# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.00 - тестирование, обсуждение, предложения по доработке

## Зайцев Олег

Вышла новая новая версия AVZ - 4.00. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz4.zip)
Радикальные новшества и пределки:
[++] Поддержка проверки цифровых подписей файлов по каталогу безопасности Microsoft. Работает естественно на  Windows 2000, XP, W2K3 ... Поддерживается всеми подсистемами AVZ, может включаться/выключаться ключами командной строки или скриптом. Управляющий этим ключ WinTrustLevel=[0|1|2] описан в справке 
[++] В AVZ встроена система обновления баз. Обновление идет с двух сайтов (истоник выбирается случайнум образом, но можно задать вручную)
  и является "разумным", т.е. работает на основании сравнения текущих баз с эталонными. Это позволяет
  проводить обновление вручную (обновлением файлов в папке Base) и автоматически через Интернет
[++] Менеджер планировщика заданий (Task Scheduler). Подключен к автокарантину и исследованию системы, показывает
  задания, поставленные через графическую оболочку диспетчера и командой AT.
[++] Антируткит - добавлено детектирование FU Rootkit и его производных - производится в ходе поиска Kernel Mode руткитов, детектор подключен к диспетчеру процессов. Кроме FU руткита
 отлавливается подмена PID процесса без его маскировки
[++] Антируткит - отслеживание маскировки файлов запущенных процессов
[++] Менеджер файла HOSTS. Добавлен к исследованию системы, позволяет удалять из Hosts записи.
[++] Диспетчер процессов - встроенный дампер образа любого загруженного exe или dll файла для последующего изучения. Дампы памяти создаются на диске в папке DMP
[+] Запуск автокарантина из меню "Файл"
[+] В исследовании системы проверяются драйвера, для которых не задано имя исполняемого файла (имя драйвера совпадает с
именем файла *.sys, такое допустимо)
[+] Доработан менеджер расширение IE - корректная поддержка записей типа "скрипт"
[+] К автоматическому анализу и автокарантину добавлены прогресс-индикаторы
[+] Пункт меню для выборочного контроля подлинности файла по каталогу Microsoft
[+] Доработаны проверки, проводимые в ходе расширенной эвристики - не выдаются сообщения на файлы нулевого размера, часть проверок маскировки имени оставлена только для исполняемых файлов
[+] Контроль целостности исполняемого файла avz.exe с выводом в протокол информации в случае его модификации
----------
В одной из версий 4.xx появится локализация - движек переработан для возможности перевода
----------
В новой версии база: 17598 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 357 микропрограмм эвристики, 8 микропрограмм восстановления настроек системы, 45167 подписей безопасных файлов

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

> Вышла новая новая версия AVZ - 4.00. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz4.zip)


http://z-oleg.com/avz4.zip Архив или битый, или у меня бьётся (маловероятно), второй раз уже кривой скачал.

Поздравляю с новой версией !!!

----------


## Зайцев Олег

> http://z-oleg.com/avz4.zip Архив или битый, или у меня бьётся (маловероятно), второй раз уже кривой скачал.


Да, какой-то сбой у меня на FTP-загрузчике - я перезалил архив, теперь все должно загружаться

----------


## MOCT

> http://z-oleg.com/avz4.zip Архив или битый, или у меня бьётся (маловероятно), второй раз уже кривой скачал.


у меня тоже битый  :Embarassed:

----------


## Зайцев Олег

> у меня тоже битый


Да, там кусочек архива был выбит - какой-то сбой в ходе заливки ... сейчас все исправлено, я проверил - качается нормальный архив.

----------


## RiC

А почему архив называется AVZ4 а внутри архива каталог - AVZ3  :Wink:  Или структура каталогов ещё не прошла Upgrade ?

1-й "баг" - "снять дамп" без подсказки, не нажмёшь - не догадаешься.
2 - Доработка - "в менеджере HOST" сделать кнопку - заменить на "стандартный" с удалением из Hosts всего лишнего кроме *127.0.0.1  localhost*
3 - Ещё доработка - отложенное удаление по списку (не срочно, но Imho полезно чтобы не просить удалять по одному файлу, а сразу Copy/Pastle пачкой к примеру с форума).

Апдейтер проверил, работает, порадовал тем, что пошёл через прокси от эксплорера.

----------


## Зайцев Олег

> А почему архив называется AVZ4 а внутри архива каталог - AVZ3  Или структура каталогов ещё не прошла Upgrade ?
> 
> 1-й "баг" - "снять дамп" без подсказки, не нажмёшь - не догадаешься.


Структура каталогов действительно еще не поменялась - я перезалил архив, в котором папка именуется уже AVZ4. Кстати, для тестирования автоапдейтера уже есть оперативное обновление (там правда всего 4 зверя добавлено)
1. Hint у кнопки снятия дампа есть, но его отображение я забыл включить  :Smiley: 
2. Да, это логично - сделаю. Кстати, при удалении строк из менеджера Hosts AVZ автоматом навешивает ему атрибуты Read Only

----------


## Cool Cat

Олег подскажи что нибуть на счёт...

У меня на этапе
1.2 Поиск перехватчиков API, работающих в KernelMode

проявляются
a347bus.sys
windrvNT.sys

Нужно ли с ними боротся или они не вреданосные?

Отступление:
С windrvNT.sys у меня связана очень печяльная картина,,, при работе с
программой Spybot Search & Destroy (S&D) v1.4, при сканировании системы на вредоносные обьекты 
выскакивает экран смерти с нечетабельныим текстом единственое что можно разобрать это надпись "windrvNT" (после чего только жёсткая перезагруска ПК)
Что это?
Где то слыхал что "windrvNT" sys связан с работой венчестеров - но что то тут не то!

----