.exe 8.0.0.117 en из пакета Adobe Photoshop CS попал под раздачу: ImageReady.exe : is suspected of new.1171, он весит 18 метров, что бум делать?


через час будет свежая версия. если само не отвалится, будем искать этот файлик сами

----------


## maXmo

возможно, не понадобится, там на плагин подобное подозрение, его я отошлю, если не отвалится, может быть, с его помощью можно будет пофиксить и ничего не искать... ого!.. полезло!!! аа... это он на мой временный карантин наткнулся, да и на свой, видать, тоже. ;D

----------


## serge

Выложено очередное обновление бета-версии. Исправлен баг с разбором ключей командной строки и ложные срабатывания эвристики на присланных бета-тестерами файлах.

Архив с обновленной консольной версией можно скачать здесь:
http://www.anti-virus.by/download_fi...a-20041119.zip

----------


## Geser

А из архивов подозрительные файлы вытаскивать он не умеет  :Sad:

----------


## serge

> А из архивов подозрительные файлы вытаскивать он не умеет


Да, верно, вспомогательный батник для сбора файлов довольно примитивный, писался за несколько минут  :Smiley: 

Вообще говоря, если ставить цель искать живущие в системе неизвестные трояны, то лазить по архивам и не обязательно. Если же искать ложные срабатывания эвристики, то тут действительно неплохо бы автоматизировать сбор таких файлов. Много уже нашлось?  :Wink: 

Если развивать это дело дальше, то можно будет добавить недокументированный ключик в сам консольный сканер, чтобы он мог собирать подозрительные файлы независимо от того, как глубоко они запакованы в архивах или почтовых базах.

----------


## Geser

> Если же искать ложные срабатывания эвристики, то тут действительно неплохо бы автоматизировать сбор таких файлов. Много уже нашлось?


Нашлось немножко, но почти всё в архивах  :Sad:

----------


## serge

Выпущен очередной апдейт бета версии. Как обычно, исправлен ряд ложных срабатываний эвристики  :Smiley:  

Из интересного: в консольном сканере добавлен новый недокументированный ключ командной строки */collect_suspects* специально для сбора подозрительных файлов. Так что теперь программа может автоматически собирать и складывать в архив *susp.zip* подозрительные файлы даже из проверяемых архивов и почтовых баз. Подробности описаны в файле &#039;readme.txt&#039;, который теперь тоже добавлен в архив с консольным сканером.

Линк для скачивания свежего консольного сканера:
http://www.anti-virus.by/download_fi...a-20041122.zip

Просьба к бета-тестерам та же, что и раньше: распакуйте архив и запустите батник &#039;heuristics-test.bat&#039;, после этого созданный программой архив с подозрительными файлами пришлите нам на [email protected]

----------


## Iceman

А каков объём ящика? У меня на 130Мб файлов насобирал ;D. И почему heuristics-test-paranoid.bat параллельно лог или листинг не генерит?

----------


## Dr.Xmas

> А каков объём ящика? У меня на 130Мб файлов насобирал ;D.


ящик-то выдержит, но не хотелось бы напрягать многоуважаемого сэра. есть возможность куда-нибудь выложить? мы бы качнули быстренько

----------


## serge

> А каков объём ящика? У меня на 130Мб файлов насобирал ;D. И почему heuristics-test-paranoid.bat параллельно лог или листинг не генерит?


А без paranoid какой размер получается?  :Wink: 

Листинг можно получить по самому архиву, который получился в результате. Через 7-zip это делается так: &#039;7z l susp.zip > susp.lst&#039;.

Можно еще попробовать распаковать архив и разобраться с ним персонально, т.е. запустить на собранные файлы сканер со включенным ведением файла отчета. А далее - выбрать из всего этого набора уже самые интересные файлы.

К следующей версии добавим в батник ключ командной строки для ведения отчета, действительно он бы пригодился (/r=susp.rpt). А пока его каждый может добавить вручную.

----------


## Iceman

Не владею данным направлением деятельности - подскажите куда, выложу.

----------


## serge

> Можно еще попробовать распаковать архив и разобраться с ним персонально, т.е. запустить на собранные файлы сканер со включенным ведением файла отчета. А далее - выбрать из всего этого набора уже самые интересные файлы.


Имеется в виду - собрать каждой твари по паре  :Smiley:  Т.е. если, например, собрано 100 файлов, похожих на new.123, достаточно прислать нам один из таких файлов. Если это ложное срабатывание, то после следующего апдейта, скорее всего, его больше не будет для всех файлов из этой группы.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

Мне не удаётся получить файл -LST (список файлов). Запускаю сканер батником heuristics-test-paranoid.bat + вписал туда ключ /L+... Что делать?

----------

А нельзя ли выкадывать консольную версию на ftp или на http, который поддерживает докачку?

----------


## serge

> Мне не удаётся получить файл -LST (список файлов). Запускаю сканер батником heuristics-test-paranoid.bat + вписал туда ключ /L+... Что делать?


Данный ключик предназначен для получения списка инфицированных файлов, для подозрительных он не сработает.

Попробуйте просто распаковать собранный архив susp.zip в какой-нибудь каталог и дальнейшие эксперименты проводить уже с этими файлами. Например, запустить сканер только на этот каталог с ведением файла отчета (/r=имя_файла).

Скоро выложим следующую версию, в которой постараемся учесть все вопросы которые возникли на данный момент  :Smiley:

----------


## serge

> А нельзя ли выкадывать консольную версию на ftp или на http, который поддерживает докачку?


Сервер, на который выкладываются консольные бета-версии, поддерживает докачку.
Какие именно возникли проблемы со скачиванием (чем качали, какое сообщение об ошибке получили)?

----------


## dmi

Случилась какая-то ерунда в моё отсутствие. 
На Win 2003 Std, продукт vba32 для WinNT Server 3.10.0/02.08.2004/.
Прихожу на работу и вижу, что сканер вынесло к чертям (совсем), ладно, пытаемся востановить, а "фигушки", невозможно загрузить с http://www.anti-virus.by/beta/update/62c218f9.bin
Может вирус? Или болезни беты... ну с этим разберемся, а вот почему не грузит обновление? Оно вобще там есть, если есть - бум у себя разбираться...

----------


## dmi

И еще вопрос, чем radmin (версия 2.1) провинился, чтож вы его в базу-то, хорошая программа удаленного управления.

----------


## Dr.Xmas

> И еще вопрос, чем radmin (версия 2.1) провинился, чтож вы его в базу-то, хорошая программа удаленного управления.


обычно ситуация такая. клиент присылает файл и пишет: "Касперский уже вставил и детектит, а вы не детектите. Плохая программа". что-то объяснить или доказать невозможно. как и у Касперского, RAdmin детектится как Riskware. сейчас потихоньку подчищаем самые популярные утилиты из базы.

----------


## Dr.Xmas

> Случилась какая-то ерунда в моё отсутствие. 
> На Win 2003 Std, продукт vba32 для WinNT Server 3.10.0/02.08.2004/.
> Прихожу на работу и вижу, что сканер вынесло к чертям (совсем), ладно, пытаемся востановить, а "фигушки", невозможно загрузить с http://www.anti-virus.by/beta/update/62c218f9.bin
> Может вирус? Или болезни беты... ну с этим разберемся, а вот почему не грузит обновление? Оно вобще там есть, если есть - бум у себя разбираться...


можно ли нам взглянуть на файл Vba32Ldr.log? можно на [email protected]

----------


## dmi

Еще вопросик, но уже по плагину для MDaemon&#039;a. Он в логах кроме своих настроек еще что-то должен писать или нет? И где смотреть если нет? работает совместно с родным антивирусом(2.2.7), в настройках стоит детальный лог. Сообщения не помечает. У почтовика пишет в системном логе что очередь обрабатывается (но что-то я в этом сумлеваюсь). В настройках обработки очереди (у почтовика же) пришлось поставить галку чтоб пустую не обрабатывал (очередь), иначе лог растет лавинообразно. Еще не понятно сервис должне быть на автозапуске или ручном. По умолчанию он в ручном, в инструкции "написано запустите его" - так это его надо каждый раз руками запускать или он как-то сам (от диспетчера например) или  на авто его (сейчас стоит на авто).

----------


## userr

Удалось получить от vba32 подарочек - Vba32Err.dmp 33 535 831 b  :Smiley:  Судя по времени создания файла, сканер в этот момент не вырубился, продолжал работать и нормально закончил работу. Может быть, это не удалился временный файл, как бывает у DrWeb?

----------


## userr

> Удалось получить от vba32 подарочек - Vba32Err.dmp. Может быть, это не удалился временный файл, как бывает у DrWeb?


скорее это дамп памяти

----------


## Dr.Xmas

> скорее это дамп памяти


это crash-дамп. если заархивировать с максимальным уровнем сжатия, сколько получится? нам такие файлы интересны

----------


## Dr.Xmas

последняя версия консольного сканера доступна здесь http://www.anti-virus.by/download_fi...a-20041125.zip. по техническим причинам дополнения по свежим троянам и вирусам чуть запаздывают по сравнению с релизом, приносим свои извинения. уже есть автоматическая обновлялка именно для консоли, но нестабильно работает, пофиксим в ближайшие дни.

----------


## maXmo

а вот я гуёвым сканером пользуюсь, вы их вместе обновляете или как?

----------


## Dr.Xmas

> а вот я гуёвым сканером пользуюсь, вы их вместе обновляете или как?


обычно вместе, но сейчас гуйня потянет последний апдейт, который совпадает с релизным, а в архиве с консолью лежит экспериментальный для тестов эвристики. к понедельнику починим эвристику (слегка завалили), и опять они будут синхронными.

----------


## serge

> ... к понедельнику починим эвристику (слегка завалили) ...


Тут поправлю своего коллегу. Я бы так не сказал, что завалили, все идет по плану. Дело в том, что построение эвристики - достаточно сложная и ресурсоемкая вычислительная задача, сейчас она как раз в процессе. К понедельнику все скорее всего будет обсчитано, тогда и выложим новый апдейт  :Smiley:

----------


## Geser

Очень не плохая опция была бы вытаскивать из архивов и почтовых баз так же и известных "зверей". очень удобно бывает  :Smiley:

----------


## serge

> Очень не плохая опция была бы вытаскивать из архивов и почтовых баз так же и известных "зверей". очень удобно бывает


Для сбора зверей в целях пополнения собственной коллекции?  :Wink: 

Данный недокументированный ключик мы делали специально для себя (а для кого же еще?  :Wink:  ). Известные вирусы нас уже не сильно интересуют, а подозрительные - как раз либо новые звери, либо ложные срабатывания. Ложные срабатывания фиксятся, а реальные трояны вставляются в базу. Таким образом в конце концов, возможно после нескольких итераций, на каждом отдельно взятом компе интересных для нас файлов не остается и сканер перестает вытаскивать что-либо. В результате процесс сходится.

Если начать собирать и вирусы тоже, то на реальных машинах из почтовых баз соберется столько всякого добра, что его забрать никак не получится. И те 130MB, которые собрал Iceman, по сравнению с этим покажутся просто мелочью  :Smiley:  Далее, при повторном запуске сканера не хотелось бы заново вытаскивать те файлы, которые уже были ранее собраны. Получается, что нужно что-то чуть более сложное. Есть идеи? Честно говоря, вероятность добавления какой-либо сложной фичи, которая нам самим бесполезна, очень невелика.

----------


## Geser

> Для сбора зверей в целях пополнения собственной коллекции?


Угу  :Smiley: 
Есть же уже такой ключик для подозрительных. Добавить такой-же для вирусов, мне кажется, дело нескольких минут. Мож и Вам пригодится когда-то  :Smiley:

----------


## Geser

File G:\Download\vba32\update.bat is corrupted
File G:\Download\vba32\vbaupdx.exe is corrupted
Сбор подозрительных файлов завершен.
ECHO is on.
Теперь можно запустить bat-файл &#039;recompress-to-7z.bat&#039; для того,
чтобы конвертировать архив с собранными подозрительными файлами
(susp.zip) в 7-zip формат (susp.7z) для лучшей степени сжатия
Press any key to continue . . .

 :Sad:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

Аналогично.
Я скачиваю только консоль, соотвественно этих файлов у нея нет  :Sad: 
Можно их где-то отдельно скачать?

----------


## serge

Эти файлы - та самая обновлялка, которую собирались добавить, но в самый последний момент убрали из-за обнаруженных в ней багов. Однако, похоже, забыли, что программа проверяет свою целостность при запуске и эти файлы включены в комплектацию  :Sad: 

Как временное решение, можно добавить ключ */ic* в батник, тогда программа будет игнорировать данную ошибку и продолжать работу.

----------


## azza

Хотел послать трояна, но не нашёл на сайте соответствующей кнопочки. Или проверка файла означает одновременную отправку на исследование?

----------


## Iceman

> Если начать собирать и вирусы тоже, то на реальных машинах из почтовых баз соберется столько всякого добра, что его забрать никак не получится. И те 130MB, которые собрал Iceman, по сравнению с этим покажутся просто мелочью  
> quote]
> Ха-ха-ха. Спасибо на добром слове ;D Но всё-таки, в основном, там были ложные тревоги. Кроме помойки, естественно ;D

----------


## azza

Ну и хорошо, отправлю ДрВебу.

----------


## serge

> Ну и хорошо, отправлю ДрВебу.


Вот только не надо сразу обижаться, ладно?  :Smiley: 

Теперь по сути самого вопроса. Файлы, проверяемые на online-проверке, и в которых программа не нашла вирусов, потом все равно анализируются вирусными аналитиками, так что  online-проверка - тоже способ прислать нам нового трояна. Однако лучше всего запаковать его в архив под паролем и прислать на [email protected]. В этом случае у нас будет хоть какая-то возможность обратной связи, если, например, Вас интересует, что именно это было, или нам потребуется еще какая-нибудь дополнительная информация.

----------


## serge

> Ха-ха-ха. Спасибо на добром слове  Но всё-таки, в основном, там были ложные тревоги. Кроме помойки, естественно


Может все-таки найдется возможность выбрать хотя бы часть таких файлов и прислать нам? Бета тестирование предназначено не только для защиты Вас от вирусов, но и для отладки и исправления проблем в работе програмы  :Smiley:  Так что файлы с ложными тревогами тоже нам очень интересны, чтобы к следующей версии эти ложные тревоги исправить. Конечная цель - программа, которая дает минимум (в идеале - полное отсутствие) ложных срабатываний эвристики, но позволяет достаточно надежно находить модификации и новые версии известных троянов. Сейчас мы постепенно движемся к этой цели и бета-тестеры нам в этом очень сильно помогают, спасибо.

PS. Вообще интересное выражение: "ложное срабатывание эвристики", ведь само слово "эвристика" в некотором смысле происходит от слова "ври"  :Smiley:

----------


## userr

> это crash-дамп. если заархивировать с максимальным уровнем сжатия, сколько получится? нам такие файлы интересны


9.5 Mb. Что будем с ним делать?  :Smiley:

----------


## azza

> Вот только не надо сразу обижаться, ладно?


Я не обиделся. Решил, что Ваш антивирус в присылке вирусов от пользователей не нуждается.   :Smiley: 
А файл отправил. Кстати, и ссылку на странице нашёл, так что прошу прощения.

----------


## userr

Я письма о бета-версии шлю на [email protected] (так посоветовали на [email protected] ). Это правильно?

----------


## Dr.Xmas

> Я письма о бета-версии шлю на [email protected] (так посоветовали на [email protected] ). Это правильно?


если речь идёт о функциональности программы (баги, глюки и т.п.), то лучше на [email protected] если новые вирусы, подозрения, ложные срабатывания эвристики, то это [email protected]

----------


## Dr.Xmas

в последний осенний день мы выложили для вас подарок   :Wink:  свежую версию консоли. взять можно здесь http://www.anti-virus.by/download_fi...a-20041130.zip

изменения:
1. в архиве обновлятор для консоли, с этого момента можно будет обновлять только то, что изменилось. сам файл vbaupdx.exe, вспомогательный батник update.bat
2. закрыты ложные срабатывания, которые были присланы за последние дни
3. около 400 семейств переименовано вразумительными названиями вместо new.?

статистика показывает, что ~ 50% присланных файликов действительно являются вредоносными программами (кроме явных ложняков, конечно).

кто сможет, потестируйте плз. просьбы: 
1. если получившийся архив небольшой и может быть прислан по почте, вышлите на [email protected]
2. если архив большого размера, вышлите плз файл susp.rpt на [email protected] для его анализирования.

большое спасибо!

----------


## Dr.Xmas

> кто сможет, потестируйте плз. просьбы: 
> 1. если получившийся архив небольшой и может быть прислан по почте, вышлите на [email protected]
> 2. если архив большого размера, вышлите плз файл susp.rpt на [email protected] для его анализирования.


спасибо всем, кто нашёл время и силы потестировать программу. 
ложняки, присланные за сутки, закрыты.
новые трояны вставлены в базу.
можно обновиться при помощи команды vbaupdx.exe http://www.anti-virus.by/beta/update/ (батник update.bat).

маленькая ремарка. некоторые кейгены при объявлении их "хорошими" "размывают" эвристику и "разваливают" уже устоявшиеся группы. мы такие кейгены собираем и анализируем ситуацию, куда двигаться дальше.

----------


## nowhere

Доброго времени суток

Поставил сегодня subj и тут же возникли вопросы
1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.
2. Насколько я понял, проверенный файл при повторном обращении не проверяется. А как отслеживается, был ли он изменён со времени последней проверки? Дело в том, что у того же Доктора при открытии уже проверенного файла cpu usage != 0 (естетственно, не на ультрасовременных монстрах с сотнями лошадей под капотом :), т.е. какая-то проверка есть (не знаю, хэш или простой crc, но есть), а у subj перманентный зеро.
3. Почтовый сканер. Активно использую осла, а некоторые особенно хитрые для входящих соединений используют TCP110 и 25, а subj вцепляется мёртвой хваткой в такие соединения. В принципе у доктора это лечилось забиванием в настройках перехвата соединений адреса сервера. Здесь после подобной операции антивирус вообще перестал реагировать на почту.

Всё остальное мне ОЧЕНЬ понравилось. Прогнал на своей коллекции - нашёл пару trojan downloader&#039;ов, про которые доктор не знает.

----------


## Dimka

> Доброго времени суток
> 
> Поставил сегодня subj и тут же возникли вопросы
> 1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.
> 2. Насколько я понял, проверенный файл при повторном обращении не проверяется. А как отслеживается, был ли он изменён со времени последней проверки? Дело в том, что у того же Доктора при открытии уже проверенного файла cpu usage != 0 (естетственно, не на ультрасовременных монстрах с сотнями лошадей под капотом , т.е. какая-то проверка есть (не знаю, хэш или простой crc, но есть), а у subj перманентный зеро.
> 3. Почтовый сканер. Активно использую осла, а некоторые особенно хитрые для входящих соединений используют TCP110 и 25, а subj вцепляется мёртвой хваткой в такие соединения. В принципе у доктора это лечилось забиванием в настройках перехвата соединений адреса сервера. Здесь после подобной операции антивирус вообще перестал реагировать на почту.
> 
> Всё остальное мне ОЧЕНЬ понравилось. Прогнал на своей коллекции - нашёл пару trojan downloader&#039;ов, про которые доктор не знает.


1.  Сейчас такой возможности нет,  и полезность ее несколько сомнительна. При включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел...  :Smiley: 
2. Монитор отслеживает запись в файлы, поэтому чтобы узнать, изменился ли файл, достаточно поискать его в таблице по имени.
3. Как задан адрес сервера? Должен указываться именно IP-адрес, а не DNS-имя почтового сервера.

----------


## nowhere

1. Мне лично комп нужен не для того чтобы запускать на нём антивирус, а производительности хватает только на это. А вот насчёт запрятывания - это самое оно  :Smiley: 
2. Гы, сразу не допёр  :Smiley:  Спасибо. Таблица сбрасывается при выключении монитора?
3. Это я первым делом сделал. Не работает

----------


## Dimka

> 1. Мне лично комп нужен не для того чтобы запускать на нём антивирус, а производительности хватает только на это. А вот насчёт запрятывания - это самое оно 
> 2. Гы, сразу не допёр  Спасибо. Таблица сбрасывается при выключении монитора?
> 3. Это я первым делом сделал. Не работает


1. Подумаем над этим. Реализовать, вообще-то, это не сложно
2. Да, таблица сбрасывается при выключении монитора, при подгрузке нового апдейта и при изменении настроек монитора.
3. Пока единственное предположение - ошибка в адресе сервера. И как проверялась "реакция" антивируса на почту? Конвертик в трее появляется только при приеме письма. Может, просто писем не было? Можно на закладке "Статистика" включить "Подробный" отчет - тогда в лог будут писаться все перехваченные попытки соединения.

----------


## nowhere

3. Ошибки в адресе нет
Проверялось фаерволом (сразу скажу, что настройки не препятствуют перехвату соединения), при приёме письма - только соединени ОЕ с сервером по 110, а vba32ldr даже ничего не слушает. Я так понимаю, коннекты должен перехватывать именно он?

----------


## userr

Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
==================================================  ===========
¦ Vba32 Windows/CL 3.10.1 beta / 30.11.2004 (Vba32.W) ¦
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+

Загружено 41872 моделей вирусов.
..\tmp\ezividwdn.exe : инфицирован Win32.Worm.Bagle.af
..\tmp\jaokniqk.ini : в порядке
..\tmp\a.eml:<MIME>\001.html : в порядке
..\tmp\a.eml:<MIME>\wcqqrxaiat.bmp : в порядке
..\tmp\a.eml:<MIME>\Updates.zip:<ZIP>\ezividwdn.ex  e : защищен паролем - обработка невозможна
..\tmp\a.eml:<MIME>\Updates.zip:<ZIP>\jaokniqk.ini : защищен паролем - обработка невозможна
..\tmp\a.eml:<MIME>\Updates.zip : похож на I-Worm.Psw-protected
=====================================

drweb:
====================================
c:\tmp\ezividwdn.exe packed by UPX
>c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
c:\tmp\jaokniqk.ini - Ok
c:\tmp\mime000.txt - Ok
c:\tmp\a.eml - archive MAIL
>c:\tmp\a.eml\html.1 - Ok
>c:\tmp\a.eml\wcqqrxaiat.bmp - Ok
>c:\tmp\a.eml\Updates.zip infected with Win32.HLLM.Beagle.pswzip
==================================
Как это удается проверять парольный архив? При этом когда я распаковал zip и из тех же файлов сам сделал парольный zip, то в нем уже вируса не видно  :Smiley: . Я пробовал разные степени сжатия и только на 0 (NO compression) добился от vba "похож на I-Worm.Psw-protected". drweb всегда писал
c:\temp\b\TEST0.ZIP - archive ZIP
>c:\temp\b\TEST0.ZIP\EZIVIDWD.EXE - password protected, skipped
>c:\temp\b\TEST0.ZIP\JAOKNIQK.INI - password protected, skipped

----------


## nowhere

Что за чертовщина... Ничего не понимаю  :Sad: 

Поставил subj на почти чистую систему (доктора правда не сносил, только паука). Почту не проверяет  :&#039;(
У кого-нибудь вообще pop3 сканер работает?

Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200  ;D

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alexey P.

> Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
> ...
> drweb:
> ====================================
> c:\tmp\ezividwdn.exe packed by UPX
> >c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
> c:\tmp\jaokniqk.ini - Ok
> c:\tmp\mime000.txt - Ok
> c:\tmp\a.eml - archive MAIL
> ...


 ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.

----------


## Dr.Xmas

> Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
> Даже в Quarta.MUI.2003.RU.for.iPAQ.2200  ;D


можешь прислать пару инсталляционных файликов?

----------


## Dr.Xmas

> ..\tmp\a.eml:<MIME>\Updates.zip : похож на I-Worm.Psw-protected


эту фишку мы делали на самом деле для почтовых серверов. админы настраивают так, чтобы такие архивы (нулевое сжатие с паролем) прибивать в почте. для обычных пользователей она чисто информативна

----------


## nowhere

> можешь прислать пару инсталляционных файликов?


Ок. См ПМ

----------


## userr

> ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.


то есть вирус содержит в себе (часть) алгоритма zip-кодирования? Любопытно.

----------


## pig

Сейчас в этом ничего любопытного уже нет. Клез ещё пару лет назад засовывался в RAR и ZIP - тогда это была относительная новинка.

----------


## nowhere

> Ок. См ПМ


Во, совсем другое дело!
А всё-таки, как запустить сканер почты? Готов предоставить всю необходимую информацию   :Wink:

----------


## maXmo

> 1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.


присоединяюсь к предложению.


> 1. Сейчас такой возможности нет, и полезность ее несколько сомнительна.


Всё быстрее будет летать.


> При включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел...


Можно монитором "втихую"(в смысле, с низким приоритетом  :Wink: ) проверять память и/или пути автозагрузки(после апдейта?..). Этого должно хватить.

----------


## Minos

А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.

----------


## Dr.Xmas

> А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.


о какой части комплекса идёт речь? если о мониторе, то проверка архивов в мониторе была, но мы от неё отказались, и пока вряд ли опять восстановим эту функцию. если речь о сканере, то в нём есть такая фишка, как список проверяемых объектов.
например, пишем в командной строке
Vba32w.exe @list, 
а файл list составляем следующим образом
---------------------------------------
/fc /ha 
C:\Windows\
/af /ar /ha
C:\P2P\
--------------------------------
т.е. перед каждым объявленным объектом для проверки можно менять ключи командной строки для этого объекта. очень удобно для всяких автоматических прогонов

----------


## Minos

Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень   :Wink: . У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно...  :Sad:

----------


## nowhere

> Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень  . У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно...



А кто мешает в той же нере настроить сканирование перед записью? Тем более перед тем как пишешь сам бог велел проверить сканером - потом ведь уже поздно будет  :Smiley:

----------


## Dr.Xmas

в алгоритмы для эвристики влита очередная порция троянов/бэкдоров, некоторые "new" переименованы и т.п. 
просьба: у кого есть возможность, потестируйте консольный сканер, который собирает подозрительные по эвристике файлы. ссылка для скачивания (у кого нет сканера вообще) http://www.anti-virus.by/download_fi...a-20041210.zip, у кого есть могут обновиться при помощи батника update.bat (обновятся только базы). особенно интересуют программы, написанные на Дельфи. если есть программисты-Дельфятники, прогон по вашим компам соберёт урожай для усовершенствования эвристики.

----------


## userr

как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра

----------


## Dimka

> как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра


Расширения в этом ключе разделяются точкой:
/ext-aaa.bbb.ccc

----------


## userr

Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WE  B-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collectio  ns\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.
 И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ??  :Smiley: 
==================
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /pm+ /af+ /ar+ /qu+ /ok+ /ml+

1wp10003r.zip:
Каталогов       0      Файлов в архивах:         Файлов на дисках:
Архивов:                - всего         : 4466    - всего         : 1     
- обработано : 90    - обработано : 4460    - обработано : 1     
- содержат вирусы : 0 - инфицированных: 0  - инфицированных: 0     
- удалено         : 0      - подозрительных: 0   - подозрительных: 0     
                                                     -        обезврежено   : 0     
Почтовых сообщений:        Присоединенных файлов     
- обработано      : 4461   - всего         : 0
- содержат вирусы : 0    - обработано  : 0     
- подозрительных  : 0      - инфицированных: 0     
- удалено         : 0 
==================================================  =
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+

1wp10003r.zip:
Каталогов      : 0       Файлов в архивах:         Файлов на дисках:
Архивов:                   - всего         : 625       - всего         : 1     
- обработано  : 20      - обработано : 625       - обработано    : 1     
- содержат вирусы: 0  - инфицированных: 0    инфицированных: 0     
- удалено        : 0       - подозрительных: 0     - подозрительных: 0

----------


## serge

> Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
> 1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WE  B-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collectio  ns\BeanMap$4.class : невозможно открыть для чтения
> Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
> Дрвеб отработал архив без проблем.


Первым делом стоит посмотреть, достаточно ли места во временном каталоге для временных файлов, которые создаются при распаковке архивов. Если места недостаточно, могут появляться такие сообщения об ошибках (невозможно открыть для чтения). 




> И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ??


Это из-за /pm+ режима. В данном режиме программа игнорирует формат файлов и пытается проверить их всеми доступными методами. Соответственно, часть файлов ей показались немного похожими на почтовые сообщения, что и было отражено в отчете.

Чтобы разобраться со всем этим, пожалуйста запустите сканер на проверку этого архива с ведением отчета и ключем /ok (информация о всех файлах в отчете), а также без /pm режима (его вообще использовать не рекомендуется). Пришлите этот файл отчета нам для анализа, а также отчет созданный DrWeb. Также было бы интересно посмотреть на тот файл, на котором Vba32 спотыкается, возможно именно в нем все дело. Еще проверьте пожалуйста, не появился ли файл vba32err.dmp в каталоге Vba32. Все эти результаты пришлите пожалуйста на [email protected], будем разбираться и попробуем решить проблему.

----------

Похоже у вас RTF файлы при проверке открываются на запись.  :Sad: 
Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.

22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Ri  chedit\overview.rtf - Ok

Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.

----------


## maXmo

в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?

----------


## HA

> в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?


В случае, если Комплекс корректно проинсталирован и полностью загружен такой ситуации возникать не должно. Если возникает, то опишите, пожалуйста, подробнее.... Описанную Вами картину можно наблюдать в случае, если Диспетчер еще не полностью загружен (не закончена проверка процессов, загрузчиков...), а Вы через иконку вызываете настройки Диспетчера.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## HA

> Похоже у вас RTF файлы при проверке открываются на запись. 
> Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.
> 
> 22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Ri  chedit\overview.rtf - Ok
> 
> Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.


Да, большое спасибо. В ближайшей бете это будет изменено. При использовании только одного антивируса это не должно влиять на защитные функции Комплекса. В Вашем случае это действительно может замедлять проверку.

----------


## maXmo

А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?

----------


## userr

Положил хитрый архив, про который я писал в письме #96, на http://webfile.ru/135893
пароль "абв". Архив rar распаковать, достать zip и на него уже натравить антивирус.

----------


## Dr.Xmas

> А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?


список тех, с кем общаемся, постоянно ведётся. им продлённый ключ будет выслан

----------


## Dr.Xmas

> А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?


ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ

----------


## Minos

> ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ


Логично, и  можно ограничить его действие, скажем, двумя неделями, а свежий ключик выкладывать с новыми тестовыми сигнатурами и обновленными модулями. и эффективность тестирования выше и о старых багах рапортовать не будут  :Wink: .

----------


## Dr.Xmas

> ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ


свежий ключевой файл включён в комплектацию консоли, кто не пользует консоль, может скачать здесь http://www.anti-virus.by/beta/update/vba32.key

С наступающим Новым годом!   :Smiley:

----------


## userr

Поздравляю всех с Рождеством!
Спасибо авторам ВБА за ключик.  :Smiley: 
А комментарии по работе ВБА с архивами будут?

----------


## Dr.Xmas

> Поздравляю всех с Рождеством!
> Спасибо авторам ВБА за ключик. 
> А комментарии по работе ВБА с архивами будут?


спасибо за поздравление, очень приятно!
разработчики, которые смотрели архив, до понедельника отдыхают. ответ будет чуть позже.

----------


## Dr.Xmas

> А комментарии по работе ВБА с архивами будут?


а вот и ответ приплыл:
"В общем, там какой-то глюк в алгоритме на распаковке одно файла, а поскольку формат архива немного хитрый (нет информации о запакованном размере файла), то и обработка всего архива на этом прекращается. В чем причина этого глюка пока не разобрался"

----------


## userr

> а вот и ответ приплыл:
> "В общем, там какой-то глюк в алгоритме на распаковке одно файла, а поскольку формат архива немного хитрый (нет информации о запакованном размере файла), то и обработка всего архива на этом прекращается. В чем причина этого глюка пока не разобрался"


Вопросов два (хотя для разработчиков, возможно, это одна проблема):
1. vba * /pm+ В РЕДКИХ случаях на архивах спотыкается, при этом пишет в лог "невозможно открыть для чтения" 
2. vba * /pm- НА НЕКОТОРОМ (большем, чем в п.1) числе архивов не проверяет значительную часть файлов архива (не пишет в лог), при этом мирно завершается штатным образом.

А теперь комплименты vba за работу с архивами.  :Smiley: 
vba понимает ZIP, запакованный compression method 9 - Deflate64, достаточно ныне распространенный. Кстати, такие zip не открывает Drweb, за что ему большой минус. 
 Более того, vba понимает "ZIP compression method 12 - Bzip2" как его делает 7-zip - при этом vba является ЕДИНСТВЕННОЙ из доступных мне программ, (кроме самого 7-zip) работающей с такими zip-ами. Вы сотрудничаете с Павловым, что ли?  :Smiley: 
 Вообще, с zip творится беспредел. Например, PowerZip 7.04 делает zip c compression method 12, но "для внутреннего пользования" - ни одна другая из доступных мне программ эти zip не открывает, и с 7-zip они не совместимы  :Sad:

----------


## Участковый

Размер ежедневных обновлений (файл daily.udb) больше 300 килобайт. По-моему, многовато.  :Sad:

----------


## Geser

[quote author=Участковый link=board=18;threadid=144;start=100#msg5517 date=1106756849]
Размер ежедневных обновлений (файл daily.udb) больше 300 килобайт. По-моему, многовато.  :Sad: 
[/quote]
Наверное много много новых зверьков добавили  :Smiley:

----------


## Участковый

> Наверное много много новых зверьков добавили


Не только сегодня, а последние пару недель, не меньше. Даже KAV с расширенными базами обновляется, в среднем, быстрее…

----------


## serge

[quote author=Участковый link=board=18;threadid=144;start=100#msg5525 date=1106763392]
Не только сегодня, а последние пару недель, не меньше. Даже KAV с расширенными базами обновляется, в среднем, быстрее…
[/quote]
Объемы скачиваемых данных при обновлении официальной версии намного меньше. Для бета версии довольно большой объем в апдейтах занимает информация о дополнительных записях эвристики (кстати, они в счетчике вирусов не учитываются, если так подумать, наверное даже зря). Если это сильно напрягает, пропробуем к следующей версии что-нибудь сделать для более быстрого обновления  :Smiley: 

PS. А новых зверьков в последнее время действительно очень много.

----------


## Участковый

Наверное, нужно просто обновления upNNNNNN.udb выпускать почаще (раз в неделю, например). Тогда всё должно быть OK.

----------


## Dr.Xmas

доработан модуль обновления vbaupdx.exe. вот справка об использовании, вроде всё кратко и понятно. 

Usage: vbaupdx.exe <update path> [options]

options: /p=<address:port>      - Proxy server address and port
         /r=[file]              - Saving report in file
         /r+[file]              - Append report to file
         /u=<username:password> - Password for proxy authentication
         /no-ntlm               - Disable NTLM proxy support

"обновлённый" архив консольной бета-версии по адресу http://www.anti-virus.by/download_fi...a-20050128.zip (4056 К), у кого пакет уже установлен можно как всегда обновиться батником update.bat.

----------


## serge

Вот тут подумалось... Если кто-то новенький случайно заглянет в данную ветку форума и прочитает ее последнюю часть, может решить, что антивирус VBA - это только консольный сканер, поскольку именно он и обсуждается тут в последнее время  :Smiley: 

На самом у нас есть довольно широкий спектр решений для антивирусной защиты рабочих станций и серверов. Кому интересно, может заглянуть на наш сайт и почитать про все это подробнее.

То, что мы предлагаем попробовать именно консольный сканер, не случайно (да и появился он, если проследить историю этой ветки, именно по просьбам пользователей). Дело в том, что консольный сканер не требует инсталляции, ни с чем не конфликтует, может без проблем работать совместно с уже установленным другим антивирусом, без проблем обновляется запуском одного bat-файла, легко запускается на проверку всех дисков запуском другого bat-файла. Консольный сканер позволяет оценить работу антивирусного движка, быстродействие проверки, эвристический анализатор, поддерживаемые форматы архивов и почтовых баз, лечение вирусов и других вредоносных программ на дисках и в почтовых базах, проверку памяти и все остальное, связанное именно с поиском и обезвреживанием вирусов. Единственная вещь, котороя есть в полной версии комплекса (правда пока только в бета-версии),  но отсутствует в консольном сканере, это детектирование в системе активных rootkit&#039;ов. Но мы планируем к следующему серьезному обновлению бета-версии консольного сканера добавить туда и эту фичу.

Если есть желание использовать антивирус Vba32 в качестве основного антивируса, можно установить полную версию программы, которая включает антивирусный монитор (совершенно необходимая вещь для антивирусной защиты), gui-сканер, а также скрипт-фильтр, pop3-фильтр, плагин для почтового клиента the bat, расширение контекстного меню explorer&#039;а и другие полезные и нужные вещи, если я их здесь забыл перечислить  :Smiley:

----------

> доработан модуль обновления vbaupdx.exe. вот справка об использовании, вроде всё кратко и понятно. 
> 
> Usage: vbaupdx.exe <update path> [options]
> 
> options: /p=<address:port>      - Proxy server address and port
>         /r=[file]              - Saving report in file
>         /r+[file]              - Append report to file
>         /u=<username:password> - Password for proxy authentication
>         /no-ntlm              - Disable NTLM proxy support


Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.

----------


## serge

> Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.


Так об этом и речь, добавлена поддержка авторизации на прокси, в том числе и NTLM. Для указания логина/пароля используется ключ */u=*, причем если задать просто &#039;/u=&#039;, т.е. без параметров, то программа сама спросит имя пользователя и пароль, если задать &#039;/u=имя_пользователя&#039;, то программа попросит ввести только пароль. Если указать полностью &#039;/u=имя_пользователя:пароль&#039;, то программа ничего спрашивать не будет, но хранить пароль в батнике не очень хорошо в плане безопасности.

В любом случае, если будут какие проблемы, пиши, постараемся исправить. Ты пока единственный, кто просил поддержку NTLM прокси  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## serge

На обновление выложена новая бета-версия. Теперь сканер работает заметно быстрее в режиме максимальной эвристики (точнее, теперь эвристика не так сильно замедляет работу), поддерживается больше упаковщиков, в консольный сканер добавлено детектирование в памяти активных rootkit&#039;ов, со следующего обновления размер скачиваемых данных при обновлении должен быть намного меньше (теперь для daily.udb используются обновление с помощью бинарных патчей как и для исполняемых модулей). В комплекс с графическим интерфейсом включена поддержка Security Center Windows XP SP2 (теперь винда признает нас за антивирус  :Smiley:  ).

----------


## Geser

> в консольный сканер добавлено детектирование в памяти активных rootkit&#039;ов


Эвристика или по сигнатурам?
Кстати, как на счет защиты реестра. Не планируется?

----------


## Dr.Xmas

> Эвристика или по сигнатурам?


алгоритмы по обнаружению потенциальных руткитов, без сигнатур




> Кстати, как на счет защиты реестра. Не планируется?


планируется, чуть позже. планов громадьё, планируем последовательность

----------


## Geser

> алгоритмы по обнаружению потенциальных руткитов, без сигнатур


Вот это класс  :Smiley:

----------


## serge

> Вот это класс


Если честно, все пока довольно примитивно, просто используется функция обнаружения наличия руткита, взятая из программы antikit, если еще кто помнит такую  :Smiley:   Антивирус просто детектирует перехват API-функций и выдает предупреждение об этом (GUI версия комплекса еще и предлагает пользователю исправить перехваченные функции для того, чтобы можно было искать "спрятанные" файлы), вся теория очень хорошо описана Олегом. Кстати, AVZ детектирует руткиты на данный момент надежнее - контролирует больше функций из различных библиотек, но и ложных срабатываний дает больше.

Данный механизм уже довольно давно используется в бета версии GUI-сканера, но до сих пор мы не получили вообще ни одного отзыва от пользователей. В общем, причин может быть много:
1. У пользователей руткитов нет
2. В алгоритме детектирования есть ошибки и он просто "не видит" руткитов
3. GUI-версию антивируса просто никто не использует

Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.

----------


## Geser

> Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.


GUI версию использовали бы, если бы она была бесплатной и работала без инсталяции. Сегодня таких продуктов просто нету,  думаю такая вещь пользовалась бы большой популярностью.

----------


## Minos

Ребят, а как насчет шифрования файла лицензии после предъявления его антивирусу (имеется в виду хранение ключа на диске в зашифрованном виде, причем шифровать с применение уникального ключика, генерирующегося при инсталляции), а то трудно закрыть к нему доступ для пользователей особенно под Windows 9X. А любопытных море, знаю по DrWeb, ключики могут ненароком "уплыть".

----------


## Minos

Поздравляю любимый антивирус с 50000 отметкой!!! Полдороги до 100000 записей пройдено, так держать. Берегись KAV!!!

----------


## Dr.Xmas

консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу http://www.anti-virus.by/download_fi...07-beta.tar.gz

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания

----------


## Dr.Xmas

антивирусный ICAP-сервер можно взять по адресу http://www.ant-virus.by/download_fil...p20050204.tbz2

----------


## Dr.Xmas

освежили консольную версию для Windows-систем. архив по адресу http://www.anti-virus.by/download_fi...a-20050208.zip

----------


## Andrey

VBA32 пропускает уже давно известные вирусы.
К примеру: попытайтесь скачать с _http://www.crack.am любой файл и все поймёте.
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.

----------


## pig

Так подарите им вашу коллекцию.

----------


## Geser

> Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
> Но в любом случаи удачи проекту.


Ну так помоги людям. Думаю Вам будет чем обменяться  :Wink:

----------


## Geser

> Так подарите им вашу коллекцию.


О, pig меня опередил  :Smiley: 
И с Олегом думаю будет чем поменяться. Ему тоже пригодится  :Smiley: 
А в обмен мы поделимся тм что на форуме собираем.

----------


## Andrey

А смысл?
Все равно быстро устаревает.
Каспер 90% детектит.
А остальные х...ен поймешь: одни конторы считают вирусами другие нет.

Антивирусы лечат последствия, а не причину.

----------


## Участковый

Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?

----------


## Dr.Xmas

[quote author=Участковый link=board=18;threadid=144;start=120#msg6473 date=1107883600]
Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?
[/quote]
пока она ниже, чем в бете. релиз поставляется корпоративным клиентам, где зачастую за компами сидят тётушки-бухгалтера. чтобы их не пугать, релиз детектит только самые стабильные группы, которые встречаются в "живой" природе. в бете у нас слегка "развязаны руки", можем экспериментировать. сейчас постепенно начнём перетаскивать записи из беты в релиз.

----------


## dmi

> консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу http://www.anti-virus.by/download_fi...07-beta.tar.gz
> 
> у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания


А для FreeBSD? (и ICAP-сервер тоже)
Или они итак для неё подходят?
ICAP-сервер и под Windows не помешал бы...

----------


## max

> А для FreeBSD? (и ICAP-сервер тоже)
> Или они итак для неё подходят?
> ICAP-сервер и под Windows не помешал бы...


консольный сканер для FreeBSD есть (5.х, 4.х). сейчас скрипт установки не проверяет, в какой системе работает, и в FreeBSD не создает пользователя/группу для консольного сканера. если надо, сделать можно, это быстро. если предпочитаете не использовать такую автоматизацию, можем выложить архив с консольным сканером.

ICAP-сервер для FreeBSD проходит внутреннее тестирование, когда пройдет -- выложим и его. насчет ICAP-сервера под Win -- с каким ICAP-клиентом вы хотите его использовать?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## dmi

лучше подождать, и получить законченный (хотя для беты это вызывает улыбку).
ICAP-клиент буду использовать прокси-сервер сквид(БСД) или Траффик Инспектор в будущем обещали(Win), в сквидНТ тож может встроят клиента. Сужу по другим антивирусам (Семантек, Вэб, трендмикро) у них на никс и на вин платформы (я понимаю что не всё сразу). Да и универсальнее, можно со шлюза будет его убрать и поставить в локалке где-нибудь.

----------


## userr

> освежили консольную версию для Windows-систем. архив по адресу http://www.anti-virus.by/download_fi...a-20050208.zip


1. ПРавильно я понимаю, что тем, у кого уже стоит консольная версия для Windows-систем, достаточно штатно обновиться?
2. vba не проверяет MS sfx cab архивы.

----------


## Dr.Xmas

> 1. ПРавильно я понимаю, что тем, у кого уже стоит консольная версия для Windows-систем, достаточно штатно обновиться?


да




> 2. vba не проверяет MS sfx cab архивы.


проверяет, но есть странные кабы, которые программа не признаёт. выйдет на связь serge, он больше на эту тему расскажет. (в принципе в паранойе /pm программа должна такие архивы видеть)

----------


## userr

> да проверяет, но есть странные кабы, которые программа не признаёт. выйдет на связь serge, он больше на эту тему расскажет. (в принципе в паранойе /pm программа должна такие архивы видеть)


Я имею ввиду sfx cab, сделанные самим Microsoft. У меня лежит 89 патчей к разным продуктам Microsoft в таком формате. Ни один из этих файлов vba не признает за архив. А режим /pm+ у меня включен всегда.
 Total commander с этими архивами работает без проблем.

----------


## Iceman

А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?

----------


## Alexey P.

> А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?


 Консоль сейчас обновил, все работает.

----------


## Dr.Xmas

> А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?


хостер без предупреждения решил нас перенести на другой айпишник. пока не обновились DNS, были проблемы с обновлением. приносим всем свои извинения...   :Undecided:

----------


## Iceman

> Консоль сейчас обновил, все работает.


Да, буквально после написания сообщения попробовал - заработало.

----------


## Dr.Xmas

доступен фтп-сервер ftp://anti-virus.by. там есть область /upload, куда можно закачивать файлики для нас -- подозрительные, новые вирусы и т.п. будем благодарны за подарки  : :Smiley:

----------


## Geser

Онлайн проиверку глючит. Загружаю файл, и ни ответа ни привета. Возврат на тот же экран

----------


## Minos

Может стоит разделить Adware и Riskware, включать их в проверку раздельно, а то забадался созерцать в логе примочки к асемблеровским компиляторам, я же их сам поставил   :Sad: .

----------


## Dr.Xmas

> Может стоит разделить Adware и Riskware, включать их в проверку раздельно, а то забадался созерцать в логе примочки к асемблеровским компиляторам, я же их сам поставил  .


лучше вышли лог с названиями, может быть будет проще выбросить их из базы

----------


## Dr.Xmas

> Онлайн проиверку глючит. Загружаю файл, и ни ответа ни привета. Возврат на тот же экран


спасибо за замечание, хостер взялся делать большие переделки, а они, как известно, до добра не доводят   :Wink:

----------


## Dr.Xmas

сейчас для беты будет выложена новая версия эвристики, в которой 2.500 групп. в первые 2-3 дня (пока не подкрутим), возможны ложные срабатывания. всем, кто возьмётся протестировать, заранее огромное спасибо. файлы, на которые прога выругается, можно заливать на ftp://anti-virus.by/upload/

----------


## Minos

> доступен фтп-сервер ftp://anti-virus.by. там есть область /upload, куда можно закачивать файлики для нас -- подозрительные, новые вирусы и т.п. будем благодарны за подарки  :


Не работает докачка файла на указанном ftp. При попытке докачать файл после разрыва связи выдает сообщение, что доступ запрещен. Удалить недокаченный файл также невозможно.

P.S. Используемый клиент - FileZilla 2.2.9

----------


## Dr.Xmas

> Не работает докачка файла на указанном ftp. При попытке докачать файл после разрыва связи выдает сообщение, что доступ запрещен. Удалить недокаченный файл также невозможно.
> 
> P.S. Используемый клиент - FileZilla 2.2.9


так админы хостера раздали права. если бы докачка была, можно было бы перезаписывать чужие файлы или дописывать их, что (наверное) неправильно

----------


## Minos

> так админы хостера раздали права. если бы докачка была, можно было бы перезаписывать чужие файлы или дописывать их, что (наверное) неправильно


Это понятно, но надо что-то придумать, а то возникают проблемы с пересылкой большими порциями различных "вкусностей"   :Wink:

----------


## Dr.Xmas

> сейчас для беты будет выложена новая версия эвристики, в которой 2.500 групп. в первые 2-3 дня (пока не подкрутим), возможны ложные срабатывания. всем, кто возьмётся протестировать, заранее огромное спасибо. файлы, на которые прога выругается, можно заливать на ftp://anti-virus.by/upload/


сейчас выложим скорректированную версию эвристики (после получения первой партии "ложняков")

----------


## maXmo

> Это понятно, но надо что-то придумать, а то возникают проблемы с пересылкой большими порциями различных "вкусностей"


практически не решаемо. Есть один вариант: для самых активных закачивателей создать по аккаунту и раздать им нужные права.

----------


## Dr.Xmas

эвристика ещё раз обновлена, скорректированы записи, вызвавшие "ложные" срабатывания

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> эвристика ещё раз обновлена, скорректированы записи, вызвавшие "ложные" срабатывания


Напомни ссылочку на консольную версию

----------


## Dr.Xmas

> Напомни ссылочку на консольную версию


сейчас все архивы и инсталляционные пакеты сгружаем на ftp://anti-virus.by/pub/, свежая версия косоли лежит в архиве vba32-console-scanner-beta-20050313.zip, соответственно точный урл ftp://anti-virus.by/pub/vba32-consol...a-20050313.zip

----------


## Dr.Xmas

Начата реализация лечения (удаления) вредоносных программ в архивах.
 В настоящее время работает лечение и удаление файлов в архивах ARJ.
ВНИМАНИЕ! Обезвреживание и удаление файлов внутри архивов включается теми
же настройками, что и для файлов на диске (для консольного сканера - ключи /fc /fd)

----------


## Minos

А что плохого в этом leak тесте http://keir.net/firehole.html? VBA детектирует его как TrojanDropper.Win32.DemoLeakTest.

----------


## pig

Судя по имени, сознательное детектирование лик-теста как лик-теста. То же, что и not virus Tool.Radmin в расширенной базе Dr.Web. На всякий случай.

----------


## maXmo

что-то он начинает как-то подозрительно подтормаживать (Athlon 1800+). Хотя, возможно, это из-за появившейся вмвари...

----------


## Minos

> что-то он начинает как-то подозрительно подтормаживать (Athlon 1800+). Хотя, возможно, это из-за появившейся вмвари...


Наверное, у меня VBA подозрительно подтормаживает только на P166/16 машинах, на Ciryx 300 работа монитора даже не заметна (VBA for Win9x), Под XP на PIII450/256 тоже практически не тормозит.

----------


## Iceman

2DrXmas: Несколько вопросов
1. Консолька будет входить в состав ВБА NT.P и др. пакетов или это будет совершенно самостоятельный продукт?
2. мне не понятно, есть ли в Vba32.NT.P выбор уровня эвристики, как в консольке? Или эта возможность отсутствует?
Спасибо.

----------


## Dr.Xmas

> 1. Консолька будет входить в состав ВБА NT.P и др. пакетов или это будет совершенно самостоятельный продукт?


давай подойдем с другой стороны: есть Personal, Workstation, Server. Personal рассчитана на персонального пользователя, который как правило имеет низкий уровень знания компа. поэтому из этой комплектации консоль просто выбросили, т.к. людям было тяжело объяснить, что это такое, и они этим просто не пользовались. если надо, я тебе добавлю в ключ комплектацию Workstation, там консоль есть.




> 2. мне не понятно, есть ли в Vba32.NT.P выбор уровня эвристики, как в консольке? Или эта возможность отсутствует?


и в мониторе, и в сканере есть закладка "Действия" в настройках. там ползунком настраивается уровень эвристики. скриншот сделать или сам найдёшь?

кста, сегодня часть эвристики из беты перетащили в релиз   :Wink:

----------


## Iceman

По пп1.: Не хотелось бы наглеть, но если можно, то именно на Workstation. А тоя думал - чем они различаются. Сразу - непонятно  :Smiley: 
по пп.2: Я в курсе где изменить уровни эвристика. Мне показалось, что всё-таки уровни определения разные, может я ошибаюсь?  :Smiley: 
Спасибо.

----------


## Dr.Xmas

> По пп1.: Не хотелось бы наглеть, но если можно, то именно на Workstation. А тоя думал - чем они различаются. Сразу - непонятно


ответил в личных, причём ответил кАнкрэтна  :Wink: 




> по пп.2: Я в курсе где изменить уровни эвристика. Мне показалось, что всё-таки уровни определения разные, может я ошибаюсь? 
> Спасибо.


я уже как-то писАл, но ещё раз повторю. эвристика -- это определённый набор вирусных записей в базе. в релизе их немного, они самые стабильные, чтобы не пугать тётушек-бухгалтеров. в бете мы позволяем себе всякие "вольности"  :Wink: , поэтому эвристика в бете значительно "разговорчивее"

----------


## Iceman

По всем пп. - спасибо!
"///чтобы не пугать тётушек-бухгалтеров. в бете мы позволяем себе всякие "вольности" , поэтому эвристика в бете значительно "разговорчивее///"" - для маньяков продолжайте бета-тестирование бесконечно ;D

----------


## Dr.Xmas

> для маньяков продолжайте бета-тестирование бесконечно ;D


продолжаем, более того, ищем "жертвы", кто бы мог тестировать "альфа" версию эвристики, т.е. предварительную версию с определённым уровнем ложняков. требования к "кандидатам": желание делать бесконечные прогоны и толстый "бесплатный" канал в интернет  :Wink:  
сейчас как раз идёт такое тестирование, завтра (по планам) эта версия эвристики будет выложена в бету

----------


## Geser

> продолжаем, более того, ищем "жертвы", кто бы мог тестировать "альфа" версию эвристики, т.е. предварительную версию с определённым уровнем ложняков. требования к "кандидатам": желание делать бесконечные прогоны и толстый "бесплатный" канал в интернет  
> сейчас как раз идёт такое тестирование, завтра (по планам) эта версия эвристики будет выложена в бету


Ты ссылочки публикуй, думаю найдутся желающие.

----------


## Iceman

> продолжаем, более того, ищем "жертвы", кто бы мог тестировать "альфа" версию эвристики, т.е. предварительную версию с определённым уровнем ложняков. требования к "кандидатам": желание делать бесконечные прогоны и толстый "бесплатный" канал в интернет  
> сейчас как раз идёт такое тестирование, завтра (по планам) эта версия эвристики будет выложена в бету


Хммм, почему бы и нет  :Smiley: . Можно попробовать.

----------


## Dr.Xmas

> Ты ссылочки публикуй, думаю найдутся желающие.


не уверен, т.к. даже по эвристике беты тестирование идёт ни шатко ни валко, шлют одни и те же люди (сами знаете, кто  :Wink:  ). лучше сотрудничать с конкретными "вменяемыми" специалистами

----------


## Iceman

Не знаю, как насчёт специалистов, но возможность для выбора есть, ИМХО.

----------


## maXmo

не знаю, у меня бета с макс. уровнем эвристики почти ничего не находит. Слишком серьёзно вы альфу тестите  :Wink:  Альфу мне, альфу!
Так и не пофиксили баг с мультиюзером. В настройках загрузчика два чекбокса: *launch loader on startup* и *enable monitor on loader startup*; как сделать так, чтобы
1) монитор работал всегда под всеми юзерами
2) лоадер (гуи, значок в трее) запускался только у одного юзера (меня).

----------


## Jolly Rojer

Я тестил VBA мне чесно сказать он не понравился,общался и с товарищем из тех поддержки этого антивируса!Очень самоуверенный молодоой человек со мной общался,обгадил лабораторию Касперского,Вознес VBA до небес,а как расхвалил-то!!!! Жаль переписка не сохранилась,я думаю что многие жители этого форума не захотели бы его ставить не говоря уже о общении с техподдержкой!((да простит мне Эти слова генеральный директор фирмы - Dr.Xmas(к вам эти слова не относятся!)........... это относится к его сотрудникам,и конечно-же не ко всем!!!)) Было заявлено что VBA не кушает память работает очень быстро,но на деле выяснилось другое....... кушает память не меньше чем это делает Касперский ,загружает проц не меньше! Довольно большое количество пропусков вирусов,по сравнению с Касперским!!! Вопрос как часто выходят обновления к VBA ???? Берем все в совокупе и получаем вывод зачем я буду платить деньги за антивир который не лучше Касперского...............? Деньги конечноже меньшие чем за антивирус Касперского,но реально Антивирус Касперского стоит своих денег,а VBA по мойму нет(Это сугубо мое мнение)!Мне жаль 300-400 рублей на этот антивирус!!! Этот софт лучше было бы раздать как награду людям которые отличились на форуме статьями,а не предлагать антивирус со скидкой!!! Ни кого не агитирую за какойлибо антивир, но как говорится скупай платит трижды!!! Лучше пользоватся AVZ если ни чего нет вообще!!! По крайне мере Олег не нагрубит и не обгадит антивирусное П.О. которым пользуется человек!!! Да и если взять AVZ обновляется я думаю почаще чем VBA (и это при условии,что AVZ пишет один человек,а VBA целая команда)! Незнаю может обновления у VBA стали выходить чаще с моего последнего пребывания на сайте производителя этого П.О.

C уважением Jolly Rojer.

----------


## Dr.Xmas

> общался и с товарищем из тех поддержки этого антивируса!Очень самоуверенный молодоой человек со мной общался,обгадил лабораторию Касперского,Вознес VBA до небес,а как расхвалил-то!!!! Жаль переписка не сохранилась,я думаю что многие жители этого форума не захотели бы его ставить не говоря уже о общении с техподдержкой!((да простит мне Эти слова генеральный директор фирмы - Dr.Xmas(к вам эти слова не относятся!)........... это относится к его сотрудникам,и конечно-же не ко всем!!!))


ну вот мне и интересно, как директору, с кем ты общался? :o давай подробную инфу (даты, емайлы, куски переписки), можно мне приватом.




> Мне жаль 300-400 рублей на этот антивирус!!! Этот софт лучше было бы раздать как награду людям которые отличились на форуме статьями,а не предлагать антивирус со скидкой!!! Ни кого не агитирую за какойлибо антивир, но как говорится скупай платит трижды!!!


во-первых, мы на форуме никому не предлагаем покупать программу, и как мне кажется, ведём себя этично. во-вторых, объявление о продаже за 300р висит с объяснением, что деньги пойдут на развитие этого форума, а не нам в карман. в-третьих, на этом форуме мы предлагаем бета-версию бесплатно, и многие пользуются.

по обновлениям базы. в сутки выходит 2-3 обновления регулярно, каждые 3-4 часа, в периоды эпидемий чаще. какому антивирусу мы проигрываем по обновлениям?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dr.Xmas

> Было заявлено что VBA не кушает память работает очень быстро,но на деле выяснилось другое....... кушает память не меньше чем это делает Касперский ,загружает проц не меньше!


цифры какие-нибудь можешь привести? с указанием кофигурации компа и операционной системы...




> Довольно большое количество пропусков вирусов,по сравнению с Касперским!!!


логи обеих программ? настройки, с которыми проводились тесты?

----------


## Minos

> Я тестил VBA мне чесно сказать он не понравился,общался и с товарищем из тех поддержки этого антивируса!Очень самоуверенный молодоой человек со мной общался,обгадил лабораторию Касперского,Вознес VBA до небес,а как расхвалил-то!!!! Жаль переписка не сохранилась,я думаю что многие жители этого форума не захотели бы его ставить не говоря уже о общении с техподдержкой!((да простит мне Эти слова генеральный директор фирмы - Dr.Xmas(к вам эти слова не относятся!)........... это относится к его сотрудникам,и конечно-же не ко всем!!!))


Не знаю с кем и по какому поводу общались Вы, но за время работы с этой компанией у меня сложилось высокое мнение о ее специалистах, не обоснованных хвалебных од в адрес своего антивируса так же не наблюдалось



> Было заявлено что VBA не кушает память работает очень быстро,но на деле выяснилось другое....... кушает память не меньше чем это делает Касперский ,загружает проц не меньше! Довольно большое количество пропусков вирусов,по сравнению с Касперским!!! Вопрос как часто выходят обновления к VBA ????


А вы попробуйте запустить KAV на компьютере P166/16 или по XP на PII350/256 и ощутите еще какую разницу. По поводу вирусов, пресылайте на анализ в VBA, пропусков будет меньше.



> Берем все в совокупе и получаем вывод зачем я буду платить деньги за антивир который не лучше Касперского...............? Деньги конечноже меньшие чем за антивирус Касперского,но реально Антивирус Касперского стоит своих денег,а VBA по мойму нет(Это сугубо мое мнение)!Мне жаль 300-400 рублей на этот антивирус!!!


Ага и KAV у вас лецензионный конечно стоит  :Wink: . VBA обеспечивает достаточный уровень защиты, у меня он стоит в учебном классе, а это довольно злачное место с точки зрения вирусов. За почти пол года использования небыло НИ ОДНОГО случая заражения.




> Этот софт лучше было бы раздать как награду людям которые отличились на форуме статьями,а не предлагать антивирус со скидкой!!! Ни кого не агитирую за какойлибо антивир, но как говорится скупай платит трижды!!! Лучше пользоватся AVZ если ни чего нет вообще!!!


AVZ не совсем полноценный антивирус, он ориентирован на борьбу с троянскими программами, червями, adaware и другими вредоносными программами и практически безполезен при столкновении с файловыми и загрузочными вирусами, а так же пока не в состоянии лечить макровирусы.




> По крайне мере Олег не нагрубит и не обгадит антивирусное П.О. которым пользуется человек!!! Да и если взять AVZ обновляется я думаю почаще чем VBA (и это при условии,что AVZ пишет один человек,а VBA целая команда)! Незнаю может обновления у VBA стали выходить чаще с моего последнего пребывания на сайте производителя этого П.О.
> 
> C уважением Jolly Rojer.


Не могу сказать ничего по поводу грубых слов со стороны техподдержки, вы их не цитируете. А вот по поводу обновлений, как уже сказал уважаемый Dr.Xmas, они выходят 3-4 раза в день, исключение составляют выходные.

----------


## maXmo

можно сказать: продукт пошёл в массы  :Smiley:

----------


## Участковый

> по обновлениям базы. в сутки выходит 2-3 обновления регулярно, каждые 3-4 часа, в периоды эпидемий чаще. какому антивирусу мы проигрываем по обновлениям?


Насчёт обновлений - такая история. Нашёл файл, определявшийся Касперским как Worm.Win32.Cocoazul.e (или что-то в этом роде). Отправил вам, на следующий день он попал в базы. А ещё через несколько дней он почему-то пропал из баз Касперского. Написал им письмо, получил ответ "данный файл безопасен". Отправил вам ещё раз, описав ситуацию. Через четыре часа получил ответ "Это программа - крэк. Анализ продолжается". (Действительно, крэк. Он даже работает  :Smiley: ). И всё. После очередного обновления файл перестал определяться как заражённый. 
В связи с этим вопрос: проходят ли анализ поступающие к вам файлы, если на момент получения они уже определяются другими антивирусами (например, KAV - у вас ведь с ними названия "зверей" практически совпадают).
И по поводу техподдержки. Новых зверей присылал раз пятнадцать. Описанный случай был единственным, когда я получил хоть какой-то ответ (не считая присланных ложных срабатываний, там ответ был на два письма из четырёх). И если ответ на письмо типа "добавьте в свою базу нового трояна", в общем, не нужен, то на письма вроде "проверьте вот этот подозрительный файл" (а я пару раз писал именно так) отвечать, по-моему, необходимо.

----------


## Jolly Rojer

> Не знаю с кем и по какому поводу общались Вы, но за время работы с этой компанией у меня сложилось высокое мнение о ее специалистах, не обоснованных хвалебных од в адрес своего антивируса так же не наблюдалосьА вы попробуйте запустить KAV на компьютере P166/16 или по XP на PII350/256 и ощутите еще какую разницу. По поводу вирусов, пресылайте на анализ в VBA, пропусков будет меньше.Ага и KAV у вас лецензионный конечно стоит . VBA обеспечивает достаточный уровень защиты, у меня он стоит в учебном классе, а это довольно злачное место с точки зрения вирусов. За почти пол года использования небыло НИ ОДНОГО случая заражения.AVZ не совсем полноценный антивирус, он ориентирован на борьбу с троянскими программами, червями, adaware и другими вредоносными программами и практически безполезен при столкновении с файловыми и загрузочными вирусами, а так же пока не в состоянии лечить макровирусы.Не могу сказать ничего по поводу грубых слов со стороны техподдержки, вы их не цитируете. А вот по поводу обновлений, как уже сказал уважаемый Dr.Xmas, они выходят 3-4 раза в день, исключение составляют выходные.


1. Начнем с того что у меня стоит KAV лицензионный! На всех рабочих станциях и серверах!!!

2. У меня в сети нет компьютеров ниже P-4-2000

3. Тестирования VBA проводилось больше года назад,возможно VBA в корне изменился(этого не знаю)

4. Хамскую переписку не храню!!! И не собираюсь ящик захламлять ненужными письмами,я подчеркнул *"Жаль переписка не сохранилась!!!"*  (письма старше 6месяцев удаляю, по этому без цитат,фамилий и адреса того товарища из службы тех поддержки к моему *ВЕЛИКОМУ* сожалению!)

5. В любой фирме есть люди которые себя не этично ведут(если о них начальство не знает то не факт что их нет!!!) Возможно это был человек который на тот момент только устроился на работу в службу тех поддержки! А соответственно можно примерно вычислить этого человека....это было 12-14 месяцев назад,я не думаю что в службу техподдержки набирают каждый месяц сотрудников!

6. Опять таки скажу по поводу обновлений,а это было в моем посте*!!!"Незнаю может обновления у VBA стали выходить чаще с моего последнего пребывания на сайте производителя этого П.О."*

7. На счет AVZ вы конечно же правы!

8. А на счет уровня специалистов компании я не сказал не слова!

С уважением Jolly Rojer.

----------


## Dr.Xmas

[quote author=Участковый link=board=18;threadid=144;start=180#msg9175 date=1111597906]
Насчёт обновлений - такая история. Нашёл файл, определявшийся Касперским как Worm.Win32.Cocoazul.e (или что-то в этом роде). Отправил вам, на следующий день он попал в базы. А ещё через несколько дней он почему-то пропал из баз Касперского. Написал им письмо, получил ответ "данный файл безопасен". Отправил вам ещё раз, описав ситуацию. Через четыре часа получил ответ "Это программа - крэк. Анализ продолжается". (Действительно, крэк. Он даже работает  :Smiley: ). И всё. После очередного обновления файл перестал определяться как заражённый. 
В связи с этим вопрос: проходят ли анализ поступающие к вам файлы, если на момент получения они уже определяются другими антивирусами (например, KAV - у вас ведь с ними названия "зверей" практически совпадают).
[/quote]

был такой случай. вообще сейчас среди антивирусных компаний сложилась такая ситуация: если на момент поступления файла несколько антивирусов определяют там вирус, считается, что с ним уже кто-то разбирался, и такой файл практически сразу вставляется в базу. если другие антивирусы не детектят, то тут и начинается исследование. если вдруг у другой программы ЯВНЫЙ ложняк, то это выясняется на этапе нашего тестирования (сейчас тестирование апдейта идёт 4 часа по огромному количеству "хорошего" софта).

с тем файлом: были выходные, Касперский и ещё какой-то антивирус задетектили там червя, мы и вставили (больше для потенциальной защиты серверов, через которые этот "червь" мог бы пройти). когда он "исчез" из баз Касперского, вот тут его и начали изучать. т.к. это был кряк (а не системная программа), на этапе тестирования ложняк не был выявлен.

[quote author=Участковый link=board=18;threadid=144;start=180#msg9175 date=1111597906]
И по поводу техподдержки. Новых зверей присылал раз пятнадцать. Описанный случай был единственным, когда я получил хоть какой-то ответ (не считая присланных ложных срабатываний, там ответ был на два письма из четырёх). И если ответ на письмо типа "добавьте в свою базу нового трояна", в общем, не нужен, то на письма вроде "проверьте вот этот подозрительный файл" (а я пару раз писал именно так) отвечать, по-моему, необходимо. 
[/quote]
давай посмотрим на эту ситуацию с другой стороны. большинство пользователей присылает вирус, когда они уже уверены в этом, т.е. просто ждут добавления его в базы. если человек хочет точно получить ответ, прямо и пишет: "сообщите результаты". обязательно сообщаем.

в любом случае критика принимается, будем улучшать работу с клиентами  :Wink:

----------


## Geser

> давай посмотрим на эту ситуацию с другой стороны. большинство пользователей присылает вирус, когда они уже уверены в этом, т.е. просто ждут добавления его в базы. если человек хочет точно получить ответ, прямо и пишет: "сообщите результаты". обязательно сообщаем.
> 
> в любом случае критика принимается, будем улучшать работу с клиентами


В принципе, при наличае возможности стоит отвечать на все письма. При чем первым должен быть автоматический ответ о том что получено письмо, присвоен номер запроса такой-то. Второй ответ с результатами анализа.
Такая система удобна, и демонстрирует что фирма работает четко и ничего не остаётся без внимания. Можете мне поверить, такая система создаёт у людей присылающих новые вирусы ощущение что они делают что-то нужное фирме, и повышает мотивацию продолжать присылать новые вещи.

----------


## Dr.Xmas

> В принципе, при наличае возможности стоит отвечать на все письма. При чем первым должен быть автоматический ответ о том что получено письмо, присвоен номер запроса такой-то. Второй ответ с результатами анализа.
> Такая система удобна, и демонстрирует что фирма работает четко и ничего не остаётся без внимания.


всё правильно, мы к этому идём. есть пока кое-какие организационные проблемы   :Undecided:

----------


## serge

> В принципе, при наличае возможности стоит отвечать на все письма. При чем первым должен быть автоматический ответ о том что получено письмо, присвоен номер запроса такой-то. Второй ответ с результатами анализа.
> Такая система удобна, и демонстрирует что фирма работает четко и ничего не остаётся без внимания. Можете мне поверить, такая система создаёт у людей присылающих новые вирусы ощущение что они делают что-то нужное фирме, и повышает мотивацию продолжать присылать новые вещи.


С автоматическим ответом теоретически можно нарваться на проблемы. На адрес техподдержки также приходит достаточно много червей "своим ходом" с подставным адресом отправителя. Если робот начнет отсылать автоматические ответы с подтверждением получения письма, то реальные владельцы этих подставных адресов начнут думать, что мы рассылаем спам  :Smiley:

----------


## maXmo

Subject: Подозрительный файл. #reply
робот проверяет, не содержится ли в заголовке подстроки "#reply", и на основе этого принимает решение о даче ответа. И волки сыты и овцы целы. Только нужно будет своего робота состряпать.

Кстати, с какого-то почтового сервера и так приходят собщения: "ваше письмо-де не может быть доставлено, поскольку содержит вирус"

----------


## Dr.Xmas

> Subject: Подозрительный файл. #reply
> робот проверяет, не содержится ли в заголовке подстроки "#reply", и на основе этого принимает решение о даче ответа. И волки сыты и овцы целы. Только нужно будет своего робота состряпать.


в смысле клиент должен посылать письмо с таким сабжем? его ещё обучить надо  : :Smiley:  нам тут чел не может вторую неделю файлы выслать -- не умеет   :Undecided:

----------


## Geser

> С автоматическим ответом теоретически можно нарваться на проблемы. На адрес техподдержки также приходит достаточно много червей "своим ходом" с подставным адресом отправителя. Если робот начнет отсылать автоматические ответы с подтверждением получения письма, то реальные владельцы этих подставных адресов начнут думать, что мы рассылаем спам


Решается такая проблема очень просто. Если в письме обнаружен известный вирус, то автоматический ответ можно не посылать.

----------


## maXmo

> в смысле клиент должен посылать письмо с таким сабжем? его ещё обучить надо  : нам тут чел не может вторую неделю файлы выслать -- не умеет


такой пользователь не будет просить ответа, имхо.

----------

Только-что получил персональный ответ от www.av-comparatives.org,где они сообщили ,что хорошо знают ВБА-тестировали !его и он тесты провалил.It does not fulfil the requirements to be tested-был ответ.
Да и желательно чтобы команда ВБА откликалась на "новаторские"предложения,способные улучшить продажи их продукта,а не отвечать гордым молчанием.ВБА не может даже создать нормальный англоязычный сайт,а при установке антивира предлагает выбирать между Русским и Английским,как будто англоязычный пользователь поймет что означает надпись кириллицей -Английский.Готов общаться на данную тему -лишь бы столком для всех сторон.

----------


## maXmo

> It does not fulfil the requirements to be tested


что-то тут не сходится... он был вообще допущен к тестам?

----------

Andreas Clementi-автор сайта www.av-comparatives.org ответил,что он лично проверял ВБА и на его личный тест ВБА завалил.Короче цитирую дословно:"I tried VBA,but it does not sem to be a stable program.It crashed constantly,making it impossible to get exact results for it.It does not fulfil the requirements to get tested."Одним словом программа нестабильна вработе ,постоянные глюки(Crashes),невоможно из-за этого понять что может антивир.В списке антивиров от www.av-comparatives.org ВБА нет.Вывод-улучшаемся и прислушиваемся к мнению других.Как говорят на Украине:"Послухай мене дурного ,може й сам порозумнішаєшь".Лично я хотел только помочь и распространять наш славянский софт среди иностранов,а тут облом и свои же...

----------


## Dr.Xmas

> Andreas Clementi-автор сайта www.av-comparatives.org ответил,что он лично проверял ВБА и на его личный тест ВБА завалил.Короче цитирую дословно:"I tried VBA,but it does not sem to be a stable program.It crashed constantly,making it impossible to get exact results for it.It does not fulfil the requirements to get tested."Одним словом программа нестабильна вработе ,постоянные глюки(Crashes),невоможно из-за этого понять что может антивир.В списке антивиров от www.av-comparatives.org ВБА нет.Вывод-улучшаемся и прислушиваемся к мнению других.Как говорят на Украине:"Послухай мене дурного ,може й сам порозумнішаєшь".Лично я хотел только помочь и распространять наш славянский софт среди иностранов,а тут облом и свои же...


странная практика тестировать софт, не поставив в известность разработчиков. в чём нестабильность? где крэши? что улучшать? понятно, что английской части сайта нет, он сейчас в работе, но нужно ли так часто нас тыкать в это носом?

----------


## Geser

> странная практика тестировать софт, не поставив в известность разработчиков. в чём нестабильность? где крэши? что улучшать? понятно, что английской части сайта нет, он сейчас в работе, но нужно ли так часто нас тыкать в это носом?


Ну, не он заинтересован в продвижении ВБА, а вы  :Smiley: 
Потому думаю стоит к нему обратиться и выяснить в чем были проблемы  :Smiley:

----------


## Dr.Xmas

> Ну, не он заинтересован в продвижении ВБА, а вы 
> Потому думаю стоит к нему обратиться и выяснить в чем были проблемы


картинка маслом: стоят  Andreas Clementi и Vit, разговаривают "дааа, у ВБА ведь крэши...", тут подходим мы "ой, ребята, расскажите, где у нас крэши, и как нам дальше жить..."

я не знаю, как проводит тестирование  Andreas Clementi (хотя перед началом тестирования было бы этично предупредить нас, на каких ОС и по каким коллекциям будет тест), но обычно дело заканчивается разговором "парни, давайте бабло, и мы наклеим вам наш значок"

----------


## Geser

> картинка маслом: стоят  Andreas Clementi и Vit, разговаривают "дааа, у ВБА ведь крэши...", тут подходим мы "ой, ребята, расскажите, где у нас крэши, и как нам дальше жить..."
> 
> я не знаю, как проводит тестирование  Andreas Clementi (хотя перед началом тестирования было бы этично предупредить нас, на каких ОС и по каким коллекциям будет тест), но обычно дело заканчивается разговором "парни, давайте бабло, и мы наклеим вам наш значок"


Ну, не знаю. Но мне кажется что стоит поговорить. Что поделать, без PR в наше время не обойтись.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dr.Xmas

> Да и желательно чтобы команда ВБА откликалась на "новаторские"предложения,способные улучшить продажи их продукта,а не отвечать гордым молчанием.ВБА не может даже создать нормальный англоязычный сайт,а при установке антивира предлагает выбирать между Русским и Английским,как будто англоязычный пользователь поймет что означает надпись кириллицей -Английский.Готов общаться на данную тему -лишь бы столком для всех сторон.


уважаемый Vit! мы регулярно получаем письма с предложением "продвигать" нас на запад. в данном случае кроме предложения сделать англоязычный сайт какие есть ещё конструктивные предложения? и как можно ответить на такое письмо? "да, мы сделаем"? да конечно сделаем!

----------


## Dr.Xmas

> Ну, не знаю. Но мне кажется что стоит поговорить. Что поделать, без PR в наше время не обойтись.


с кем? ты не понял мою тонкую ирония в предыдущем посте. для того, чтобы разговаривать, должен быть предмет разговора, т.е. мы должны были знать о начале тестирования и его результатах. мы ничего не знаем. написать письмо со ссылкой на пост уважаемого Vit&#039;a? (не знаю, какой смайлик здесь поставить)

----------


## Geser

> с кем? ты не понял мою тонкую ирония в предыдущем посте. для того, чтобы разговаривать, должен быть предмет разговора, т.е. мы должны были знать о начале тестирования и его результатах. мы ничего не знаем. написать письмо со ссылкой на пост уважаемого Vit&#039;a? (не знаю, какой смайлик здесь поставить)


Действительно не понял  :Smiley:

----------

Более чем удивлен реакцией на мое послание...Разъясняю ситуацию-изучая списки антивиров на www.av-comparatives.org не обнаружил ВБА,думал,что они просто не знают о его существовании(как известно,связь с общественностью у ВБА на высшем уровне-спасибо хоть матом не посылают публично...)Думал помогу братьям-славянам-сообщу о существовании хорошего отечественного продукта,Ответ вы уже знаете.Ничего более добавить не могу.Как Клименти тестировал ВБА не знаю,скажу что он ВСЕГДА лично отвечает на вопросы какими-бы они не были(желательно некоторым перенять подобную привычку) и судя по комментариям на сайте оценки тестирований объективные .Если вам так много советуют с продвижением ВБА ,то чего ждете? ???Могли бы убрать опцию Eng из интерфейса сайта пока английская версия не готова,а то по законам психологии те немногочисленные посетители,залетевшие на сайт потыкав безрезультатно кнопку распсихуются и больше не вернутся.Обидно,что у вас такая непрофессиональная реакция и поведение.Даже если бы Клименти был не прав .можно было пересилив собственное эго и детские комплексы спокойно запросить информацию,а не обвинять в продажности!..Ваше поведение неэтично и непрофессионально.Очевидно,что техническими деталями и public relations должны заниматься РАЗНЫЕ люди,а иначе получается то ,что,увы,получается.Лаб.Касперского отвечает даже на вопросы о других! антивирах,Битдефендер просит о содействии даже пользователей других компаний,а не рычат на людей,которые по наивности хотели помочь снговскому производителю раскрутиться в мире.Я разочарован.Выпустив продукт без надлежащего информационного обеспечения вы нарушили все правила маркетинга,менеджмента,психологии и много чего другого.Самое страшное ,что у вас перед глазами есть примеры другого поведения-Касперский,Битдефендер-ваши ровеники,но никаких выводов.Как я понял,вы директор компании и обвинить одного из самых независимых,уважаемых и непредвзятых тестеров в продажности...Стыдно!!!

----------


## Dr.Xmas

> Стыдно!!!


нечего тут меня стыдить, я не мальчик. начнём с того, что я никого не обвинял, достаточно ВНИМАТЕЛЬНО почитать мои посты. я лишь указал на то, что авторитетный тестировщик перед тестированием обратился бы к разработчикам, попросил самую свежую версию, уточнил, как ему обновится и т.п., чего сделано не было.

насчёт общения. многие здесь не раз писАли, что их полностью устраивает общение с нами: культура поведения, быстрота реакции и т.п.

убрав весь обвинительный пафос из нашего "общения", ещё раз задаю вопрос: какие есть конструктивные предложения? если ты знаком с этим Andreas Clementi (хотя бы по переписке), можно было бы нас представить и объяснить ситуацию.

----------


## Geser

Vit, пожалуйста, сбавьте тон. Разработчики ВБА уже давольно давно на нашем форуме, и всегда оперативно реагируют на замечания и предложения посетителей. Фирма развивающаяся, и со временем сделают и сайт на английском. Критика это полезно, но нужно знать границы.

----------


## IBK

Hello,

my attention came to this forum as I was mentioned. I am sorry that I do not understand russian and was not able to read everything. But on what I was able to read, I think that it is necessary that I comment it a bit.
It was a fault of Vit to make public on what I told him by email without my permission. I only said to Vit that VBA32 crashed here constantly and that it was not possible to get results for it (the win version). As one condition is that the program should not crash, VBA32 did not fulfil the requirements to get tested. But to say that VBA32 is very bad because it is not included is a totally wrong conclusion. I did not tell any percentages of VBA32, but it is true that it would not reach the 85% in total - there are many well-known products that does not reach the 85%.

As you may have noticied VBA32 is not even listed under the other products on my site, for various reasons: 
a) it does not fulfil the conditions to get tested
b) there was only two persons that asked me about how good VBA32 would be in my tests (one was from another AV company that told me some weeks ago that VBA32 has good heuristics and the other was Vit some days ago I think).
c) the program does not seems to me to be ready for users that does not speak russian
d) I have results for VBA32 by using the cmdline, but I do not tell them publicly, as I do not tell results of products which in my on-demand tests reach under 85% with best possible settings.
e) If I would have listed VBA32 in the additional test, I would have contact the company notifing them about the test. As I decided that atm it is better to do not list the product, there was no need to contact the company. Additionally, I am not paid for making the tests and did not make public any results of VBA32 (or mentioned VBA32 publicly) , so I would be not obligated to tell in advance what I test etc.
f) When the product is finished also for the international market and it does fill all requirements to get tested, I will again take a look to it and evaluate if I list it on the website.
g) @VBA32 company: for further communication, please contact me by mail (use contact formular on the website) and I will tell you which results VBA32 has (please use the mail address of your company, as the percentages are confidential and not for the public). I only have rough numbers, as the additional test I made for such products was just to satisfy mainly my own curiosity about the detection rate of other products that are not included in the regular tests on my site.

I think it was a problem of misunderstandings and of interpretation; I hope everything is cleared up now. If more communication is needed, I will reply by mail only to VBA32 (Dr.Xmas?) directly (plz write me in english, as I do not really understand russian) - I do not have time to visit all forums and to translate them to english.

Regards,
Andreas

----------


## SDA

Вообще то здесь русскоязычный форум! Лично мне не особо владеющим английским переводить влом, на англйском Andreas пусть обращается к разработчикам  VBA со своими замечаниями, хотя тема интересная.

----------


## Minos

Вот так бы давно, коротко и по делу, вообще по чаще бы устраители тестов с аудиторией общались и обосновывали свои оценки.

----------


## SDA

Для аудитории желательно по русски.

----------


## Minos

Это объявился лично тестер,  Andreas Clementi, результаты работы которого здесь обсуждаются, он не понимает по русски.

----------


## Dr.Xmas

> Это объявился лично тестер,  Andreas Clementi, результаты работы которого здесь обсуждаются, он не понимает по русски.


кто организовал его появление здесь? если это Vit, я благодарю его за это.

----------


## SDA

Minos я понял что это Clementi и что он объясняет результаты тестов. Только интересно, как же он понял, что идет обсуждение его тестов? Может быть Уважаемый  Dr.Xmas разъяснит результаты тестов Andreas.Справедливы ли они оцениваюся.Я думаю интересно не только Мне.
P.S. А вообще то любопытно узнать реакцию посетителей какого нибудь англоязычного форума, где объявится русский тестер и будет по русски постить замечания к проге.

----------


## Dr.Xmas

> Может быть Уважаемый  Dr.Xmas разъяснит результаты тестов Andreas.Справедливы ли они оцениваюся.Я думаю интересно не только Мне.


здесь пока речь не о тестах, а о его позиции по данному вопросу, т.е. он объясняет свою позицию по отношению к нашей программе, причём его позиция очень взвешена и благожелательна. сами тесты (я думаю) мы обсудим позже в приватной переписке с ним.

----------


## Sanja

Smisl v ooo4en oboshennom smisle 
VBA ne dopusneha k testirovaniyu t.k padala pri proverke
Ne pisali avtoram t.k vba ne testirovali publicno i poetomu ne pos4itali nuznim uvedomlat avtora
daze eslibi vba u4astvovala v testah to nabrala bi mense 85%

to4noe procentnoe sootnosenie on nazivat neho4et t.k eto zakritie dannie poskolku vba officialno ne testirovalos a soobshit ih tolko razrabot4ikam

sorry za translit

----------


## Geser

> daze eslibi vba u4astvovala v testah to nabrala bi mense 85%


Только там еще была такая фраза "есть много хорошо известных продуктов которые не набирают 85%"  :Smiley:

----------


## Sanja

tam esho mnogo takih fraz tolko vse oni ne otnosatsa k vba  :Smiley: )

----------


## egik

я вот тут юзаю, доставшийся мне в призе ВБА, общие впечетления положительные, приятный интерфес, но мне кажеться, что работва ВБА похожа на работу троян хантера, также глючно ругаеться на теже программы, что и троян хантер ??? когда оного пробовал в работе, кстати с этой ошибки я и начал свое обитание здесь  :Smiley:  пришлось удалить их, а касперский а адрес этих прог молчит ???

----------


## Dr.Xmas

> я вот тут юзаю, доставшийся мне в призе ВБА, общие впечетления положительные, приятный интерфес, но мне кажеться, что работва ВБА похожа на работу троян хантера, также глючно ругаеться на теже программы, что и троян хантер ??? когда оного пробовал в работе, кстати с этой ошибки я и начал свое обитание здесь  пришлось удалить их, а касперский а адрес этих прог молчит ???


а написАть нам и поинтересоваться? вышли плиз логи программы на те файлы, которые вызывают у тебя вопросы на [email protected] или мне [email protected]

----------


## egik

не обижайся, лень. Тем более в тестеры не записывался ;D

вот ссылка на эту программу
http://www.chemtable.com/organizer2.htm

вот выдержка из лога
E:\Downloads\Программы\reg\regon.zip:<ZIP>\setup.e  xe : инфицирован Trojan.Win32.VB.sr
E:\Downloads\Программы\reg\russian.exe : инфицирован Trojan.Win32.VB.sr

Если подправите базы, буду благодарен, очень хочеться ей польховаться, нравиться она мне, плиз 
ну еще на пару патчей, это пропустим 

и на хелп энд мануал набросился  ??? абыдна, да ?

приятный момент нашел битый архив, за что человеческое спасибо, а то так и прозябал в неведении.
Удачи!!! : :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dr.Xmas

> не обижайся, лень. Тем более в тестеры не записывался ;D
> 
> вот ссылка на эту программу
> http://www.chemtable.com/organizer2.htm
> 
> вот выдержка из лога
> E:\Downloads\Программы\reg\regon.zip:<ZIP>\setup.e  xe : инфицирован Trojan.Win32.VB.sr
> E:\Downloads\Программы\reg\russian.exe : инфицирован Trojan.Win32.VB.sr


пофиксили примерно неделю назад  :Wink:  обнови базы плз

----------


## userr

Есть у меня 2 маленьких *.pjpeg файлика. Я думаю, что это только начальные огрызки файлов. Большинство АВ считает их безвредными, но clamav и vba находят в них Exploit.JPG . Довольно давно я посылал их ВирусБлокАде, но внятного ответа не получил. Vba продолжает детектить Exploit.JPG. Интересно, что же там на самом деле.  :Smiley:  Послал еще раз.

----------


## Iceman

Но есть и приятные моменты (да простит меня Модератор и Alexey P. ): h__p://forum.drweb.ru/view/101615
<<<<  Белорусский VBA эвристиком детектит:
d:\vba\temp\DSCN0688:<RAR>\DSCN0688.JPG <куча пробелов> .exe :
похож на Embedded.Trojan.PSW.LdPinch.g >>>>

----------


## serge

> Есть у меня 2 маленьких *.pjpeg файлика. Я думаю, что это только начальные огрызки файлов. Большинство АВ считает их безвредными, но clamav и vba находят в них Exploit.JPG . Довольно давно я посылал их ВирусБлокАде, но внятного ответа не получил. Vba продолжает детектить Exploit.JPG. Интересно, что же там на самом деле.  Послал еще раз.


Это не просто начальные огрызки файлов, а JPG-файлы, содержащие некорректное значение поля длины в заголовке одного из блоков данных. Такого рода файлы, при попытке их просмотра, приводят как минимум к падению программ, содержащих уязвимый код работы с JPG форматом. Как максимум - можно сформировать файл, который приведет к выполнению произвольного кода.

http://www.microsoft.com/technet/sec.../MS04-028.mspx

Возможно, через какое-то время у всех будут установлены все необходимые заплатки и поиск таких файлов станет ненужным.

Другие антивирусы не ругаются на данные файлы, потому, что у них в базы внесены конкретные эксплоиты, использующие данную уязвимость, а не общий метод их создания.

Откуда могли взяться сами эти *.pjpeg файлы, пока непонятно.

----------


## userr

Спасибо, очень любопытно.



> Откуда могли взяться сами эти *.pjpeg файлы, пока непонятно.


Угадай с трех раз  :Smiley: . По почте пришли, вестимо.

----------


## Alexey P.

> Но есть и приятные моменты (да простит меня Модератор и Alexey P. ): h__p://forum.drweb.ru/view/101615
> <<<<  Белорусский VBA эвристиком детектит:
> d:\vba\temp\DSCN0688:<RAR>\DSCN0688.JPG <куча пробелов> .exe :
> похож на Embedded.Trojan.PSW.LdPinch.g >>>>


 Угу. И эти моменты я уже не раз видел:
mw2003.dll : похож на .Dialer.Tibs.1
ydropper1_2us.cab:<CAB>\ydropper.dll : похож на AdWare.ToolBar.SideFind.1
gwss.z:<CAB>\gwss.dll : похож на AdWare.EZula.3
siq.cab:<CAB>\siq.dll : похож на AdWare.EZula.3
Все вышеуказанные - судя по их происхождению, вполне справедливо.
 Хоть эвристик у VBA и параноик (впрочем, настройки эвристика действительно по максимуму), но мне он нравится.
 В таком деле лучше перебдеть, чем недобдеть  :Smiley: .

----------


## Iceman

> ..................................................  ................................. Хоть эвристик у VBA и параноик (впрочем, настройки эвристика действительно по максимуму), но мне он нравится.
>  В таком деле лучше перебдеть, чем недобдеть .


Я всегда так говорю  :Smiley:  Слишком уж последствия могут быть неприятными.

----------


## Geser

Кстати, загляните на http://virusscan.jotti.org/  :Wink:

----------


## userr

> Кстати, загляните на http://virusscan.jotti.org/


молодцы ! а почему сами не хвастаются?  :Smiley:

----------


## Dr.Xmas

> молодцы ! а почему сами не хвастаются?


пока идут работы по "тонкой" настройке программы, оговариваются организационные вопросы и т.п. мы ещё сами от себя тестируем этот сервис, пару предложений послали. ну и т.д.  : :Smiley:

----------


## userr

Нельзя ли в бета-версию включить ключ для сбора (не перемещения) инфицированных (по мнению VBA  :Smiley: ) файлов? Или такой ключ есть но я его не знаю?

----------


## Dr.Xmas

> Нельзя ли в бета-версию включить ключ для сбора (не перемещения) инфицированных (по мнению VBA ) файлов? Или такой ключ есть но я его не знаю?


ключика нет, но возможность такая есть. при проверке добавь ключ /l=<listfile>,
и после завершения в файле <listfile> будет список инфицированных файлов (и архивов, содержащих вирусы). после всё это можно завернуть архиватором, например rar.exe a virus.rar @<listfile>

сложно, конечно, но работает, сами пользуемся

----------


## maXmo

> ещё раз задаю вопрос: какие есть конструктивные предложения? если ты знаком с этим Andreas Clementi (хотя бы по переписке), можно было бы нас представить и объяснить ситуацию.


имхо, странный подход. У меня ушло полсекунды, чтобы отыскать способ _самому_ связаться с Андреасом (это была первая мысль - связаться с ним, а не просить представить). Уже хотел вам его посоветовать, но он меня опередил. Это такой этикет, что ли?

----------


## userr

Тут уважаемый *pig* заявил, что VBA понимает 7z архивы. Это одна из редчайших его ошибок? Бета-версия ведь с 7z не работает.

----------


## userr

У вас на сайте по результатам "ПРОВЕРКА НА ВИРУСЫ ON-LINE" пишется следующее:  
_В проверяемом файле вирусов не обнаружено, но следует помнить, что стопроцентной гарантией может быть только постоянное использование антивирусной программы с регулярно обновляемыми базами данных._ 

ИМХО это несколько самонадеянно  :Smiley:

----------


## Dr.Xmas

> У вас на сайте по результатам "ПРОВЕРКА НА ВИРУСЫ ON-LINE" пишется следующее:  
> _В проверяемом файле вирусов не обнаружено, но следует помнить, что стопроцентной гарантией может быть только постоянное использование антивирусной программы с регулярно обновляемыми базами данных._ 
> 
> ИМХО это несколько самонадеянно


этот текст готовили люди, которые занимаются маркетингом и пиаром. передать им, что они заблуждаются?   :Wink:

----------


## serge

> Тут уважаемый *pig* заявил, что VBA понимает 7z архивы. Это одна из редчайших его ошибок? Бета-версия ведь с 7z не работает.


Насколько я помню, это была информация о том, что 7zip архиватор может создавать обычные zip-архивы с необычными методами сжатия (deflate64, bzip2). Так вот именно эти архивы мы и можем распаковывать и проверять.

А над поддержкой родного 7z формата мы работаем, благо лицензия на LZMA SDK *уже* позволяет его использование в коммерческих программах.

----------


## pig

> Тут уважаемый *pig* заявил, что VBA понимает 7z архивы. Это одна из редчайших его ошибок? Бета-версия ведь с 7z не работает.


Это аберрация памяти. На основании вот этого (от 13 января, *userr*):



> Более того, vba понимает "ZIP compression method 12 - Bzip2" как его делает 7-zip - при этом vba является ЕДИНСТВЕННОЙ из доступных мне программ, (кроме самого 7-zip) работающей с такими zip-ами. Вы сотрудничаете с Павловым, что ли?

----------


## userr

> этот текст готовили люди, которые занимаются маркетингом и пиаром. передать им, что они заблуждаются?


Мое мнение - да, заблуждаются.

----------


## pig

> этот текст готовили люди, которые занимаются маркетингом и пиаром. передать им, что они заблуждаются?


Они несколько погорячились. Если заменить "стопроцентную гарантию" на "наилучшую защиту", то всё сойдётся.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

Подскажите, плз, ключи консольки /FC /FD /FM взаимоисключают друг друга или нет?
Не получается копирование в указанный каталог.

----------


## Dimka

> Подскажите, плз, ключи консольки /FC /FD /FM взаимоисключают друг друга или нет?
> Не получается копирование в указанный каталог.


/FD, /FM и /FR - взаимоисключающие ключи, /FC - нет. Если указан /FC и один из этих трех ключей, то файлы лечатся, если программа не умеет лечить файл, то к нему применяется действие заданное вторым ключом (т.н. вторичное действие). Если задан только один из этих трех ключей, без /FC, то к файлу сразу применяется заданное действие.

----------


## Iceman

Спасибо  :Smiley:

----------


## Dr.Xmas

> Они несколько погорячились. Если заменить "стопроцентную гарантию" на "наилучшую защиту", то всё сойдётся.


пофиксили, спасибо за формулировку

----------


## userr

Можно ли в бета-версии подобрать такую комбинацию ключей, чтобы в каталоге проверялись только *exe*, но *включая* sfx архивы, инсталляторы и т.п. ? То есть чтобы vba лез внутрь только sfx архивов.

----------


## Dr.Xmas

> Можно ли в бета-версии подобрать такую комбинацию ключей, чтобы в каталоге проверялись только *exe*, но *включая* sfx архивы, инсталляторы и т.п. ?


Vba32w.exe /ext=exe /ar <path>

----------


## userr

> Vba32w.exe /ext=exe /ar <path>


Я свое письмо подправил, но как оказалось, уже после Вашего ответа.  :Smiley:  Так, как Вы предлагаете, будут проверяться *.exe + все архивы (*.zip, ...). А хочется не этого.

----------


## Dr.Xmas

> Я свое письмо подправил, но как оказалось, уже после Вашего ответа.  Так, как Вы предлагаете, будут проверяться *.exe + все архивы (*.zip, ...). А хочется не этого.


тогда только батником:
@echo off
dir /s/b/a-d <path>\*.exe > list
Vba32w.exe @list /ar

----------


## userr

> тогда только батником:


Мне кажется, что это не совсем логично. Я думаю, что ключ /EXT=  - *установить список проверяемых расширений* должен иметь приоритет над /ar и /ml.

----------


## Dimka

> Мне кажется, что это не совсем логично. Я думаю, что ключ /EXT=  - *установить список проверяемых расширений* должен иметь приоритет над /ar и /ml.


Дело в том, что ключ /EXT= является глобальным, т.е. действует при отборе как файлов на диске, так и файлов внутри архивов, почтовых баз и т.п. Поэтому если сделать его приоритетным, то задача "Проверить *.EXE во всех архивах" будет невыполнима, а сделать настройки, которые бы устроили всех, да еще втиснуть их в командную строку - это IMHO нереально

----------


## userr

> Дело в том, что ключ /EXT= является глобальным, т.е. действует при отборе как файлов на диске, так и файлов внутри архивов, почтовых баз и т.п. Поэтому если сделать его приоритетным, то задача "Проверить *.EXE во всех архивах" будет невыполнима


Ого! Я и не знал, что vba может выборочно проверять файлы в архивах. А почему решили, что такая опция более востребована, чем "проверить все *.exe, в том числе архивы" ?  :Smiley:

----------


## Dimka

> Ого! Я и не знал, что vba может выборочно проверять файлы в архивах. А почему решили, что такая опция более востребована, чем "проверить все *.exe, в том числе архивы" ?


Вообще, для сканера самая востребованная опция - проверка всех файлов  :Smiley: 
Отбор файлов на диске - задача тривиальная, есть надежда, что те, кто пользуется консолью, имеют некоторое представление о командной строке и .bat-файлах. А вот отфильтровать файлы в архиве, если такая возможность не предоставлена программой, никак не получится.

----------


## nowhere

М.б. не новость, сегодня залез на virustotal и был приятно удивлён:



> This is a report processed by VirusTotal on 04/19/2005 at 20:09:31 (CET) after scanning the file "msadblock32.sys" file.
> Antivirus Version Update Result 
> AntiVir 6.30.0.7 04.19.2005 no virus found 
> AVG 718 04.19.2005 no virus found 
> BitDefender 7.0 04.19.2005 no virus found 
> ClamAV devel-20050307 04.19.2005 no virus found 
> DrWeb 4.32b 04.19.2005 no virus found 
> eTrust-Iris 7.1.194.0 04.19.2005 no virus found 
> eTrust-Vet 11.7.0.0 04.19.2005 no virus found 
> ...


Так держать!

----------


## Geser

А в чём прикол?

----------


## nowhere

Пока одни не могут запустить, другие вовсю используют

ЗЫ: Повторяю, м.б. не новость, но когда я в последний раз пользовался virustotal, vba там ещё не было.

----------


## Geser

> Пока одни не могут запустить, другие вовсю используют
> 
> ЗЫ: Повторяю, м.б. не новость, но когда я в последний раз пользовался virustotal, vba там ещё не было.


А, уже с месяц как  :Smiley:

----------


## nowhere

Ну вот, я опять опоздал... ©
Что-то в последнее время вирусы меня стороной обходят, совсем от жизни отстал  :Smiley:

----------


## serge

> А, уже с месяц как


Точные даты можно найти тут в новостях: http://www.anti-virus.by/en/  :Smiley: 
Virustotal действительно добавил поддержку нашего движка буквально только на днях.

----------


## Geser

> Точные даты можно найти тут в новостях: http://www.anti-virus.by/en/ 
> Virustotal действительно добавил поддержку нашего движка буквально только на днях.


А, блин... я торможу. Подумал про Jotti  :Smiley: 
Кстати, много от них нового капает?

----------


## Dr.Xmas

> А, блин... я торможу. Подумал про Jotti 
> Кстати, много от них нового капает?


в сутки от 200 до 300 записей в базу, в зависимости от дня недели и пр.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> в сутки от 200 до 300 записей в базу, в зависимости от дня недели и пр.


Круто  :Smiley:

----------


## Iceman

> в сутки от 200 до 300 записей в базу, в зависимости от дня недели и пр.


Кстати, всё забываю спросить  :Smiley: , как соотносятся записи у Вас с другими антивирями? Т.е., как я уже замечал, у ДрВеба эвристик них.а не работает, а по 100-200 добавляют. У Вас получается несколько меньше. Но на общее качество, как я успел заметить, в общем не влияет.

----------


## Dr.Xmas

> Кстати, всё забываю спросить , как соотносятся записи у Вас с другими антивирями? Т.е., как я уже замечал, у ДрВеба эвристик них.а не работает, а по 100-200 добавляют. У Вас получается несколько меньше. Но на общее качество, как я успел заметить, в общем не влияет.


у каждого антивиря свои технологии вставки и детектирования, поэтому трудно соотнести. у нас есть технология, когда добиваемся стабильной эвристической записи и объявляем её вирусной, и все остальные самплы будут детектится как вирус

----------


## KOsh

А где бы посмотреть списочек вирусов которые уже есть у вас в базе?  А то у меня есть такая  маленькая коллекция новых троянов, в количестве 32 штуки ;D, не хотелось бы дублировать и посылать уже имеющиеся. 

Буду пробовать ваш антивирус сегодня, потом скажу свое мнение.   :Wink:  Вы  как к конструктивной критике относитесь?

----------


## Iceman

Для консольки команда:
/VL[+|-]       - вывод списка известных программе вирусов;
Правда, необходимом отметить, что у каждого разработчика вирусы могут называться по-своему  :Smiley: 
Ради интереса, сообщите результат  :Smiley: 
Как показала практика - люди, создавшие данный продукт, относятся к критике нормально. И если предложенная "фича" удобна для пользователя и ничему не противоречит - легко добавят. Так что пробуйте и предллагайте  :Smiley:

----------


## KOsh

Как насчет добавления в антивирус автаматической отсылки создателям подозрительных фалов? Например антивирус не может прочитать файл или считает его подозрительным, автоматически всплывает окошко с предложением отослать создателям сайта файл для анализа с последующим уведомлением о результатах?

----------


## Iceman

Это реализовано в бета-версии консольки. Все файлы подозреваются в причастности  к гадам - копируются в архив с паролем и, фактически, готовы к отправке.
ключики: /collect_suspects/r=susp.rpt
я ещё добавляю ключ: /L=[имя_файла] - сохранение списка инфицированных файлов в файл (VBA32.LST);
Как это реализовано в обычной GUI-версии честно говоря не знаю, не смотрел.

----------

От что за хрень   :Angry:  Записался у их в Бета-тестира, а они мне уже третий день ключа не высылают, может обьясните
 тут кто-нибудь? Или им уже Бета-тестиры не нужны?

----------


## Dr.Xmas

> От что за хрень   Записался у их в Бета-тестира, а они мне уже третий день ключа не высылают, может обьясните
>  тут кто-нибудь? Или им уже Бета-тестиры не нужны?


всем пожелавшим стать бета-тестерами аккуратно высылается информационное письмо. если не дошло, значит где-то проблемы с почтой. ключ можно скачать отсюда http://www.anti-virus.by/beta/update/vba32.key

----------

:Smiley:  cпасибо, что помог, а тоя уже думал, что не выйдет потестировать ВирусБлокАду. Так говоришь проблема спочтой, наверно надо будет ещё раз выслать. Или не стоит, потому что я уже записался , а они мне не выслали.

----------


## Dr.Xmas

> cпасибо, что помог, а тоя уже думал, что не выйдет потестировать ВирусБлокАду. Так говоришь проблема спочтой, наверно надо будет ещё раз выслать. Или не стоит, потому что я уже записался , а они мне не выслали.


не ОНИ, а МЫ, смотри подпись в моём сообщении  :Wink:

----------


## KOsh

Ох, сам антивирусник не плохой. Что лично мне не нравится, то что нельзя запустить автоматическое сканирование с убийством всех подозритьельных файлов. Приходится нянькой сидеть

----------


## serge

> Ох, сам антивирусник не плохой. Что лично мне не нравится, то что нельзя запустить автоматическое сканирование с убийством всех подозритьельных файлов. Приходится нянькой сидеть


В GUI-версии сканера есть возможность настройки "удалять и сохранять копию" для подозрительных файлов.

Если используется консольный сканер, то там такой возможности нет, зато есть ключ командной строки (/collect_suspects), который позволяет собрать подозрительные файлы в архив susp.zip. Данный архив можно отослать нам на анализ ([email protected]) и после следующего обновления вирусных баз, для тех файлов, которые на самом деле содержат вредоносные программы, будут добавлены записи для точного детектирования, а ложные тревоги эвристика (бывает и такое) будут исправлены и сканер перестанет на них ругаться.

Вообще, автоматическое убийство подозрительных файлов - потенциально опасная операция, поскольку нет точной гарантии, что там на самом деле вредоносная программа (иначе вместо подозрения сканер бы выдал сообщение &#039;инфицирован&#039 :Wink: .

----------

Dr.Xmas,  а на какое мыло мне высылать своё мнение о продукте вашем? На  [email protected] ? Как я уже сказал, я записал ся к вам в Бета-тестиры, но до меня ваше письмо 
не дошло, так я не знаю на какое мыло щас слать своё мнение   :Undecided:

----------


## Alexey P.

Если есть предложения, можно и туда. А вообще:
[email protected] - для багов, предложений.
[email protected] - новые вирусы или подозрительные файлы.

----------

Предложения можно и сюда ;D

----------


## serge

Кстати, на днях вышел достаточно большой апдейт для бета-версии, странно, что никто не заметил  :Wink: 
Список изменений:



> *** 02.05.2005 ***
> 
> + реализован быстрый режим работы монитора (проверка только
>   вновь созданных и модифицированных файлов)
> 
> + добавлены всплывающие подсказки (pop-up help) в диалоги Комплекса
> 
> + начата переделка файла помощи, текущая версия находится в файле VbaLDRU.chm
> 
> ...


По пожеланиям тех, кто пользовался DrWeb, добавлен новый режим работы антивирусного монитора (аналог того, что в DrWeb называется &#039;smart mode&#039 :Wink: . Есть много вопросов по поводу того, обеспечивает ли он адекватный уровень защиты. Однако для тех пользователей, которые не используют антивирусный монитор вообще и вручную проверяют все новые файлы сканером, этот режим является ничем иным, как автоматизацией данного процесса  :Smiley: 

Также добавлен дополнительный уровень эвристики (избыточный, или другими словами &#039;параноидальный&#039;  :Smiley:  ). Поскольку полностью избавиться от ложных срабатываний эвристики вряд ли получится, было принято решение перенести все нестабильные записи эвристики на этот новый уровень (с выдачей соответствующего предупреждения пользователю при попытке включить данный режим). Таким образом на всех уровнях эвристики кроме избыточного, упор делается на достижение оптимального баланса соотношения количества обнаруженных неизвестных вредоносных программ к количеству возможных ложных срабатываний эвристика. Избыточный режим предназначен для обеспечения максимальной вероятности обнаружения неизвестных вредоносных программ, даже ценой увеличения риска ложных срабатываний. Собственно, технология эвристики уже практически полностью отработана, алгоритмы отлажены, и скорее всего примерно в таком виде новая эвристика пойдет в релиз всем пользователям.

Как обычно, просьба всем бета-тестерам, если обнаружатся какие-либо проблемы при использовании данной новой беты или будут пожелания по усовершенствованию программы, пишите на на [email protected] или прямо сюда, постараемся разобраться.

----------


## Iceman

заметить - заметили  :Smiley:  осознать - не осознали ;D не успели.
начнём прогоны сначала  :Smiley: 
Гы, "По пожеланиям тех, кто пользовался DrWeb" - процесс пошёл?

----------


## Dr.Xmas

> заметить - заметили  осознать - не осознали ;D не успели.
> начнём прогоны сначала 
> Гы, "По пожеланиям тех, кто пользовался DrWeb" - процесс пошёл?


за последний месяц пересмотрели свои планы на будущее. что было приоритетным -- стало незначительным, и наоборот.  :Wink:

----------


## Geser

Кстати, если у Вас уже всётавно есть эмулятор процессора. Можно анализировать файлы на предмет создания ключей в реестре, записи файлов на диск и т.д. и выдавать предупреждения если программа пытается писать в системные директории или создавать "опасные" ключи реестра?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## serge

> Кстати, если у Вас уже всётавно есть эмулятор процессора. Можно анализировать файлы на предмет создания ключей в реестре, записи файлов на диск и т.д. и выдавать предупреждения если программа пытается писать в системные директории или создавать "опасные" ключи реестра?


Это называется "динамический анализ", т.е. по результату выполненных на эмуляторе действий принимается решение похож/не похож на вредоносную программу. Он у нас уже достаточно давно используется в эвристике. Однако он имеет и свои недостатки, полностью проэмулировать анализируемую программу достаточно большого размера очень тяжело и заняло бы достаточно много времени (антивирус стал бы страшным тормозом). Эмулятор не является универсальным средством от всех бед и его использование приходится комбинировать с другими методами для получения оптимальных результатов. Чем и пытаемся заниматься  :Smiley:

----------


## Geser

> Это называется "динамический анализ", т.е. по результату выполненных на эмуляторе действий принимается решение похож/не похож на вредоносную программу. Он у нас уже достаточно давно используется в эвристике. Однако он имеет и свои недостатки, полностью проэмулировать анализируемую программу достаточно большого размера очень тяжело и заняло бы достаточно много времени (антивирус стал бы страшным тормозом). Эмулятор не является универсальным средством от всех бед и его использование приходится комбинировать с другими методами для получения оптимальных результатов. Чем и пытаемся заниматься


А если сделать опцию глубокого анализа для отдельных файлов? Типа, скачал человек что-то подозрутельное, и хочется ему проверить не троян ли это. Тут время анализа не имеет значения (ну если оно не больше 2-3 минут).

----------


## Sanja

Это уже будет не Code Analayzer и не Code Emulatorв понимании этого слова а OS emulation.. aka Sandbox emulation aka Norman sandbox, BitDefender Hive

 на создание такой штуки нужно не мение 2 лет разработки :Sad:

----------

Что-то не то с адресом?

====================================
ВНИМАНИЕ: сообщение на адрес &#039;[email protected]&#039; не доставлено
SMTP module(domain @195.209.41.194:anti-virus.by) reports:
 host mx.anti-virus.by says:
 550 Requested action not taken: mailbox unavailable or not local
====================================

----------


## serge

> Что-то не то с адресом?
> 
> ====================================
> ВНИМАНИЕ: сообщение на адрес &#039;[email protected]&#039; не доставлено
> SMTP module(domain @195.209.41.194:anti-virus.by) reports:
>  host mx.anti-virus.by says:
>  550 Requested action not taken: mailbox unavailable or not local
> ====================================


Прошу прощения, правильный адрес [email protected]

----------


## serge

> Это уже будет не Code Analayzer и не Code Emulatorв понимании этого слова а OS emulation..


В той мере, насколько это необходимо для антивирусного движка, OS emulation, я думаю, есть у всех. И у нас в том числе  :Smiley: 




> aka Sandbox emulation aka Norman sandbox, BitDefender Hive
> 
>  на создание такой штуки нужно не мение 2 лет разработки


Так мы тоже уже не первый год работаем, и свои достаточно интересные наработки тоже есть  :Smiley:  Вот что мне нравится у западных компаний (в хорошем смысле), так это то, что они умеют придумывать красивые названия технологиям. Не то что у нас - просто эвристика, или просто кэш результатов проверки.  : :Smiley:

----------


## Geser

> Так мы тоже уже не первый год работаем, и свои достаточно интересные наработки тоже есть


наработки это хорошо, но когда будет кнопочка что бы этими наработками пользоваться?   :Stick Out Tongue:

----------


## serge

> наработки это хорошо, но когда будет кнопочка что бы этими наработками пользоваться?


Технологии, используемые в антивирусном движке, обычно не так легко заметить. Снаружи видно только время, затраченное на проверку, требования по использованию ресурсов и количество найденных вирусов/троянов  :Smiley: 

Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.

----------


## Geser

> Технологии, используемые в антивирусном движке, обычно не так легко заметить. Снаружи видно только время, затраченное на проверку, требования по использованию ресурсов и количество найденных вирусов/троянов 
> 
> Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.


Да нет, я не об этом. Я о том, что хотелось бы иметь нечто вроде Norman sandbox, с тщательным анализом файла.

----------


## mihail

Неужели никто из тестеров кроме меня не пользуется бесплатной Ad-aware  :Wink:  :-[? На максимальном и избыточном подозревает вирус в ad-aware.exe ver.1.05, разработчикам отправлял...

----------


## Dr.Xmas

> Неужели никто из тестеров кроме меня не пользуется бесплатной Ad-aware  :-[? На максимальном и избыточном подозревает вирус в ad-aware.exe ver.1.05, разработчикам отправлял...


всё получили, спасибо, просто сейчас идёт перестроение всей базы, изменения будут завтра-послезавтра

----------


## Minos

> всё получили, спасибо, просто сейчас идёт перестроение всей базы, изменения будут завтра-послезавтра


Раз перестраиваете базу, может вынести risk-ware в отдельный определяемый класс и задавать реакцию на них отдельно, а то достает все нужные утилиты  в пути исключений прописывать.

----------


## Dr.Xmas

> Раз перестраиваете базу, может вынести risk-ware в отдельный определяемый класс и задавать реакцию на них отдельно, а то достает все нужные утилиты  в пути исключений прописывать.


сейчас базу перестраиваем по эвристике, это перестроение рисквари  не затронет, а вот когда через примерно через месяц перевыпустим ВСЕ базы, оттуда выбросим все полезные "рисквари"-утилиты. лучше сейчас нам давать названия таким утилит, или присылать, если есть такая возможность

----------


## Alexey P.

> сейчас базу перестраиваем по эвристике, это перестроение рисквари  не затронет, а вот когда через примерно через месяц перевыпустим ВСЕ базы, оттуда выбросим все полезные "рисквари"-утилиты. лучше сейчас нам давать названия таким утилит, или присылать, если есть такая возможность


 Правильнее, видимо, сделать, как планируется у дрвеба в 4.33 - отдельную опциональную базу по riskware, отдельную настраиваемую реакцию на riskrware, adware. И извещения разные, чтоб даже чайнику было ясно.

 Из полезных, срабатывание на которые нужно вынести в отдельную базу либо убрать:
- Remote Administrator 2.1 (и последующие)
- 3proxy
- srvany (из Resource Kit NT 4 и выше)
- kill.exe (из Resource Kit NT 4 и выше)

 Кстати говоря, опубликуйте, плиз - где в России можно купить  вашу программу. Народ интересуется понемногу.

----------


## Dr.Xmas

> Правильнее, видимо, сделать, как планируется у дрвеба в 4.33 - отдельную опциональную базу по riskware, отдельную настраиваемую реакцию на riskrware, adware. И извещения разные, чтоб даже чайнику было ясно.
> 
>  Из полезных, срабатывание на которые нужно вынести в отдельную базу либо убрать:
> - Remote Administrator 2.1 (и последующие)
> - 3proxy
> - srvany (из Resource Kit NT 4 и выше)
> - kill.exe (из Resource Kit NT 4 и выше)
> 
>  Кстати говоря, опубликуйте, плиз - где в России можно купить  вашу программу. Народ интересуется понемногу.


http://www.virusblokada.ru/

----------


## Alexey P.

За ссылку спасибо. Есть небольшие непонятки, думаю, это всем будет интересно знать:
- почтовым/банковским переводом (из сберкассы) домашнему пользователю оплатить можно ? Данные для заполнения квитанции где можно увидеть ?
- для почтовых серверов - 10 лицензий - что включает ? 10 адресов, 10 ящиков ?
- где файловые сервера под линукс (samba) ?
- где решение для интернет - шлюза (squid). Вроде было же.

 И еще, куда относятся домашние сети из, скажем, 20 компьютеров - чтобы для них можно было купить лицензию на почтовый сервер (~50 почтовых ящиков, linux, exim), файлопомойку (linux, samba 3.0.11). Что для них есть, учитывая, что с деньгами у них не очень жирно. В смысле, скидываются на такие вещи. Ну, или воруют, т.к. проверять особо некому  :Smiley: .

----------

Вот что наблюдал сегодня на Jotti

File:  DragonBot v11.zip  
Status:  POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file&#039;s scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)  
MD5  860488f9b4550e1750a4534bcdb5660d  
Packers detected:  - 
Scanner results  
AntiVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
VBA32  Found Unknown.Win32Virus (probable variant) 

Интересно, оправдана ли реакция эвристика.
Файл выслал на [email protected]

----------


## Iceman

В данном случае это скорее плюс, чем минус.
На фоне ложных срабатываний было много корректно распознанных экземпляров  :Wink:

----------


## Dr.Xmas

> Вот что наблюдал сегодня на Jotti
> 
> File:  DragonBot v11.zip  
> Status:  POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file&#039;s scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)  
> MD5  860488f9b4550e1750a4534bcdb5660d  
> Packers detected:  - 
> Scanner results  
> AntiVir  Found nothing 
> Avast  Found nothing 
> ...


отвечу здесь, раз вопрос был задан. для простоты разделим эвристику на две части: реализованная на базе групп (семейств) вирусов и встроенная в код. первая выдаёт сообщения типа "похож на Worm.Bagle.2", а вторая несколько стандартных, в том числе "Unknown.Win32Virus". это значит, что в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"

----------


## Dr.Xmas

> За ссылку спасибо. Есть небольшие непонятки, думаю, это всем будет интересно знать:
> - почтовым/банковским переводом (из сберкассы) домашнему пользователю оплатить можно ? Данные для заполнения квитанции где можно увидеть ?
> - для почтовых серверов - 10 лицензий - что включает ? 10 адресов, 10 ящиков ?
> - где файловые сервера под линукс (samba) ?
> - где решение для интернет - шлюза (squid). Вроде было же.
> 
>  И еще, куда относятся домашние сети из, скажем, 20 компьютеров - чтобы для них можно было купить лицензию на почтовый сервер (~50 почтовых ящиков, linux, exim), файлопомойку (linux, samba 3.0.11). Что для них есть, учитывая, что с деньгами у них не очень жирно. В смысле, скидываются на такие вещи. Ну, или воруют, т.к. проверять особо некому .


приятно, что на программу обращают внимание  :Wink: 
по отношению к России политика такая: практически все маркетинговые ходы отданы на откуп российскому дилеру, он сам определяет, как себя вести на рынке, какие пакеты формировать и т.п. 

поэтому все такие вопросы лучше задавать на [email protected], если возникнут непонятки, мы их обсудим вместе с дилером.

я думаю, стоимость любых "нестандартных" конфигураций сетей можно обсудить с нашим благожелательным дилером.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## maXmo

> По пожеланиям тех, кто пользовался DrWeb, добавлен новый режим работы антивирусного монитора (аналог того, что в DrWeb называется &#039;smart mode&#039.


*с облегчением* наконец-то! Честно говоря, уже и не надеялся.




> Также добавлен дополнительный уровень эвристики (избыточный, или другими словами &#039;параноидальный&#039;  ).


всё равно молчит как партизан.




> Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.


имелась в виду возможность _быстро_ "оприходовать файл по полной программе". Сейчас в контекстном меню есть только "проверить vba32", можно *это самое* действие переделать на проверку с параноидальными настройками, т.к. обычную защиту, по идее, должен обеспечивать монитор. А если один файл проверяют специально, то это наверняка не просто так. Но, разумеется, можно и просто сделать вторую команду, если дорожите той, что есть сейчас.

----------


## Alexey P.

> В данном случае это скорее плюс, чем минус.
> На фоне ложных срабатываний было много корректно распознанных экземпляров


 Угу, подтверждаю. Уже не один раз наблюдал примерно такую картинку касаемо VBA:
This is a report processed by VirusTotal on 05/05/2005 at 23:50:04 (CET)
 after scanning the file "soft.exe" file.

Antivirus       Version         Update          Result
AntiVir         6.30.0.12       05.05.2005      no virus found
AVG             718             05.04.2005      no virus found
BitDefender     7.0             05.05.2005      no virus found
ClamAV          devel-20050501  05.05.2005      no virus found
DrWeb           4.32b           05.05.2005      no virus found
eTrust-Iris     7.1.194.0       05.05.2005      no virus found  
eTrust-Vet      11.9.1.0        05.05.2005      no virus found  
Fortinet        2.51            05.05.2005      no virus found
Ikarus          2.32            05.04.2005      suspicious program sequence found
Kaspersky       4.0.2.24        05.05.2005      no virus found  
McAfee          4485            05.05.2005      no virus found
NOD32v2         1.1089          05.05.2005      no virus found
Norman          5.70.10         05.03.2005      no virus found
Panda           8.02.00         05.05.2005      no virus found
Sybari          7.5.1314        05.05.2005      no virus found
Symantec        8.0             05.05.2005      no virus found
VBA32           3.10.3          05.05.2005      suspected of Trojan.PWS.Agu.1

 причем это точно были не ложные срабатывания - просто новая версия заразы по старым явкам  :Smiley: .

----------


## Alexey P.

Хотелось бы еще касаемо newvirus :
1. Вот такой тикет:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
От:       Virus Monitoring Service Doctor Web Ltd. <[email protected]>
Кому:     мой е-мейл
Написано: 8 мая 2005 г., 17:58:01
Тема:     [drweb.com #57366] Создан: Trojan-Dropper.Win32.Mudrop.o (VBA)
Файлы:    <none>
--====----====----====----====----====----====----====----====----====----===--
Уважаемый Alexey P,

Это сообщение автоматически сформировано в ответ
на Ваш запрос относительно:
***"Trojan-Dropper.Win32.Mudrop.o (VBA)".
Детальная информация о Вашем запросе представлена ниже.

В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #57366].

Пожалуйста, включайте строку:

***[drweb.com #57366].

в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.

Спасибо за сотрудничество.


-------------------Запрос------------------------------------------------
Здравствуйте, vms.

http://www.allyoursearch.com/allyoursearch.cab         #18777

www.allyoursearch.com\allyoursearch.cab:<CAB>\64od  hr0b.exe : infected Trojan-Dropper.Win32.Mudrop.o
www.allyoursearch.com\allyoursearch.cab:<CAB>\isti  nstall.exe : infected Trojan-Downloader.Win32.IstBar.er
www.allyoursearch.com\allyoursearch.cab:<CAB>\Sear  chInstall.exe : infected AdWare.SearchSquire.b

P.S.
DrWeb   Trojan.LowZones http://www.allyoursearch.com/Allyoursearch2.cab

-- 
С уважением,
 Alexey
-------------------------------------------------------------------------

2. Ну, и вот такой ответ.
(Мечтательно)  - и по сроку тоже  :Smiley:  :
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
От:       Vyacheslav Rusakov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
Кому:     мой е-мейл.
Написано: 8 мая 2005 г., 18:21:53
Тема:     [drweb.com #57366] Обработано: Trojan-Dropper.Win32.Mudrop.o (VBA)
Файлы:    <none>
--====----====----====----====----====----====----====----====----====----===--
Уважаемый Alexey P.,

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.MulDrop.2156
Trojan.Isbar.256
not a virus Adware.SearchSquire


Спасибо за сотрудничество.

-- 
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

----------


## Geser

Хм.. ДрВеб наконец начали работать с нормальной скоростью?  :Smiley: 
А вообще, высылать письмо с результатами очень полезно. Видно что компания работает.

----------


## Alexey P.

> Хм.. ДрВеб наконец начали работать с нормальной скоростью?


 Я думаю, они сделали правильную вещь - посадили одного дежурного аналитика на оперативную разборку писем.
 То, что не требует больших затрат времени, он разбирает сам, а остальное откладывает основной "группе захвата". Результат - см. выше. И никаких завалов.
 Впечатляет, и на мой взгляд - очень грамотное решение.
Возможно, заблуждаюсь - идея М. Бачинского. Думаю так, потому что так сделано именно после общения с ним в эхоконференции  fido7.ADINF.SUPPORT.
 Думаю, VBA тоже стоит так сделать. Просто, эффективно.




> А вообще, высылать письмо с результатами очень полезно. Видно что компания работает.


 Угу, а еще это дает юзерам документ. Соответственно требует и большей ответственности за четкую работу. Но все это однозначно идет в плюс компании.

----------


## Палыч

> а вторая несколько стандартных, в том числе "Unknown.Win32Virus". это значит, что в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"


Ну так и прикрутите к стандартным сообщениям кнопку "Подробнее", а за кнопкой линк на текст:" в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"".
Чего уж проще?

----------


## Dr.Xmas

[quote author=Палыч link=board=18;threadid=144;start=300#msg11871 date=1115582606]
Ну так и прикрутите к стандартным сообщениям кнопку "Подробнее", а за кнопкой линк на текст:" в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"".
Чего уж проще?
[/quote]
консольная версия (которую используют в технологическом процессе большинство корпоративных клиентов) выводит сообщение на консоль и в гладкий лог. куда прилепить кнопку "Подробнее"?  :Wink: 

друзья, спасибо вам за советы, но помните, что кроме персональных пользователей бывают ещё другие варианты использования программы.

----------


## anton_dr

Отправил Вам такое письмо 07.05.05

"День добрый!
Получил письмо с ключем, там написано - прописать путь для обновления. Так вот кнопочка "обзор" у меня почему-то не активна, следовательно, я не могу обновить Ваш антивирус.

С уважением,
Антон Дроздов
ООО Сталкер, г.Пермь.
"

Ответа нет до сих пор  ???

----------


## Dimka

> Отправил Вам такое письмо 07.05.05
> 
> "День добрый!
> Получил письмо с ключем, там написано - прописать путь для обновления. Так вот кнопочка "обзор" у меня почему-то не активна, следовательно, я не могу обновить Ваш антивирус.
> 
> С уважением,
> Антон Дроздов
> ООО Сталкер, г.Пермь.
> "
> ...


В ключевом файле прописан путь, с которого программа должна обновляться (http://www.anti-virus.by/beta/update), изменить его нельзя. Кнопка "Обновить" и все остальные настройки должны работать, поэтому нажимайте ее - и обновляйтесь.

----------


## anton_dr

> В ключевом файле прописан путь, с которого программа должна обновляться (http://www.anti-virus.by/beta/update), изменить его нельзя. Кнопка "Обновить" и все остальные настройки должны работать, поэтому нажимайте ее - и обновляйтесь.


А вы думаете, не нажимал?

В письме написано 
После установки Комплекса на Ваш ПК в настройках Диспетчера (закладка «Дополнительно», раздел «Обновление») в поле «Путь» впишите путь для обновления до Beta-версии http://www.vba.com.by/beta/update/ и обновите Комплекс согласно рекомендациям, выдаваемым программой.

А путь-то я прописать и немогу. По умолчанию стоит http://www.anti-virus.by/beta/update. Пишет - по указанному пути список файлов не найден

----------


## Dimka

> А вы думаете, не нажимал?
> 
> В письме написано 
> После установки Комплекса на Ваш ПК в настройках Диспетчера (закладка «Дополнительно», раздел «Обновление») в поле «Путь» впишите путь для обновления до Beta-версии http://www.vba.com.by/beta/update/ и обновите Комплекс согласно рекомендациям, выдаваемым программой.
> 
> А путь-то я прописать и немогу. По умолчанию стоит http://www.anti-virus.by/beta/update. Пишет - по указанному пути список файлов не найден


Путь укзан тот, что нужно. Видимо, какие-то проблемы с подключением.
Дальнейшее выяснение подробностей, думаю, остальным не очень интересно, поэтому предлагаю перебраться в личные сообщения.

----------


## anton_dr

А вот не могу я скачать центр обновлений. Качает что фаром, что ИЕ ~50kb и все. Нельзя ли его на мейл получить?

----------


## jack

> Вот что наблюдал сегодня на Jotti
> 
> File:  DragonBot v11.zip  
> Status:  POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)  
> MD5  860488f9b4550e1750a4534bcdb5660d  
> Packers detected:  - 
> Scanner results  
> AntiVir  Found nothing 
> Avast  Found nothing 
> ...


Оказалось, что Д-р Веб включил этот вирус в свои базы. А сегодня уже была такая картина.

File:  DragonBot v11.zip  
Status:  INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)  
MD5  860488f9b4550e1750a4534bcdb5660d  
Packers detected:  - 
Scanner results  
AntiVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found Trojan.DragonBot  
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
VBA32  Found Trojan.DragonBot  


Ну что ж, эвристик не подкачал.  :Smiley:

----------


## anton_dr

А что означают надписи в отчете типа
G:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\H1BLMW6Y\top[1].js:KAVICHS : невозможно открыть для чтения
Причем их туча.

----------


## nowhere

> А что означают надписи в отчете типа
> G:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\H1BLMW6Y\top[1].js:KAVICHS : невозможно открыть для чтения
> Причем их туча.


Раньше каспер стоял, а он котрольные суммы на ntfs хранит в отдельных потоках. На сайте каспера есть тулза, которая эти потоки удаляет.

----------


## Geser

> На сайте каспера есть тулза, которая эти потоки удаляет.


Однако кто-то писал что последствия использования могут быть плачевными.

----------


## nowhere

> Однако кто-то писал что последствия использования могут быть плачевными.


Не заметил, хотя выполнял эту процедуру уже раза три

----------


## Sanja

>Однако кто-то писал что последствия использования могут быть плачевными.
А именно?  :Smiley:

----------


## Geser

> >Однако кто-то писал что последствия использования могут быть плачевными.
> А именно?


Не помню. Что-то там заглючило у человека после запуска этой утилиты. А вообще хватит офтопить

----------


## anton_dr

> Раньше каспер стоял, а он котрольные суммы на ntfs хранит в отдельных потоках. На сайте каспера есть тулза, которая эти потоки удаляет.


Не стоял, а стоит. 
А линка нету, а то чего то я не нашел?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Танкист

А w97m.zero VBA не ловит? Или я в настройки не въехал :confused:

----------


## Гость

Проверьте файл тут: http://virusscan.jotti.org/ - узнаете

----------


## Танкист

> Проверьте файл тут: http://virusscan.jotti.org/ - узнаете


Это мне? Спасибо, проверять не буду - знаю оно там. Но ВБА молчит как партизан...

----------


## Geser

> Это мне? Спасибо, проверять не буду - знаю оно там. Но ВБА молчит как партизан...


Ну так отправьте его им.

----------


## HEKTO

> Это мне? Спасибо, проверять не буду - знаю оно там. Но ВБА молчит как партизан...


Да, вам, вам  :Smiley: 

Это поможет убить сразу двух зайцев:
  1. вы узнаете, действительно VBA не ловит ваш вирус или проблемы с настройками
  2. аналитики VBA получат ваш экземпляр и он начнет ловиться  :Smiley:

----------


## HATTIFNATTOR

Честно говоря не совсем в тему, хотел спросить - на странице загрузки VBA можно скачать демонстрационные версии - а в чем заключается их демонстрационность? Триальность или ограниченная функциональность или еще в чем-то? На сайте не смог найти этой информации..

----------


## Dimka

> Честно говоря не совсем в тему, хотел спросить - на странице загрузки VBA можно скачать демонстрационные версии - а в чем заключается их демонстрационность? Триальность или ограниченная функциональность или еще в чем-то? На сайте не смог найти этой информации..


Это обычные версии без ключика, точнее с демо-ключом. Демо-ключ позволяет один раз обновить программу, но с ним не выполняются никакие действия над вирусами и нельзя изменять большинство настроек. При подкладывании валидного ключа получаем обычный полноценный комплекс.

----------


## anton_dr

> Раньше каспер стоял, а он котрольные суммы на ntfs хранит в отдельных потоках. На сайте каспера есть тулза, которая эти потоки удаляет.


Задал я им вопрос



> Мне подсказали, что есть утилитка для следующих целей.
> Хочу потестить другой АВ продукт, он при сканировании файлов выдает - G:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\H1BLMW6Y\top[1].js:KAVICHS : невозможно открыть для чтения.Так вот есть утилитка, что бы избавиться от этого?


И вот чего ответили



> Здравствуйте,
> Вам необходимо очистить папки временных фалов интернета.
> Для этого необходимо открыть Internet Explorer
> Сервисы->Свойства Обозревателя-> Удалить файлы\Удалить Cookies
> С уважением,
> Алексей Слущев

----------


## Geser

> Задал я им вопрос
> 
> 
> И вот чего ответили


Файлы которые в данный момент используются системой часто открыть нельзя, и такие ошибки будут практически всегда. И они не из за :KAVICHS :. Просто народ не любит потоки, вот и советовали их удалить.

----------


## anton_dr

ну вот сейчас просканировал не свой винт где не стоял каспер, таких проблем не было. На моем же винте он не может проверить ни один файл, который до этого проверил каспер.

----------


## Geser

> ну вот сейчас просканировал не свой винт где не стоял каспер, таких проблем не было. На моем же винте он не может проверить ни один файл, который до этого проверил каспер.


Если ни один, а не только во временных папках, тогда подождём что скажут разработчики.

----------


## Dimka

> ну вот сейчас просканировал не свой винт где не стоял каспер, таких проблем не было. На моем же винте он не может проверить ни один файл, который до этого проверил каспер.


Сообщение
_...top[1].js:KAVICHS : невозможно открыть для чтения_
говорит о том, что невозможно проверить именно поток KAVICHS, но основной поток данных файла при этом проверяется (естественно, если нет аналогичного сообщения о самом файле). Почему так происходит - отдельный вопрос. Единственное предположение - если Касперский установлен, то, возможно, перед тем, как файл достанется сканеру, его щупает монитор Касперского и при этом использует или обновляет информацию в потоке, в этот момент сканер начинает проверку потока и нарывается на нарушение совместного доступа

----------


## anton_dr

Поддержка каспера ответила.
У них на сайте в факе есть статейка по этому поводу 
"После удаления Антивируса Касперского выдается сообщение :KAVICHS на каждом файле NTFS раздела. Что это за информация?"
http://www.kaspersky.ru/faq?qid=156614945
И утилитка помогла. Теперь при проверке сообщений нету.

----------


## Vitaliy

Судя по всему ВБА становятся известными среди мировой антивирусной публики.Рад,что новый продукт внес ранобразие в установленную иерархию AV.Вот линк ,где матерые критики хвалят ВБА за быструю реакцию:
http://www.wilderssecurity.com/showthread.php?t=81164

а также более подробное обсуждение программы  
http://www.wilderssecurity.com/showt...9&page=1&pp=25

Молодцы!

----------


## Geser

Кстати, ДрВеб пишут что умеют SVKP распаковыватыь  :Smiley: 
http://info.drweb.com/show/2639/ru

----------


## Geser

Кстати, что там с ASProtect SKE v2.11?
http://virusinfo.info/forum/showthread.php?p=48164
Будем распаковывать, или как?  :Smiley:

----------


## Minos

Стоит ли ожидать в ближайших версиях отдельной настройки действий для вредоносного программного обеспечения (Adware/Spyware) и отдельно для RiskWare? А то в базы попадает достаточно много полезных утилит, которые применяются по обе стороны барикад сетевой войны, и как следствее приходится держать довольно длинный список исключений, как хакерам, так и админам.

----------


## Iceman

Господа разработчики уже задумались, как решить данную проблему ? ;-)))) :
_http://www.wilderssecurity.com/showthread.php?t=82342

"When can Americans buy VBA32? 
I've seen in some VBA32 related threads that an english "gold" (home, I presume?) version is to be out soon for the American market. Any more details on this?"

----------


## serge (guest)

> Кстати, ДрВеб пишут что умеют SVKP распаковыватыь :)
> http://info.drweb.com/show/2639/ru


Рады за них :)




> Кстати, что там с ASProtect SKE v2.11?
> http://virusinfo.info/forum/showthread.php?p=48164


404 :(




> Будем распаковывать, или как?


Или как :) В общем, ситуация такая. Фактически сам файл распаковывается, однако из-за того, что ASProtect особым образом обрабатывает таблицу импорта, наложить сигнатуру и определить трояна для части (довольно большой части) упакованных файлов не удается. С другой стороны, упаковка данной версией ASProtect'а совсем не мешает работе эвристика, поскольку там используются другие алгоритмы и нестандартная таблица импорта ему не помеха. Короче, есть над чем работать, полная поддержка ASProtect будет добавлена в одной из следующих версий :)

----------


## Geser

> С другой стороны, упаковка данной версией ASProtect'а совсем не мешает работе эвристика


http://virusinfo.info/showthread.php?p=48164
Тут ничего не нашлось.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## serge (guest)

> http://virusinfo.info/showthread.php?p=48164
> Тут ничего не нашлось.


Спасибо за ссылку. Получается действительно, если дело не только в таблице импорта, такую гадость только эвристикой и можно поймать (поскольку она заточена именно на поиск модификаций), нужно только ее хорошо обучить  :Smiley:  Будем разбираться дальше.

----------


## Minos

Как то тихо вышла новая beta-версия 3.10.5. О том,  какие в ней произведены изменения  файл whatnew скромно умалчивает   :Wink:

----------


## sergey_gum

А можно как-нибудь восстановить потеряный ключ бета-тестера?

----------


## sergey_gum

Будет ли поддержка нескольких пользователей на XP?

----------


## Участковый

> А можно как-нибудь восстановить потеряный ключ бета-тестера?


Можно скачать отсюда:
http://www.anti-virus.by/beta/update/vba32.key

----------


## Dr.Xmas

> Как то тихо вышла новая beta-версия 3.10.5. О том,  какие в ней произведены изменения  файл whatnew скромно умалчивает


при выходе релиза (например, 3.10.4) версия беты наращивается автоматически (т.е. будет 3.10.5). первую неделю бета совпадала с релизом  :Wink:

----------


## Grey

*Dr.Xmas*
Немного про "эстетический" вид и работу инсталятора...
1)Немного раскидывает текст по всему визарду, не критично, но читать не удобно
2)Поставил вот Workstation 3.10.4, потом она мне стянула апдейт до 3.10.5. Запустил на свою голову инстал еще раз и подарочек, он мне удалил установленную VBA. Вот это уже критично. Думаю что в таком случае не лишним будет обратить внимание юзера на то что он собирается сделать.

----------


## PaRazit

> Немного про "эстетический" вид и работу инсталятора...
> 1)Немного раскидывает текст по всему визарду, не критично, но читать не удобно


Не могли бы вы разъяснить, что означает "раскидывает текст по всему визарду"?




> 2)Поставил вот Workstation 3.10.4, потом она мне стянула апдейт до 3.10.5. Запустил на свою голову инстал еще раз и подарочек, он мне удалил установленную VBA. Вот это уже критично. Думаю что в таком случае не лишним будет обратить внимание юзера на то что он собирается сделать.


Инсталлятор как-раз и обращает на это внимание. При повторном запуске появляется окно "Удаление Vba32 Workstation" c запросом на продолжение.

----------


## Grey

> Не могли бы вы разъяснить, что означает "раскидывает текст по всему визарду"


Ну может не совсем так выразился, хотя в каком то диалоге именно такая формулировка больше всего подходит.  Ну а что бы долго не объянять - см. аттач




> Инсталлятор как-раз и обращает на это внимание. При повторном запуске появляется окно "Удаление Vba32 Workstation" c запросом на продолжение.


Оно то конечно так, есть надпись *"Удаление Vba32 Workstation"*, просто когда первый раз запустил, не думал что при нажатии "Далее" оно меня больше ничего не спросит и сразу же все удалит. Запустил же я его по причине второй раз (т.е. когда уже VBA был установлен) потому что при обновлении очередной раз получил ошибку связи, после чего VBA отказался работать, вот я и подумал что таким образом смогу восстановить его работоспособность. Думаю что хотя бы диалог о подтверждении после нажатия кнопки "Далее" не помешает.

Да, насчет евристика, вот что он мне выдал на файлик hiew32.exe (думаю он многим знаком)


```
hiew32.exe.1 : is suspected of Backdoor.Win32.Rbot.on.1 (paranoid heuristics)
```

----------


## serge

> Оно то конечно так, есть надпись *"Удаление Vba32 Workstation"*, просто когда первый раз запустил, не думал что при нажатии "Далее" оно меня больше ничего не спросит и сразу же все удалит.


Вспомнилось юмористическое описание работы в винде, найденное где-то в сети:
_Hа последующие вопросы системы "Вы действительно хотите удалить каталог WIN?", "Вы уверены?", "Вы точно уверены?", "А вы хорошо подумали?" отвечай соответственно: "да!", "ДА!", "ДАААА!", "#$%^&*@!!!". Hа самом деле, эта словесная перепалка не будет продолжаться бесконечно - Винды обладают мощными алгоритмами самосохранения, а потому после твоего двадцать пятого ответа "Сдохни, крыса!" они выдают запрос об удалении с вариантами ответа "[Hет] и [Hи за что!]"._  :Smiley: 

Не знаю, вроде на отсутствие дополнительного подтверждения больше пока никто не жаловался.

За скриншот с невлезающими надписями спасибо, будем разбираться.




> Запустил же я его по причине второй раз (т.е. когда уже VBA был установлен) потому что при обновлении очередной раз получил ошибку связи, после чего VBA отказался работать,


Тут можно подробнее? Как именно отказался работать, какие сообщения выдал?




> Да, насчет евристика, вот что он мне выдал на файлик hiew32.exe (думаю он многим знаком)
> 
> 
> ```
> hiew32.exe.1 : is suspected of Backdoor.Win32.Rbot.on.1 (paranoid heuristics)
> ```


Сама программа hiew, конечно знакома. Другой вопрос, какая это версия hiew (судя по всему, именно такого файла у нас в коллекции нет). Ну и из более фантастических вариантов - это может быть вообще подарок 'друга' хакера  :Smiley:  В общем нужно посмотреть, присылайте файл на [email protected]

----------


## Grey

> Вспомнилось юмористическое описание работы в винде, найденное где-то в сети:
> Hа последующие вопросы системы "Вы действительно хотите удалить каталог WIN?", "Вы уверены?", "Вы точно уверены?", "А вы хорошо подумали?" отвечай соответственно: "да!", "ДА!", "ДАААА!", "#$%^&*@!!!". Hа самом деле, эта словесная перепалка не будет продолжаться бесконечно - Винды обладают мощными алгоритмами самосохранения, а потому после твоего двадцать пятого ответа "Сдохни, крыса!" они выдают запрос об удалении с вариантами ответа "[Hет] и [Hи за что!]".


Где то такого ответа я и ждал  :Smiley:  И  все же думаюч то 1 запрос наподтверждение будет не лишним




> Тут можно подробнее? Как именно отказался работать, какие сообщения выдал?


Получил месагу что мол файл Vba32w.dll поврежден, в другой раз получил такую же месагу но про daily.udb. Когда же поставил заново VBA, то взялся обновлять до конца, т.е. при обрывах жал снова "Обновить". За что Вам отдельное спасибо, так это за то что сделали докачку при обновлениях. Это дейсвительно очень порадовало  :Smiley: 

Насчет hiew.exe, выяснил в чем дело, ругалось на ту версию, которая была отвязана от регистрации и лежала у меня в архиве. Проверил ее на всякий случай другими антивирями (Каспер 5, ДрВеб 4.32, McAfee 4537, базы у всех последние никто больше ничего не сказал) Так что думаю на него то как раз не стоит обращать внимание, ну а ежели он Вам все же интересен - могу выслать.

----------


## Grey

А вот насчет парочки других прог, на которые эвристик также ругнулся, было бы интересно выяснить, их то я Вам и выслал.

----------


## serge

> Получил месагу что мол файл Vba32w.dll поврежден, в другой раз получил такую же месагу но про daily.udb. Когда же поставил заново VBA, то взялся обновлять до конца, т.е. при обрывах жал снова "Обновить". За что Вам отдельное спасибо, так это за то что сделали докачку при обновлениях. Это дейсвительно очень порадовало


Процесс обновление состоит из двух частей. Сначала скачиваются все необходимые файлы во временный каталог и проверяется их корректность с использованием цифровой подписи. Только после этого исполняемые файлы и другие компоненты комплекса заменяются новыми. Таким образом ошибки связи, обрывы, невозможность соединения и некорректно скачанные файлы не должны приводить к неработоспособности комплекса. Поэтому сложно сказать, что случилось в данном случае.

Вы точно не предпринимали попыток "помочь" программе обновиться и не пытались заменять какие-либо из файлов вручную?




> Насчет hiew.exe, выяснил в чем дело, ругалось на ту версию, которая была отвязана от регистрации и лежала у меня в архиве. Проверил ее на всякий случай другими антивирями (Каспер 5, ДрВеб 4.32, McAfee 4537, базы у всех последние никто больше ничего не сказал) Так что думаю на него то как раз не стоит обращать внимание, ну а ежели он Вам все же интересен - могу выслать.


Такие файлы нам в любом случае интересны. Сейчас данный файл сейчас находится в "подвешенном" состоянии с точки зрения нашего антивируса  :Smiley:  Программа не может разобраться, хороший он или плохой. Если Вы пришлете этот файл нам, после выхода следующего обновления вирусных баз, эвристик либо перестанет на него ругаться, либо антивирус начнет определять его как вредоносную программму (если она действительно таковой является).

Стоит заметить, что суфикс '(paranoid heuristics)' означает, что программа ругается на него 'благодаря' установке 'избыточного' уровня эвристики. Снижение чувствительности эвристического анализатора до 'максимального' уровня должно решить эту проблему. Кстати, при попытке установить избыточный уровень эвристики, выдается предупреждение о возможности ложных срабатываний.

Цитата из файла справки (VBALRDU.chm):
_
Избыточен - обнаруживает максимальное количество неизвестных вредоносных программ при большей вероятности ложных срабатываний. Рекомендуется только для опытных пользователей. 
Внимание: Подозрительные файлы отправляйте на [email protected] для детального анализа. Все ложные срабатывания будут устранены при очередном обновлении антивирусных баз.
_

Если на компьютере имеются еще и другие подозрительные файлы, лучше их тоже прислать нам на анализ. Для сбора подозрительных файлов удобно использовать бета-версию консольного сканера, скачать которую можно отсюда: http://www.anti-virus.by/en/beta.html

Там есть русский readme-файл, который описывает, что нужно сделать:
_
Для облегчения сбора подозрительных файлов в архив добавлен бат-файл: heuristics-test.bat

Он запускает консольный сканер на все локальные диски с проверкой всех файлов, архивов и почтовых баз. Все найденные подозрительные файлы сохраняются в zip-архиве 'susp.zip' с паролем 'virus'. Далее с этим архивом уже можно разбираться, что есть настоящий троян, а что - ложное срабатывание эвристики. В любом случае, нам бы хотелось посмотреть на эти собранные файлы. Если батник не утащил в архив ничего секретного и размер архива не очень большой, пожалуйста пришлите его нам на [email protected]
_

Перед этим, естественно, стоит обновить вирусные базы до последней версии с помощью 'update.bat'

----------


## Grey

> Процесс обновление состоит из двух частей. Сначала скачиваются все необходимые файлы во временный каталог и проверяется их корректность с использованием цифровой подписи.


Это я понял, когда посмотрел на VBA32_W.ini, поэтому то меня и удивило что сбой вышел при обрыве связи во время обновления. 




> Вы точно не предпринимали попыток "помочь" программе обновиться и не пытались заменять какие-либо из файлов вручную?


Никакие файлы точно не менял.

Насчет возможных ложных срабатываний эверистика при "исбыточном" уровне читал и в хелпе и сдесь на форуме. 

Вчера вечером наборчик я Вам выслал, ну патченый hiew.exe сейчас заброшу. В высланном наборчике есть один довольно интересный файлик. Интересен он тем что на него VBA выдал


```
OLE Automation Source Code.EXE:<ZIP>\Working.frx_ЎB1Eп"!РHьД$H_QAR;·%|ОШ}
я[email protected]_Ю5yБнЦ_ЮRЙ_лЬоАЕL1Fq2з@Ъ│sэни5ьR9;_,чЖc>zw0h1-
_?ЄA!НўБx~оTD_ў
```

Файлик этот взят из MSDN Samples 2000года.

Есть еще парочка машин, за которыми приходится мне иногда "ухаживать" (во как сказал  :Smiley:  ) Хазяева некоторых из них умудряются каждый день "нечисти" наловить, так что в ближайшее время подкину Вам еще наборчик.

И маленький вопросик (ветку вроде всю перечитал, но вот не помню было ли), собираетесь ли сделать поддержку проверки в 7zip архивах? на ссегодняшний день я не знаю ни одного анивируса который бы умел проверять эти архивы.

----------


## Grey

Обновил сегодня базы, и еще раз прогнал на файле *OLE Automation Source Code.EXE*
уже не ругается кракозябликами  :Smiley:

----------


## anton_dr

При использовании центра обновлений и папки с обновлениями. Если она в сети, вложенность ее при выборе мышкой не более двух пунктов. Т.е. указываем \\server\update  проходит,  \\server\vba\update не проходит.  А если путь прописать вручную, то все ОК.

----------


## Kertis

Каким образом имея Vba32.NT.W от 23.05.2005, установленный на машине не подключенной к инету, обновить ему базы и ядро то текущего состояния? При работе с beta ключём?

----------


## Dimka

> При использовании центра обновлений и папки с обновлениями. Если она в сети, вложенность ее при выборе мышкой не более двух пунктов. Т.е. указываем \\server\update  проходит,  \\server\vba\update не проходит.  А если путь прописать вручную, то все ОК.


Что значит "не проходит"? Ошибка обновления? Вообще, для программы абсолютно без разницы, как был введен путь. Скорее всего способ ввода пути совпал с изменением каких-то других условий.

----------


## Dimka

> Каким образом имея Vba32.NT.W от 23.05.2005, установленный на машине не подключенной к инету, обновить ему базы и ядро то текущего состояния? При работе с beta ключём?


В аттаче лежит немного другой бета-ключ. В связи с возникновением таких проблем в будущем для бета-тестирования будем предлагать именно его. В этом ключе путь обновления не фиксирован, как в старом, поэтому можно обновить программу с каталога в локалке или на CD. В каталоге должна быть именно бета-версия, при попытке обновления до релиза будет "Ошибка обновления". Копия каталога обновления создается программой "Центр обновлений", которую можно взять тут: ftp://www.open.by/vba/vba32-update-center-1.1.2.exe

----------


## anton_dr

> Что значит "не проходит"? Ошибка обновления? Вообще, для программы абсолютно без разницы, как был введен путь. Скорее всего способ ввода пути совпал с изменением каких-то других условий.


Ну, допустим, я мышкой докликиваю до пути \\server\antivirus\vba\update,
жму "ОК" и путь не вводится в строку пути (это все в центре обновлений) - она остается пустой.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kertis

> В аттаче лежит немного другой бета-ключ. В связи с возникновением таких проблем в будущем для бета-тестирования будем предлагать именно его. В этом ключе путь обновления не фиксирован, как в старом, поэтому можно обновить программу с каталога в локалке или на CD. В каталоге должна быть именно бета-версия, при попытке обновления до релиза будет "Ошибка обновления". Копия каталога обновления создается программой "Центр обновлений", которую можно взять тут: ftp://www.open.by/vba/vba32-update-center-1.1.2.exe


В аттаче лежит ключь с истекшим сроком...

----------


## Iceman

Почему с истекшим?:
ExpirationDate=31.10.2005

----------


## Dimka

> В аттаче лежит ключь с истекшим сроком...


Как с истекшим? Вообще-то, до 31.10.2005...

----------


## Kertis

Дико извиняюсь, мой косяк :-) Все работает.

----------


## PaRazit

> Ну, допустим, я мышкой докликиваю до пути \\server\antivirus\vba\update,жму "ОК" и путь не вводится в строку пути (это все в центре обновлений) - она остается пустой.


На какой операционной системе такое происходит? Установлены ли сервис-паки?

----------


## anton_dr

> На какой операционной системе такое происходит? Установлены ли сервис-паки?


ОС WinXP SP2 со всеми обновлениями

----------


## userr

1. Вас, видимо, устраивает такая картинка?  :Smiley:  Некоторые из этих файлов я высылал вам дважды.
2. Нельзя ли, чтобы бета версия выводила инфу об упаковщиках?

----------


## anton_dr

А Центр обновлений умеет ли обновляться автоматически?

----------


## Dimka

> 1. Вас, видимо, устраивает такая картинка?  Некоторые из этих файлов я высылал вам дважды.


Народ в отпусках, файлов валится много, поэтому могли и пропустить. К тому же, это нетипичная картинка  :Smiley: 




> 2. Нельзя ли, чтобы бета версия выводила инфу об упаковщиках?


Программа не имеет персональных алгоритмов распаковки разных упаковщиков, все откручивается на эмуляторе, поэтому идентификации упаковщиков нет и информацию выводить неоткуда.

----------


## Dimka

> А Центр обновлений умеет ли обновляться автоматически?


Имеется в виду самообновление? Это он умеет. И по умолчанию он именно так и должен поступать

----------


## anton_dr

> Имеется в виду самообновление? Это он умеет. И по умолчанию он именно так и должен поступать


А вот - не обновляется. Вручную приходится запускать. И галок явных нету  :Sad:

----------


## Dimka

> А вот - не обновляется. Вручную приходится запускать. И галок явных нету


Еще раз уточняем вопрос  :Smiley:  : самообновление или автоматический запуск обновления по расписанию? Про самообновление я уже ответил, а автоматический запуск обновления включается в настройках на закладке "Расписание".

----------


## anton_dr

> Еще раз уточняем вопрос  : самообновление или автоматический запуск обновления по расписанию? Про самообновление я уже ответил, а автоматический запуск обновления включается в настройках на закладке "Расписание".


Автоматическое обновление антивирусных баз. Расписание стоит во все дни круглосуточно каждый час. Но обновления не происходит.

----------


## Dimka

> Автоматическое обновление антивирусных баз. Расписание стоит во все дни круглосуточно каждый час. Но обновления не происходит.


Обновления совершенно случайно не на сетевой ресурс выкладываются?

----------


## anton_dr

> Обновления совершенно случайно не на сетевой ресурс выкладываются?


Именно. И еще Пишет вот что при запуске вручную

[08:59:49 16.08.2005]: Инициализация
[08:59:49 16.08.2005]: Ошибка 1219L подключения к \\Stalker\distr

Но потом успешно обновляет

----------


## Dimka

> Именно. И еще Пишет вот что при запуске вручную
> 
> [08:59:49 16.08.2005]: Инициализация
> [08:59:49 16.08.2005]: Ошибка 1219L подключения к \\Stalker\distr
> 
> Но потом успешно обновляет


С сетевыми ресурсами есть тонкости. Шедулер работает сервисом под аккаунтом LocalSystem, а его, как известно, по сети никуда не пускают (если, конечно, на удаленном компе не пошаманили). Варианта два:
1. Через панель управления настроить учетную запись, под которой запускается сервис (эта учетная запись должна иметь доступ к сетевому ресурсу, куда выкладываются апдейты)
2. При инсталляции (это реализовано в последней версии) выбрать установку шедулера приложением, а не сервисом. Тогда все хозяйство будет работать под текущим пользователем. Недостаток - шедулер будет работать только когда на компьютере залогинен пользователь.

Ну и самый лучший вариант - посторить все это дело так, чтобы апдейты выкладывались на локальный диск, тогда вообще никаких проблем не будет  :Smiley:

----------


## Iceman

Кстати, о птичках ;0)). Выложили бы Вы у себя на сервере обновлённые дистрибутивы. А то сначала качаешь дистрибутив - потом обновляешь ещё столько же. Мне всё равно - а кто на модеме сидит?

----------


## Dimka

> Кстати, о птичках ;0)). Выложили бы Вы у себя на сервере обновлённые дистрибутивы. А то сначала качаешь дистрибутив - потом обновляешь ещё столько же. Мне всё равно - а кто на модеме сидит?


Выложим, выложим...  :Smiley: 
Сейчас вообще подходим к тому, чтобы инсталляшки пересобирать ежемесячно

----------


## Iceman

И это - хорошо! Радует.

----------


## Geser

А как на счет защиты реестра? Не хочется ставить дополнительную программу.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dimka

> А как на счет защиты реестра? Не хочется ставить дополнительную программу.


В глобальных планах есть, но конкретных сроков пока нет.

----------


## userr

> К тому же, это нетипичная картинка


Была бы типичная, так и разговаривать не о чем было бы  :Smiley: 



> Программа не имеет персональных алгоритмов распаковки разных упаковщиков, все откручивается на эмуляторе, поэтому идентификации упаковщиков нет и информацию выводить неоткуда.


А можно немного рассказать об этом? Как эвристик отрабатывает разные паковщики?

----------


## Dimka

> Была бы типичная, так и разговаривать не о чем было бы 
> А можно немного рассказать об этом? Как эвристик отрабатывает разные паковщики?


Эвристик не обрабатывает паковщики, он обрабатывает то, что остается после их раскрутки  :Smiley:  А раскручивает паковщики эмулятор. Что про него можно рассказать?.. Эмулятор эмулит, а паковщики сами себя раскручивают  :Smiley:  Точно также, как они это делают при запуске на реальном компе, ведь каким бы супер-пупер навороченным-криптованным ни был пакер, все равно в результате выполнения он воссоздает в памяти первоначальный код/данные.  А то, что упаковщики разные, эмулятору по барабану, главное, чтобы он нормально проходил всяческие антиотладочные/антиэмуляционные приемы, если такие в пакере присутствуют.

----------


## Iceman

Класс!! 90000 тысяч зверей!
Урра, товарищи!

----------


## nowhere

Что-то не понимаю я... Скачалось сегодня ежедневное обновление, почти 5 метров! Все 90 тысяч раньше помещялись в 1.3 м.

----------


## Geser

> Что-то не понимаю я... Скачалось сегодня ежедневное обновление, почти 5 метров! Все 90 тысяч раньше помещялись в 1.3 м.


Угу, и я удивился  :Smiley:

----------


## Dr.Xmas

> Что-то не понимаю я... Скачалось сегодня ежедневное обновление, почти 5 метров! Все 90 тысяч раньше помещялись в 1.3 м.


была поломка с дельта-патчингом. вроде быстро нашли и пофиксили, но кто-то конечно пострадал  :Sad:  приносим всем свои извинения.

----------


## userr

Только что попробовал:
-----
Download from 'http://www.anti-virus.by/beta/update/'
Downloading 2 file(s) (4892.59 Kb)
-------
и оборвал.
фиксите дальше  :Smiley:

----------


## Grey

Подтверждаю, сия проблема еще присутствует.

----------


## Geser

Только что обновился, всётавно почти 5 метров апдейт

----------


## nowhere

Класс, после воскресного сюрприза daily разрослась больше чем до 5 метров, а сегодня заметил... 4.82метра. Я думал, она только расти умеет.

----------


## Grey

Ну со вчерашнего дня вроде с обновлением все ок
Есть вот вопросец, а обновления баз (бинарный патч) качается в упакованном виде?
А то после воскресной ситуации решил я попробовать хорошо ли упакуется файлик daily.udb. Так вот что получилось, исходный размер 5.067.411 байт, при упаковке в GZip - 2.231.330 байт, в Zip - 2.201.078 байт.

Что скажут разработчики? Может стоит паковать апдейты, если этого еще нету? Т.о. образом значительно уменшится размер скачиваемого апдейта. Особенно это будет ощутимо когда снова повторится воскресная ситуация...

----------


## Dimka

> Ну со вчерашнего дня вроде с обновлением все ок
> Есть вот вопросец, а обновления баз (бинарный патч) качается в упакованном виде?
> А то после воскресной ситуации решил я попробовать хорошо ли упакуется файлик daily.udb. Так вот что получилось, исходный размер 5.067.411 байт, при упаковке в GZip - 2.231.330 байт, в Zip - 2.201.078 байт.
> 
> Что скажут разработчики? Может стоит паковать апдейты, если этого еще нету? Т.о. образом значительно уменшится размер скачиваемого апдейта. Особенно это будет ощутимо когда снова повторится воскресная ситуация...


Пакуется все, что можно (точнее, нужно). Если удалить daily.udb и обновиться, тот как раз эти 2,2 Мб будут выкачиваться - это пакованная версия апдейта. При штатном обновлении раз в несколько дней выкачается 100..200 Кб - это бинарный патч (тоже, естественно, пакованный). А воскресная ситуация как раз и возникла из-за того, что не сгенерились бинарные патчи и пакованные апдейты  :Smiley:

----------


## Grey

> Пакуется все, что можно (точнее, нужно). Если удалить daily.udb и обновиться, тот как раз эти 2,2 Мб будут выкачиваться - это пакованная версия апдейта. При штатном обновлении раз в несколько дней выкачается 100..200 Кб - это бинарный патч (тоже, естественно, пакованный). А воскресная ситуация как раз и возникла из-за того, что не сгенерились бинарные патчи и пакованные апдейты


Вот и чудненько  :Smiley:

----------


## Grey

Сечай при попытке обновится получаю


```
Error: File list was not found on the specified path
```

----------


## Grey

C http://www.anti-virus.by/update/ обновляется нормально, но там насколько я понял вверсия 3.10.4
а вот версию 3.10.5 бета с http://www.anti-virus.by/beta/update/ так не получается обновить

----------


## Geser

> C http://www.anti-virus.by/update/ обновляется нормально, но там насколько я понял вверсия 3.10.4
> а вот версию 3.10.5 бета с http://www.anti-virus.by/beta/update/ так не получается обновить


Так в бете же нельзя выбирать адрес обновлений  :Huh:

----------


## Iceman

Сейчас поправят коллеги ;-)))

----------


## Grey

> Так в бете же нельзя выбирать адрес обновлений


Адрес выбират нельзя, я юзаю сейчас бету консольного сканера, там для обновления запускается update.bat. А вот в нем то и можно указать адрес сервера обновления.
И вот когда я там ставил  http://www.anti-virus.by/update/ то все ок обновляется, но обновление для 3.10.4 версии.

И к разработчикам.
Еще такое просьба, при обновлении подозреваю что проверяется содержимое файла update.bat, и если там что изменено (а возмонжо просто по контрольным суммам), то заменяется на стандартный.
Есть там возможность указывать прокси сервак, что я и делаю, но...
Один раз обновившись получаю снова ваш стандартный файл update.bat без  указанного мною проксика. Это конечно не критично, т.к. я создал батник  с другим именем.

----------


## Grey

Подозреваю что на сервере отсутствует файл для обновления консольной версии...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PaRazit

> И к разработчикам.
> Еще такое просьба, при обновлении подозреваю что проверяется содержимое файла update.bat, и если там что изменено (а возмонжо просто по контрольным суммам), то заменяется на стандартный.
> Есть там возможность указывать прокси сервак, что я и делаю, но...
> Один раз обновившись получаю снова ваш стандартный файл update.bat без  указанного мною проксика. Это конечно не критично, т.к. я создал батник  с другим именем.


Обновление update.bat сделано для того, чтобы бета-тестер случайно не забыл адрес ресурса обновления  :Wink: . К тому же в файле четко написано:



> :: Не редактируйте этот файл! При необходимости обновления ::
> :: с другого пути создайте новый BAT-файл, т.к. этот файл  ::
> :: при очередном обновлении будет заменен на оригинальную  ::
> :: версию                                                  ::


Вы как раз поступили правильно, сделав свою копию update.bat.

----------


## Grey

> Обновление update.bat сделано для того, чтобы бета-тестер случайно не забыл адрес ресурса обновления . К тому же в файле четко написано:
> 
> Вы как раз поступили правильно, сделав свою копию update.bat.


Читал, по этой причине так и сделал  :Smiley: 
А как насчет самого обновления?
До сих пор не получается...

----------


## Geser

Угу, и у меня не обновляется

----------


## Grey

И так со вчерашнего дня  :Sad:

----------


## Iceman

Официальный ответ:
Дата : 06.09.2005    Время : 11:43
От : Dimka
Нашли проблему, спасибо. Сегодня исправим

----------


## Grey

Отлично. Ждем исправлений.

----------


## maXmo

А что в настройках гуёвого сканера отвечает за детектирование руткитов?

----------


## Iceman

Пока, к сожалению, нет такого. Ждём. Предварительно обещали. Без конкретики.

----------


## maXmo

да ну? Писали, есть. Даже возмущались, что, дескать, гуёвым сканером никто не пользуется.

----------


## Iceman

> да ну? Писали, есть. Даже возмущались, что, дескать, гуёвым сканером никто не пользуется.


Что? Где? Почему я не знаю? ;-0)

----------


## Grey

Ну вот, обновления консольного сканера снова заработало
Спасибо.

----------


## maXmo

> Что? Где? Почему я не знаю? ;-0)


сцыллка
что странно, я тоже не помню. Как увидел - прифигел.

----------


## Iceman

спасибо за напоминание ;-0), понятно. Не работает. Проверено. Разработчикам доложено ;-)). Как-то пару недель назад обеспокоило меня поведение двух компов. Проверил и VBA и DrWeb'om - ничего не видели. На одном месте наглухо висли. Запускаю AVZ - ловлю родимого.
Правда сейчас уже не вспомню, что это было, переписку и логи поднимать на работе надо.

----------


## maXmo

что-то я не понял, как из карантина что-нибудь удалить? Можно ручками с диска?

----------


## Iceman

> что-то я не понял, как из карантина что-нибудь удалить? Можно ручками с диска?


Точно! Ручками, с диска.

----------


## userr

По прежнему не проверяются "родные" Ms cab sfx архивы. Планируется ли разбор инсталляторов inno, nsis ?

----------


## serge (guest)

> По прежнему не проверяются "родные" Ms cab sfx архивы. Планируется ли разбор инсталляторов inno, nsis ?


планируется

----------


## Geser

Кстати, я так понимаю что определение идёт по одной сигнатуре. Может стоит использовать 2 сигнатуры или даже 3? Так и надёжность определения возрастает и ложных срабатываний будет меньше

----------


## Grey

И снова проблемы с обновлением беты 3.10.5.
Правда на сей раз никаких ошибок при обновлении нет, просто говорит что обновление не требуется. На сегодняшний день в 3.10.5 база на 98909 записей.
Хотя только что обновил 3.10.4 - там все ок обновилось, база 106544 записи - с чем и поздравляю, перевалили за сто тысяч!
Но вот с обновлениями для 3.10.5 - посмотрите плз.

----------


## Iceman

Я вчера задавал этот вопрос - ожидается большое обновление (вот-вот ;-))). Введены новшества и улучшения. Ждём'с ;-)))
Не забываем, что 3.10.5 - рабочая бета, которая постоянно дорабатывается.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Grey

То что 3.10.5 это бета, я в курсе. Просто стало интересно в чем дело, вот и спросил.
Кстати, что на днях обрадовало, скачал я Corel PaintShopPro (файлик Corel_PaintShopPro1000_EN_PREMIUMCD_Retail.exe), проверил McAfee (с включенной проверкой архивов), так вот он не сказал мне что это архив. А VBA32 (3.10.5) замечательно распаковал и проверил. 
Молодцы!!! Так держать  :Smiley: )

----------


## Dimka

> И снова проблемы с обновлением беты 3.10.5.
> Правда на сей раз никаких ошибок при обновлении нет, просто говорит что обновление не требуется. На сегодняшний день в 3.10.5 база на 98909 записей.
> Хотя только что обновил 3.10.4 - там все ок обновилось, база 106544 записи - с чем и поздравляю, перевалили за сто тысяч!
> Но вот с обновлениями для 3.10.5 - посмотрите плз.


Программе виднее, не требуется - значит не требуется  :Smiley: 
В бете апдейт задержался, т.к. вместе с ним готовился к выходу карантин. Уже выкладывается - встречайте. Процесс установки карантина выглядит следующим образом:
1. Обновляетесь - обновляется GUI и все такое прочее, требуется перезагрузка - перезагружаетесь
2. Обновляетесь - скачивается карантин
3. Перезапускаете Диспетчер

Сейчас реализовано собственно помещение файлов в карантин GUI сканером и монитором, восстановление/извлечение файлов из карантина, отправка файлов на наш сервер.
В ближайшее время ожидается:
- ограничение карантина по объему/времени хранения файлов
- автоматическая отправка подозрительных файлов к нам на сервер
Следующим этапом - ручная и автоматическая перепроверка содержимого карантина.

Ждем багов, замечаний, предложений.

----------


## Iceman

> Программе виднее, не требуется - значит не требуется 
> В бете апдейт задержался, т.к. вместе с ним готовился к выходу карантин. Уже выкладывается - встречайте. Процесс установки карантина выглядит следующим образом:
> 1. Обновляетесь - обновляется GUI и все такое прочее, требуется перезагрузка - перезагружаетесь
> 2. Обновляетесь - скачивается карантин
> 3. Перезапускаете Диспетчер
> 
> Сейчас реализовано собственно помещение файлов в карантин GUI сканером и монитором, восстановление/извлечение файлов из карантина, отправка файлов на наш сервер.
> В ближайшее время ожидается:
> - ограничение карантина по объему/времени хранения файлов
> ...


Пока не выложилось ;-))))

----------


## Grey

Пошло обновленьице  :Smiley:

----------


## Iceman

Я уже попробовал отправку файлов на анализ из карантина - чертовски удобная вещь ;-))).

----------


## Ruslja

У меня вопрос: почему VBA32 3.10.4 не обновляется? Жму обновить, выдаётся лог: получен список файлов, ошибка в процессе обновления. Что делать прикажете? Уже антивирус удалял и заново ставил.

----------


## Iceman

Покажите, что  пишет в:
c:\Program Files\Vba32\Vba32Ldr.log
Какой ключ?
Откуда обновляется?

----------


## Ruslja

Обновляется с http://www.anti-virus.by/update/. Ключ бета-тестера до 30.11.2005
Вот лог

----------


## Iceman

Строка из ключа бета-тестера (путь обновления):
UpdatePath=http://www.anti-virus.by/beta/update/

----------


## Ruslja

Спасибо большое. Теперь обновляется

----------


## Iceman

Всегда пожалуйста ;-))

----------


## Dimka

> Я уже попробовал отправку файлов на анализ из карантина - чертовски удобная вещь ;-))).


Мы очень рады  :Smiley: 
По поводу этой фичи есть 2 замечания:
1. По возможности пишите в поле "Примечание" какую-нибудь инфу, вроде "Я считаю, что это ложняк" или "Это вирус, вы его не детектите". Кстати, есть идея сделать набор стандартных примечаний с возможностью выбора радиобатоном.
2. Пока вся эта система налаживается и откатывается, анализ переданных файлов может несколько затягиваться

----------


## Iceman

Спасибо, я понял. Реализация действительно понравилась. Про комментарий просто забыл ;-)). Исправлюсь.
2Dimka: Только вопрос возник. Если в карантине - ложняк, как обратно будем извлекать?

----------


## Dimka

> Спасибо, я понял. Реализация действительно понравилась. Про комментарий просто забыл ;-)). Исправлюсь.
> 2Dimka: Только вопрос возник. Если в карантине - ложняк, как обратно будем извлекать?


Кликаем правой кнопкой на файлик - "Восстановить...". Единственный нюанс - если ложняк еще не исправлен, то монитор (если он включен) снова его обидит  :Smiley:  Или я что-то упустил? Если имеется ввиду автоматическое восстановление, то будем что-то такое делать при реализации перепроверки содержимого карантина.

----------


## Iceman

> Кликаем правой кнопкой на файлик - "Восстановить...". Единственный нюанс - если ложняк еще не исправлен, то монитор (если он включен) снова его обидит  Или я что-то упустил? Если имеется ввиду автоматическое восстановление, то будем что-то такое делать при реализации перепроверки содержимого карантина.


 Именно так. Всё правильно!.

----------


## Levin95

> У меня вопрос: почему VBA32 3.10.4 не обновляется? Жму обновить, выдаётся лог: получен список файлов, ошибка в процессе обновления. Что делать прикажете? Уже антивирус удалял и заново ставил.


Такая же  проблемка прописано UpdatePath=http://www.anti-virus.by/beta/update/

Что делать?   :Huh: 

И как обновить до версии VBA32 3.10.5   :Huh:

----------


## Iceman

> Такая же  проблемка прописано UpdatePath=http://www.anti-virus.by/beta/update/
> 
> Что делать?  
> 
> И как обновить до версии VBA32 3.10.5


А ключ то бета-тестера?
На всякий случай - в прикреплении. Расширение сделать *.key

----------


## Alexey P.

Сегодня первый раз увидел такую фичу:
VBA32: suspected of Win32.Trojan.Downloader (http://81.176.73.169/bags/openpass.exe)

 Простенько и эффектно. Команде VBA мой искренний респект  :Smiley: .

----------


## Iceman

Хммм, а у меня - молчит.. Настройки - по максимуму.

----------


## Shu_b

на http://virusscan.jotti.org/



> Norman Virus Control: 	
> Found Sandbox: W32/Malware; [ General information ]
> 
> * File might be compressed.
> * Attempts to run Visual Basic Script (VBS).
> * File length: 3173 bytes.
> 
> [ Changes to filesystem ]
> * Creates file C:\WINDOWS\SERVICES.EXE.
> ...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

Да, есть такое. В данном случае у ВБА 3.10.5 - реакции нет.

----------


## Shu_b

hттp://81.176.73.169/bags/BlackBox.class

BlackBox.class обнаружен вирус Exploit.ByteVerify

----------


## Iceman

> hттp://81.176.73.169/bags/BlackBox.class
> 
> BlackBox.class обнаружен вирус Exploit.ByteVerify


А здесь всё нормально ;-)).

----------


## Geser

> Хммм, а у меня - молчит.. Настройки - по максимуму.


Хм, и у меня молчит

----------


## Iceman

Есть повод разобраться ;-)).

----------


## Alexey P.

Нет, у вас, скорее всего, тоже не промолчит.
Такое сообщение выдается при проверке вот этого:
hxxp://81.176.73.169/bags/x.chm
 И при этом сообщает, что же оно собирается грузить (тот самый openpass.exe). Вот это новая фишка, имхо, я впервые вижу.

----------


## Iceman

Не обновляется ВБА:
16:15:40 19-09-2005 Начало обновления с http://www.anti-virus.by/beta/update/
16:15:42 19-09-2005 По указанному пути список файлов не найден

----------


## Dimka

> Не обновляется ВБА:
> 16:15:40 19-09-2005 Начало обновления с http://www.anti-virus.by/beta/update/
> 16:15:42 19-09-2005 По указанному пути список файлов не найден


Было дело, сейчас должно быть все ОК

----------


## Cash

Интересная вещь. При работе монитора кушает больше памяти (в пределах 20-25 мега), чем при работающем сканере.

----------


## Iceman

> Интересная вещь. При работе монитора кушает больше памяти (в пределах 20-25 мега), чем при работающем сканере.


У ВБА в памяти висит 1 процесс: VBA32Ldr.exe, который и занимает память в зависимости от загрузки и выполняемой задачи (ИМХО).

----------


## Cash

> У ВБА в памяти висит 1 процесс: VBA32Ldr.exe, который и занимает память в зависимости от загрузки и выполняемой задачи (ИМХО).


Ну да, именно про него я и говорю. Просто подметил эдакую странную вещь. То есть, как положено, cpu usage поднимается, а количество свободной памяти - иногда даже больше становится.  :Smiley:

----------


## ALEX(XX)

Не взлюбил VBA AVZ  :Smiley: 

10:13:22 21-09-2005 D:\programm\avz3\avz.exe : инфицирован MalwareScope.Trojan-Spy.Banker.128
10:13:22 21-09-2005 D:\programm\avz3\avz.exe : заблокирован
10:13:51 21-09-2005 D:\programm\avz3\avz.exe : удален

----------


## Casper

Файлы, скопированые в Карантин, оседают в папке C:\Program Files\Vba32\Qtn, спрашивается, зачем тогда нужны папки:
C:\Program Files\Vba32\Virus\Suspicious
и
C:\Program Files\Vba32\Virus\Infected

----------


## maXmo

У меня в настройках монитора стоит Infected - ask, suspicious - skip.
И если установлен notify about monitor actions, будет ли монитор сообщать про подозрительные файлы? А если не установлен - будет ли спрашивать про инфицированные?

----------


## Iceman

> Файлы, скопированые в Карантин, оседают в папке C:\Program Files\Vba32\Qtn, спрашивается, зачем тогда нужны папки:
> C:\Program Files\Vba32\Virus\Suspicious
> и
> C:\Program Files\Vba32\Virus\Infected


Уже не нужны - пережиток прошлого. Можно удалить.

----------


## Cash

Опять проблемы с обновлениями http://www.anti-virus.by/beta/update/ ?

----------


## Grey

Возможно исправляют ошибочную реакцию на AVZ. 
Я на всяк случай закинул AVZ virustotal, в результате только VBA  обнаружил "гадость"

----------


## Casper

Удобная вещь это - Карантин!  :Smiley: 
Единственно, неудобство вызывает то, что окно Карантина не способно запоминать те изменения, что я в него внес. В частности его размер, местоположение на Рабочем столе и, что не мало важно, ширину столбцов, которую я ему настроил. ИМХО неудобно просматривать некоторую информацию в столь узких столбцах, по сему я их расширяю вручную, но при последующем запуске Карантина, все мои изменения сбрасываются, что не есть хорошо...

----------


## azza

> Возможно исправляют ошибочную реакцию на AVZ. 
> Я на всяк случай закинул AVZ virustotal, в результате только VBA  обнаружил "гадость"


Аналогичный ложнячок.

----------


## sbrych

> Удобная вещь это - Карантин! 
> Единственно, неудобство вызывает то, что окно Карантина не способно запоминать те изменения, что я в него внес. В частности его размер, местоположение на Рабочем столе и, что не мало важно, ширину столбцов, которую я ему настроил. ИМХО неудобно просматривать некоторую информацию в столь узких столбцах, по сему я их расширяю вручную, но при последующем запуске Карантина, все мои изменения сбрасываются, что не есть хорошо...


Спсб за замечание, в новой версии будет реализовано.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Stas

Объясните, почему avz.exe (многоуважаемой утилиты на этом форуме) определяется VBA32 как MalwareScope.Trojan-Spy.Banker.128. Может это досадное недоразумение, но на http://virusscan.jotti.org/ и http://www.virustotal.com экзешник утилиты определяется как вирус.
Вот лог с сайта:

Service load:  0%        100%  

File:  avz.exe  
Status:  INFECTED/MALWARE  
MD5  6df0861c5e0ccce57e934eaf450a698d  
Packers detected:  UPX 
Scanner results  
AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
UNA  Found nothing 
VBA32  Found MalwareScope.Trojan-Spy.Banker.128

----------


## Палыч

А причём здесь VBA32?
ИМХО этот пост надо перенести в соответствующий раздел http://virusinfo.info/showthread.php?p=55542#post55542

----------


## Casper

> А причём здесь VBA32?
> ИМХО этот пост надо перенести в соответствующий раздел http://virusinfo.info/showthread.php?p=55542#post55542


Как это причем? Это же явное ложное срабатывание! Фиксить его будут именно производители VBA32, а не Олег (AVZ)...

----------


## Casper

...Начало обновления с http://www.vba.com.by/beta/update
...По указаному пути список файлов не найден

Почему так?!

----------


## Iceman

> ...Начало обновления с http://www.vba.com.by/beta/update
> ...По указаному пути список файлов не найден
> 
> Почему так?!


Коллега заметил, что это путь обновления бета-версии?
В этой области может происходить всё, что угодно  :Smiley:

----------


## Casper

> Коллега заметил, что это путь обновления бета-версии?
> В этой области может происходить всё, что угодно


Уже всё в норме!  :Smiley: 
Про бету задумывался, но делать такие предположения не решался!  :Wink:

----------


## Iceman

> Уже всё в норме! 
> Про бету задумывался, но делать такие предположения не решался!


А давно интересуют пользователя Веба бета-области ВБА?  :Smiley:

----------


## maXmo

По поводу карантина я ничего не понимаю!
Всё жестоко глючит! Во-первых, я не могу его вообще увидеть. Во-вторых, файлы складываются опять же в Virus\Infected\ никакого карантина нетути. В-третьих, из сканера перемещённое файло не видно (а раньше было). В-четвёртых, с моими установками (skip infected files, create copies) я бы хотел именно то, что там написано: пропускать инфицированные файлы, то есть не трогать их, *никуда не перемещать*, для этого есть delete, save copy. Бедный мой eicar!



```
User: Official beta tester
License #000000119 Valid till 30.09.2005
Computer: MAXMO
System: Windows XP

Vba32 WinNT Workstation 3.10.5 beta / 21.09.2005 (Vba32.NT.W)
Program settings:
 - check memory
 - scan boot sectors
 - scan all files
 - scan in archives
 - skip archives containing viruses
 - scan mail
 - ask user confirmation to delete mail messages containing viruses
 - detect Spyware, Adware, Riskware
 - heuristic analyzer enabled (Excessive)
 - skip suspicious files, create copies
 - skip infected files, create copies
 - create report file (Vba32Gui.log)
 - append to report file
 - create list of infected files (Vba32.lst)
 - caching enabled
Loaded 108516 virus definitions.


Physical disks:
 - total          : 1
 - accessible     : 1
Boot sectors:
 - total          : 5
 - infected       : 0
 - suspected      : 0
 - cured          : 0

E:\WINDOWS\Microsoft.NET\
E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ Temporary ASP.NET Files\eicar.com : infected EICAR-Test-File
E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ Temporary ASP.NET Files\eicar.com : backup copy created


Directories       : 429    Files in archives:        Files on disks:
Archives:                  - total      : 0          - total      : 1236  
- scanned         : 0      - scanned    : 0          - scanned    : 1236  
- contain viruses : 0      - infected   : 0          - infected   : 1     
- deleted         : 0      - suspicious : 0          - suspicious : 0     
                                                     - cured      : 0     
Mail messages:             Attached files            - deleted    : 0     
- scanned         : 4      - total      : 0          - renamed    : 0     
- contain viruses : 0      - scanned    : 0          - moved      : 0     
- suspicious      : 0      - infected   : 0     
- deleted         : 0      - suspicious : 0     
                           - cured      : 0     
                           - deleted    : 0     

Startup    : 15:39:06 22-09-2005
End        : 15:41:30 22-09-2005
Total time : 00:02:23
```

----------


## Casper

> А давно интересуют пользователя Веба бета-области ВБА?


Почти недельку!  :Wink: 
Алексей Подтопталов (Alexey P.) хвалил очень эвристик VBA, я не удержался и попробывал его. Меня до того он впечатлил, что я решил тоже записаться в бета-тестеры!
Кстати, параллельно я и DrWeb 4.33 beta тестирую...  :Smiley:

----------


## Casper

> [skip] Бедный мой eicar!


У меня вроде бы всё пашет за милую душу!  :Smiley: 
А eicar я Вам пришлю! Сделайте копию, а то мало ли!  :Wink:

----------


## sbrych

> По поводу карантина я ничего не понимаю!
> Всё жестоко глючит! Во-первых, я не могу его вообще увидеть. 
> Во-вторых, файлы складываются опять же в Virus\Infected\ никакого карантина нетути. В-третьих, из сканера перемещённое файло не видно (а раньше было). В-четвёртых, с моими установками (skip infected files, create copies) я бы хотел именно то, что там написано: пропускать инфицированные файлы, то есть не трогать их, *никуда не перемещать*, для этого есть delete, save copy. Бедный мой eicar!


Что именно глючит? И когда? 

1) Увидеть это найти не можеш или он не загружаеться.
Если первое то на иконке Vba32 щелкаешь правой кнопкой в менюшке выбираешь Quarantine (Карантин).
2) Может у тебя там старые файлы лежат, еще до версии Vba32 с карантином.
3) Все что было перемещено находиться в карантине (см. п. 1).
4) В логе написано что файл ни кто не удалял а просто была создана
копия в карантине.

----------


## Iceman

> Почти недельку! 
> Алексей Подтопталов (Alexey P.) хвалил очень эвристик VBA, я не удержался и попробывал его. Меня до того он впечатлил, что я решил тоже записаться в бета-тестеры!
> Кстати, параллельно я и DrWeb 4.33 beta тестирую...


По поводу эвристика так оно и есть   :Smiley:  .
По поводу Веба я знаю, правда там я практически уже не появлюсь....

----------


## maXmo

*sbrych*
Что именно глючит? И когда? - прямо тогда, когда пост писал.
1) В менюшке лоадера пункта про карантин нету, обещанной папочки Qtn нету, eicar был помещён в Virus\Infected\, в папочке вба есть кто-то, похожий на vba32qtn.exe - говорит, его неправильно установили.
2) Неважно, что у меня там лежит, важно, что туда всё продолжает складываться.
4) В логе написано что файл ни кто не удалял - при первом просмотре я его не увидел, но уточню.

----------


## userr

Если верить chmview (http://citkit.dl.sourceforge.net/sou...iew_2.0b3.zip), то vba при проверке chm:
1. проверяет не все файлы - в любом chm
2. иногда некоторые из проверяемых корежит (смотрел с ключом /unpack_archives)

возможно, в пропускаемых файлах не может сидеть вирус в принципе, но все же посмотрите

----------


## Alexey P.

> Если верить chmview (http://citkit.dl.sourceforge.net/sou...iew_2.0b3.zip), то vba при проверке chm:
> 1. проверяет не все файлы - в любом chm
> 2. иногда некоторые из проверяемых корежит (смотрел с ключом /unpack_archives)
> 
> возможно, в пропускаемых файлах не может сидеть вирус в принципе, но все же посмотрите


 Адреса, явки, пароли (с). народное.
Лучше, видимо, е-мылом на саппорт.
 Желательно подробно и с приложением образцов.

ЗЫ: Иначе вряд ли стоило упоминания.

----------


## userr

А по-моему все ясно.  :Smiley: 
Берем *любой* chm. Смотрим лог вба32. Распаковываем chm через вба32 (с ключом /unpack_archives, есть для беты) - совпадает с записями в логе. Распаковываем chm через chmview. И видим большую разницу.  :Smiley:

----------


## serge (guest)

> А по-моему все ясно. 
> Берем *любой* chm. Смотрим лог вба32. Распаковываем chm через вба32 (с ключом /unpack_archives, есть для беты) - совпадает с записями в логе. Распаковываем chm через chmview. И видим большую разницу.


Только что взял этот самый любой chm и сравнил результаты распаковки. Все совпадает кроме того, что VBA32 не проверяет и не распаковывает внутренние служебные области данных (chm не простой архив, в нем данные проиндексированы для быстрого поиска нужной информации). Для более корректного тестирования (chmview тут тоже не авторитет :Smiley: ), лучше взять официальный Microsoft Html Help Compiler и попробовать создать пару chm'ок, распаковать их с помощью VBA32 и сравнить результаты. В случае обнаружения проблем с распаковкой, можно сообщить об этом на саппорт с приложенной проблемной chm'кой.

----------


## maXmo

> 4) В логе написано что файл ни кто не удалял - при первом просмотре я его не увидел, но уточню.


моя неправда, файло на месте. Карантина всё нет.

----------


## Iceman

> моя неправда, файло на месте. Карантина всё нет.


?????
А может версия обычная, не бета?

----------


## Dimka

> моя неправда, файло на месте. Карантина всё нет.


Разобрались. Есть там глючок, в некоторых ситуациях возникают проблемы с установкой, в ближайшем апдейте (предположительно завтра или послезавтра) будет исправлено.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## maXmo

*Iceman*, lol, всю жизнь была бетой, а тут вдруг перепрофилировалась. На то она и бета, чтобы баги из неё выковыривать  :Smiley:

----------


## Iceman

> *Iceman*, lol, всю жизнь была бетой, а тут вдруг перепрофилировалась. На то она и бета, чтобы баги из неё выковыривать


Ладно, ладно ;-))). я пошутил :-))).
Просто у меня такого не случилось - отсюда и разночтение. Ставится, удаляется как по нотам.

----------


## Casper

Сегодня переставил Винду и, соответственно, VBA (vba32-personal-3.10.4-multilanguage.exe). Не нашел там упоминание о раздельной установке Монитора и Сканера. Это я плохо смотрел, или же они ставятся вместе без возможности разделения?!

----------


## Iceman

> Сегодня переставил Винду и, соответственно, VBA (vba32-personal-3.10.4-multilanguage.exe). Не нашел там упоминание о раздельной установке Монитора и Сканера. Это я плохо смотрел, или же они ставятся вместе без возможности разделения?!


Отвыкать Вам, батенька, пора от предрассудков  :Smiley:  
Немного другая концепция и организация. Для ручного применения будет консолька. 
А это, скорее, интегрированный продукт. Гораздо удобнее, ИМХО. Хотя, конечно, кому как.

----------


## Casper

> Отвыкать Вам, батенька, пора от предрассудков  
> Немного другая концепция и организация. Для ручного применения будет консолька. 
> А это, скорее, интегрированный продукт. Гораздо удобнее, ИМХО. Хотя, конечно, кому как.



Дело тут не в предрассудках, а в возможности выбора используемых компонентов. Интегрированный продукт удобен - бесспорно, но лишь в случаях, когда его интегрируемость не навязчива! 
Как быть, если, к примеру,  пользователь хочет использовать исключительно Сканер без Монитора?!  :Smiley: 
Меня смущает Диспетчер в трее (Монитор отключен), зная нетерпимость резидентных Мониторов некоторых АВ продуктов друг к другу, у меня время от времени появляется страх падения в BSOD  (Спайдер от DrWeb активен постоянно)! Что любопытно, при отключенном Мониторе и не установленном компоненте проверки Скриптов, Диспетчер иногда шуршит лупой по значку в трее, т.е. чё то проверяет. Было бы логично предположить, что могут (теоретически) возникнуть проблемы...

----------


## Iceman

> Дело тут не в предрассудках, а в возможности выбора используемых компонентов. Интегрированный продукт удобен - бесспорно, но лишь в случаях, когда его интегрируемость не навязчива! 
> Как быть, если, к примеру,  пользователь хочет использовать исключительно Сканер без Монитора?! 
> Меня смущает Диспетчер в трее (Монитор отключен), зная нетерпимость резидентных Мониторов некоторых АВ продуктов друг к другу, у меня время от времени появляется страх падения в BSOD  (Спайдер от DrWeb активен постоянно)! Что любопытно, при отключенном Мониторе и не установленном компоненте проверки Скриптов, Диспетчер иногда шуршит лупой по значку в трее, т.е. чё то проверяет. Было бы логично предположить, что могут (теоретически) возникнуть проблемы...


Вот я и говорю - отвыкайте от предрассудков. В данном случае применяется другая концепция построения продукта. Она не обязана быть другой. Другое дело, что это может не нравиться. Для бета-версии возможно всё и это не возбраняется. Боевая (зарелизенная) версия весьма устойчива. Что касается нескольких АВ - это, скорее, проблема пользователя, а не АВ. Возможность выбора есть - для защиты постоянной - гуёвая версия (комплект). Для того, что бы просто изредка проверять - консольная версия. Мне такой подход нравиться больше.

----------


## pig

IMHO, GUI-версия сканера тоже нужна. Особенно для начинающих (следует кивок в сторону CureIt от Данилова). У консоли, кроме плюсов, ещё и минусы имеются.

----------


## Iceman

> IMHO, GUI-версия сканера тоже нужна. Особенно для начинающих (следует кивок в сторону CureIt от Данилова). У консоли, кроме плюсов, ещё и минусы имеются.


И давно Данилов стал прислушиваться к просьбам трудящихся?
Естественно, консоль ненаглядна (в смысле не блещет информацией и разноцветными картинками ;-)).
 НО! изначально в комплекте есть батники - запустил и забыл.
И опять же - это бета-версия. В релизе, я думаю, многие вещи могут учесть, ИМХО. Предложения, пожелания - пожалуйста.

----------


## Casper

> Вот я и говорю - отвыкайте от предрассудков. В данном случае применяется другая концепция построения продукта. Она не обязана быть другой. Другое дело, что это может не нравиться. Для бета-версии возможно всё и это не возбраняется. Боевая (зарелизенная) версия весьма устойчива. Что касается нескольких АВ - это, скорее, проблема пользователя, а не АВ. Возможность выбора есть - для защиты постоянной - гуёвая версия (комплект). Для того, что бы просто изредка проверять - консольная версия. Мне такой подход нравиться больше.


Дело в том, что устанавливал я не бета версию, а вполне рабочий релиз - vba32-personal-3.10.4-multilanguage. В том, что релиз устойчив, я не сомневаюсь, я также почти уверен, что и бета вполне стабильна! Дело было не в этом.  :Smiley: 
Соглашусь с Игорем Панасенко (aka pig), гуевый Сканер гораздо удобнее консольного. Им я и претпочитаю пользоваться... И у того и у другого есть как плюсы, так и минусы. Но (!) надо давать право выбора пользователю, что ему использовать!  :Wink:  Убеждения вроде, так не удобно, а вот так удобно, не подходят, согласитесь!
Кроме того, Вы, Iceman, ведете речь о бета версии, а я не ограничиваю использование гуевоего Сканера только бетой. Возможно кто-то захочет использовать Сканер именно "боевой" версии антивируса!  :Wink:

----------


## Iceman

> Дело в том, что устанавливал я не бета версию, а вполне рабочий релиз - vba32-personal-3.10.4-multilanguage. В том, что релиз устойчив, я не сомневаюсь, я также почти уверен, что и бета вполне стабильна! Дело было не в этом. 
> Соглашусь с Игорем Панасенко (aka pig), гуевый Сканер гораздо удобнее консольного. Им я и претпочитаю пользоваться... И у того и у другого есть как плюсы, так и минусы. Но (!) надо давать право выбора пользователю, что ему использовать!  Убеждения вроде, так не удобно, а вот так удобно, не подходят, согласитесь!
> Кроме того, Вы, Iceman, ведете речь о бета версии, а я не ограничиваю использование гуевоего Сканера только бетой. Возможно кто-то захочет использовать Сканер именно "боевой" версии антивируса!


Позволю себе заметить - бета это для интереса дома и на рабочем компе. Остальные 11 рабочих машин  на фирме бегают под обычной стандартной версией. Собственно, пожаловаться не могу на свои "ограниченные"  :Smiley:   права при установке данного АВ-комплекса. Чуть не забыл - а ещё мне очччень нравиться примочка для Бата ;-)).

----------


## Dimka

В ближайшее время выложится очередное обновление бета-версии. Среди прочих изменений - новый формат базы данных карантина. Кому дорогА уже существующая база данных - используйте утилиту для конвертации в новый формат: http://www.anti-virus.by/download_files/qtn-convert.zip

----------


## Гость

Невозможно поменять настройки у Антидиалера, говорит, что:
---------------------------
Внимание!
---------------------------
Эту опцию можно изменять только в зарегистрированной версии программы!
---------------------------
ОК   
---------------------------
Хотя бета ключ действителен до 30 октября.

----------


## Geser

> В ближайшее время выложится очередное обновление бета-версии. Среди прочих изменений - новый формат базы данных карантина. Кому дорогА уже существующая база данных - используйте утилиту для конвертации в новый формат: http://www.anti-virus.by/download_files/qtn-convert.zip


А полный список изменений где можно почитать?

----------


## Dimka

> А полный список изменений где можно почитать?


В whatsnew.win (или whatsnew.dos)

----------


## Geser

> В whatsnew.win (или whatsnew.dos)


Ну, по крайней мере в консольной версии этих файлов нет. В ГУИ не смотрел пока

----------


## Dimka

> Невозможно поменять настройки у Антидиалера, говорит, что:
> ---------------------------
> Внимание!
> ---------------------------
> Эту опцию можно изменять только в зарегистрированной версии программы!
> ---------------------------
> ОК   
> ---------------------------
> Хотя бета ключ действителен до 30 октября.


Да, есть такое дело, про ключик забыли  :Smiley: 
В аттаче - новый ключ

----------


## maXmo

> Дело в том, что устанавливал я не бета версию, а вполне рабочий релиз - vba32-personal-3.10.4-multilanguage.


может, вру, но версия workstation, вроде, должна устанавливаться кусочками... нет?

----------


## Casper

> может, вру, но версия workstation, вроде, должна устанавливаться кусочками... нет?


Почти что да... Почти, потому, что выбора раздельной установки Сканера и Монитора нет!

----------


## Geser

Кстати, в направлении уменьшения размера баз ведутся какие-то работы? А то уж больно разрослись.

----------


## Iceman

> Кстати, в направлении уменьшения размера баз ведутся какие-то работы? А то уж больно разрослись.


с этими базами эвристик отрабатывают. Возможно в будущем пооптимизируют, ИМХО. Я готов с этим мириться, без потери текущих качеств АВ.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kertis

Обновление антивируса от *** 23.09.2005 ***
При сканировании дисков с настройками - подозрительные файлы пропускать и отмеченой настройкой - сохранять копию, не происходит сохранение копии подозрительных файлов, карантин - пуст.

----------


## HA

Если и после обновления будут возникать подобные проблемы то, пожалуйста, на [email protected] дайте кусочек лога и данные об ОС. Разберемся, исправим.

----------


## HA

Просьба обратить внимание на новый компонент - Антидиалер -подробности в Whatsnew.win, (конечно, если еще кто пользует модемы....  :Smiley:  ). О возможных проблемах лучше на [email protected] .

----------


## Iceman

Дааа, с модемами сложнее ;-0))
В карантин проверку содержимого после обновления сделайте.

----------


## HA

"В карантин проверку содержимого после обновления сделайте."
Сделаем. Есть в планах.

----------


## Iceman

Приятно видеть на форуме представителей ВБА в полном составе  :Smiley:  
Или не в полном? ;-))

----------


## Dr.Xmas

> Приятно видеть на форуме представителей ВБА в полном составе  
> Или не в полном? ;-))


у нас ещё есть  :Smiley:

----------


## Iceman

Представили бы своих коллег, Dr.Xmas - кто чем занимается. Если не секрет конечно ;-))). Что бы знать, кому какие вопросы адресно задавать и не отвлекать попусту.

----------


## Dr.Xmas

> Представили бы своих коллег, Dr.Xmas - кто чем занимается. Если не секрет конечно ;-))). Что бы знать, кому какие вопросы адресно задавать и не отвлекать попусту.


кто считает нужным\полезным выступать именно на форуме, того вы здесь и видите. некоторые сотрудники не пишут в форумах вообще. это их право.

----------


## Iceman

> кто считает нужным\полезным выступать именно на форуме, того вы здесь и видите. некоторые сотрудники не пишут в форумах вообще. это их право.


Естественно, кто же спорит ;-)). Просто, если ранее было 2 человека, то в последнее время стало больше. Значит, есть некая причина ;-)).

----------


## Палыч

Чем больше -- тем лучше. ИМХО. :-)))

----------


## Geser

Антидиалер это хорошо. Однако зачем он модифицирует память всех запущенных процессов? У меня такой переполох всех систем безопасности начался... Может его можно как-то по другому реализовать?

----------


## Geser

> Да, есть такое дело, про ключик забыли 
> В аттаче - новый ключ


В данном ключе не фиксирован путь апдейта, и по умолчанию он ведёт не на бета область. В принципе мелочь, но я не сразу понял почему не обновляется.

----------


## Casper

> Антидиалер это хорошо. Однако зачем он модифицирует память всех запущенных процессов? У меня такой переполох всех систем безопасности начался... Может его можно как-то по другому реализовать?


Поддерживаю - у меня Аутпост половину автоматически заблокировал!

----------


## Dimka

> В данном ключе не фиксирован путь апдейта, и по умолчанию он ведёт не на бета область. В принципе мелочь, но я не сразу понял почему не обновляется.


Вообще, предполагалось, что это шаг навстречу пользователям  :Smiley: 
С таким ключом программа обновляется с любого пути если на нем лежит бета версия. Другими словами, пользователь может любыми способами утянть апдейт беты к себе в сетку/на диск и обновиться от себя. Со старым ключом он был привязан к единственному фиксированному УРЛу.

----------


## maXmo

Ещё бы автоматизировать обновление бета-ключа  :Smiley:

----------


## anton_dr

> Вообще, предполагалось, что это шаг навстречу пользователям 
> С таким ключом программа обновляется с любого пути если на нем лежит бета версия. Другими словами, пользователь может любыми способами утянть апдейт беты к себе в сетку/на диск и обновиться от себя. Со старым ключом он был привязан к единственному фиксированному УРЛу.


А каким путем? Есть места, где его можно утянуть вручную?

----------


## HA

> А каким путем? Есть места, где его можно утянуть вручную?


"пользователь может любыми способами утянть апдейт беты к себе в сетку/на диск и обновиться от себя" . К примеру, используя Vba32 Центр Обновлений. Это удобно при тестировании Комплекса на нескольких ПК. При восстановлении программы - удобно иметь Обновления на локальном или съемном носителе, указав для обновления соответствующий путь.

----------


## Dr.Xmas

> Ещё бы автоматизировать обновление бета-ключа


в комплектацию консольной версии Vba32.key включён, т.е. консолька автоматически обновляет ключ

----------


## anton_dr

> "пользователь может любыми способами утянть апдейт беты к себе в сетку/на диск и обновиться от себя" . К примеру, используя Vba32 Центр Обновлений. Это удобно при тестировании Комплекса на нескольких ПК. При восстановлении программы - удобно иметь Обновления на локальном или съемном носителе, указав для обновления соответствующий путь.


Есть у меня Центр обновлений. Вот я и пытаюсь узнать все возможные пути для указания ему, откуда качать. А то пишет - по указанному пути список файлов не найден. И непонятно, толь он через проксю не может пробиться, толь путь неправильный.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## userr

> Только что взял этот самый любой chm и сравнил результаты распаковки. Все совпадает кроме того, что VBA32 не проверяет и не распаковывает внутренние служебные области данных (chm не простой архив, в нем данные проиндексированы для быстрого поиска нужной информации).


ну хорошо, тогда так: и drweb и kav некоторые из "служебных файлов" в  chm проверяют. Их логи на *любом* chm отличаются от vba. я понимаю, что vba антивирус, а не распаковщик chm, и если вы мне как специалисты скажете, что в этих "служебных" файлах не может сидеть вирус, то мне этого вполне достаточно.  :Smiley:

----------


## HA

> Есть у меня Центр обновлений. Вот я и пытаюсь узнать все возможные пути для указания ему, откуда качать. А то пишет - по указанному пути список файлов не найден. И непонятно, толь он через проксю не может пробиться, толь путь неправильный.


Для решения вопросов работы с Центром Обновления лучше обратиться на [email protected] , приложив лог и описав конфигурацию использования ЦО и возникшую проблему. Думаю, что проблема будет решена.

----------


## anton_dr

> Для решения вопросов работы с Центром Обновления лучше обратиться на [email protected] , приложив лог и описав конфигурацию использования ЦО и возникшую проблему. Думаю, что проблема будет решена.


Обращусь обязательно. Только перед этим кто-нибудь, укажите _правильный_ путь для апдейте беты. чтоб быть точно уверенным, что это не из-за пути.

----------


## Мишка

путь для обновления беты http://www.anti-virus.by/beta/update/

Вопрос по центру обновлений. 

[08:25:30 05.10.2005]: Инициализация
[08:25:30 05.10.2005]: Запуск процесса синхронизации
[08:25:30 05.10.2005]: Комплектация: 'VBA32NTW'
[08:25:30 05.10.2005]: Ресурс: 'http://www.anti-virus.by/beta/update/'
[08:25:30 05.10.2005]: Синхронизация с 'C:\Update for VBA32\'...
[08:25:30 05.10.2005]: Попытка: 1 из 3
[08:25:30 05.10.2005]: Получение списка файлов...
[08:25:31 05.10.2005]: Список файлов получен
[08:25:32 05.10.2005]: Версия 'Vba32 WinNT Workstation 3.10.5 beta / 04.10.2005 (Vba32.NT.W)'
[08:25:32 05.10.2005]: Downloading 2 file(s) (104.18 Kb)
[08:25:32 05.10.2005]: Размер: 104.18 Kb (2 файлов)
[08:25:32 05.10.2005]: Получение файла '6a7995c2.bin'...
[08:25:33 05.10.2005]: Файл '6a7995c2.bin' получен
[08:25:33 05.10.2005]: Получение файла 'VBA32NTW.ini'...
[08:25:33 05.10.2005]: Файл 'VBA32NTW.ini' получен
[08:25:33 05.10.2005]: Синхронизация комплектации 'VBA32NTW' успешно завершена
[08:25:33 05.10.2005]: Комплектация: 'VBA32SYN'
[08:25:33 05.10.2005]: Ресурс: 'http://www.anti-virus.by/beta/update/'
[08:25:33 05.10.2005]: Синхронизация с 'C:\Update for VBA32\'...
[08:25:33 05.10.2005]: Попытка: 1 из 3
[08:25:33 05.10.2005]: Получение списка файлов...
[08:25:34 05.10.2005]: Список файлов получен
[08:25:34 05.10.2005]: Версия 'Vba32 Update Center 1.0 / 04.10.2005 (Vba32.UC)'
[08:25:34 05.10.2005]: Downloading 1 file(s) (0.00 Kb)
[08:25:34 05.10.2005]: Размер: 0.00 Kb (1 файлов)
[08:25:34 05.10.2005]: Получение файла 'VBA32SYN.ini'...
[08:25:34 05.10.2005]: Файл 'VBA32SYN.ini' получен
[08:25:34 05.10.2005]: Синхронизация комплектации 'VBA32SYN' успешно завершена
[08:25:34 05.10.2005]: Самообновление...
[08:25:35 05.10.2005]: Самообновление 'VBA32SYN' успешно завершено
[08:25:35 05.10.2005]: Выполнение завершено без ошибок

Центр обновлений обновился, затем обновляю сам антивирус, запуск обновления вручную.

08:25:46 05-10-2005 Начало обновления с C:\Update for VBA32
08:25:46 05-10-2005 Получен список файлов
08:25:53 05-10-2005 Получен файл C:\Program Files\Vba32\daily.udb
08:25:53 05-10-2005 Получен файл C:\Program Files\Vba32\VBA32NTW.ini
08:25:53 05-10-2005 Обновление программы успешно завершено

Все нормально.

Но когда обновляется антивирус, в окне обновления пишет размер обновления 6 мегабайт.

----------


## Мишка

При запущенном сканере, если несколько раз перевести фокус с него на другие окна, скрулбар в логе съезжает с нижнего положения вверх, до упора.

----------


## Мишка

А за что отвечает файл в VBA vba32err.log в котором содержится на данный момент вот что:

D:\dis\programs\IrfanViewer3.92\irfanview_plugins_  392.exe::ERROR( 20000000 )
E:\dis\IrfanViewer3.92\irfanview_plugins_392.exe::  ERROR( 20000000 )
Y:\IrfanViewer3.92\irfanview_plugins_392.exe::ERRO  R( 20000000 )
\\PETER\Distrib\IrfanViewer3.92\irfanview_plugins_  392.exe::ERROR( 20000000 )
Y:\IrfanViewer3.92\irfanview_plugins_392.exe::ERRO  R( 20000000 )

----------


## Мишка

не добавляются в карантин файлы размером ~ 669 776 893 байт :-) Точнее они добавляются, но с размером 0 байт и происходит сей процессс оооочень долго. Ограничения надо для карантина делать...

----------


## _HEKTO_

> А за что отвечает файл в VBA vba32err.log в котором содержится на данный момент вот что:


Мне ответили вот что:

==================================================  ==========================
----------------------------------------------------------------------------
Это ОТВЕТ на письмо от  : XXXXXXXX
которое предназначалось : [email protected] <[email protected]>
и было написано         : 19 апреля 2005 г., в 15:45:52
на тему                 : "При сканировании диска консольной бетой создается vba32err.log"
----------------------------------------------------------------------------
>   Посмотрите, не знаю насколько это интересно.
> На всякий случай высылаю отчет об ошибке (vba32err.log), а сам файл, на
> котором программа спотыкается, (irfanview_plugins_395.exe) сейчас залью
> на ftp.
----------------------------------------------------------------------------
==================================================  ==========================
не надо, на этом файле программа прекращает проверку по тайм-ауту.

----------


## Geser

> не надо, на этом файле программа прекращает проверку по тайм-ауту.


И что это означает? Почему таймаут?

----------


## Dr.Xmas

> И что это означает? Почему таймаут?


в алгоритмах программы установлено несколько условий, по которым надо завершать проверку файла (количество команд процессора и т.п.). сделано это для того, чтобы не зависать на испорченных (битых, недокачанных и т.п.) файлах.

----------


## PaRazit

> Вопрос по центру обновлений. 
> ... 
> Центр обновлений обновился, затем обновляю сам антивирус, запуск обновления вручную.
> 
> 08:25:46 05-10-2005 Начало обновления с C:\Update for VBA32
> 08:25:46 05-10-2005 Получен список файлов
> 08:25:53 05-10-2005 Получен файл C:\Program Files\Vba32\daily.udb
> 08:25:53 05-10-2005 Получен файл C:\Program Files\Vba32\VBA32NTW.ini
> 08:25:53 05-10-2005 Обновление программы успешно завершено
> ...


Все верно. Дело в том, что Центр Обновлений во время синхронизации каталогов обновлений использует специальный алгоритм, по которому ранее синхронизированные файлы повторно не скачиваются, а скачиваются лишь их бинарные патчи, которые содержат только измененные данные. В результате мы имеем для 6-тимегабайтного файла размер изменений в 104 Кб, которые после синхронизации вносятся в локальный файл обновления.

Антивирус же обновляется с локального пути, где находятся полноразмерные файлы обновлений, поэтому и указывает в окне реальный их размер.

Если бы Вы обновляли антивирус сразу с http://www.anti-virus.by/beta/update/, то увидели бы в окне обновления все те же 104 Кб.

----------


## maXmo

> в комплектацию консольной версии Vba32.key включён, т.е. консолька автоматически обновляет ключ


так уж получилось, что у меня гуёвая бета-версия бета-антивируса. Я хотел сказать, что файл ключа нужно просто включить в список файлов для обновления или куда там... если для этого нет особых противопоказаний.

----------


## Dr.Xmas

> так уж получилось, что у меня гуёвая бета-версия бета-антивируса. Я хотел сказать, что файл ключа нужно просто включить в список файлов для обновления или куда там... если для этого нет особых противопоказаний.


пока идеология такая: кто пользует консольную версию (условно говоря "профессионалы") обновляют ключ автоматически. это им бонус за присылания подозрительных файлов. остальную неорганизованную часть (условно говоря "любители") мы заставляем регистрироваться, чтобы был хоть какой-то порядок с выдачей ключей. многие пользователи после 3хмесячного срока никак не проявляет свою активность, кто-то продлевает ключ, а есть и покупатели релизной версии.

если мы гуйне дадим возможность обновлять ключ, получится совершенно халявная полнофункциональная (почти релиз) версия.

----------


## anton_dr

> если мы *гуйне* дадим возможность


Слово то какое  :Smiley: 

А вот у меня не может обновится не сам ВБА, ни центр обновлений.
До переустановки прокси худо-бедно обновлялся, щас - никак. Прокся не пускает с любыми настройками. А жаль. Лог на всякий случай вот.

----------


## HA

> Слово то какое 
> 
> А вот у меня не может обновится не сам ВБА, ни центр обновлений.
> До переустановки прокси худо-бедно обновлялся, щас - никак. Прокся не пускает с любыми настройками. А жаль. Лог на всякий случай вот.


Возможно причина в методе авторизации на Вашем прокси. Обновление Комплекса c использованием NTLM пока не подключено. Центр обновления должен поддерживать этот тип авторизации. Нужно включить соответствующую опцию в настройках. Но как я уже говорил, обсуждение работы ЦО, и решение проблем его использования - лучше перенести на [email protected].

----------


## max

здравствуйте.

в скором времени выйдут следующие версии почтовых фильтров VBA.
изменений много, основные:
1. обновление специальной утилитой (используются дельта-патчи,
экономия траффика, возможность обновления бинарников);
2. централизованное управление ( $(filtername)-ctl в /usr/bin);
3. конфиг, общий для всех составляющих фильтра;
4. ядро теперь в процессе фильтра (вместо отдельного процесса демона ядра)

сегодня в публичный доступ выложены предварительные версии. если до 17 октября не поступит сообщений об ошибках, эти версии уйдут как релиз.

фильтры можно взять тут:
ftp://www.anti-virus.by/beta/

путь для обновления:
http://www.anti-virus.by/beta/update/

----------


## Geser

> здравствуйте.
> 
> в скором времени выйдут следующие версии почтовых фильтров VBA.
> изменений много, основные:
> 1. обновление специальной утилитой (используются дельта-патчи,
> экономия траффика, возможность обновления бинарников);
> 2. централизованное управление ( $(filtername)-ctl в /usr/bin);
> 3. конфиг, общий для всех составляющих фильтра;
> 4. ядро теперь в процессе фильтра (вместо отдельного процесса демона ядра)
> ...


Я думаю такие вещи можно в раздел новостей софта. Так больше людей увидит, и возможно заинтересуется. Только написать для каких операционок это всё

----------


## MedvedD

Вопрос. Сжимаются ли подозрительные файлы из карантина перед отправкой?

----------


## Участковый

> Функция ntdll.dll: LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo
> Функция ntdll.dll: NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo
> Функция ntdll.dll: NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo
> Функция ntdll.dll: ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo
> Функция ntdll.dll: ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo
> Функция rasapi32.dll: RasDialA (21) перехвачена, метод APICodeHijack.JmpTo
> Функция rasapi32.dll: RasDialW (22) перехвачена, метод APICodeHijack.JmpTo


Это перехваты антидиалера?

----------


## Iceman

Да, они самые.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sbrych

> Вопрос. Сжимаются ли подозрительные файлы из карантина перед отправкой?


Да сжимаются.

----------


## max

> Я думаю такие вещи можно в раздел новостей софта. Так больше людей увидит, и возможно заинтересуется. Только написать для каких операционок это всё


после 17 октября будет в новостях

----------


## Iceman

> после 17 октября будет в новостях


Опять что-то глобальное ожидается? $-)))

----------


## Geser

В связи с разростанием темы продолжение в новой теме http://virusinfo.info/showthread.php?t=3623

----------

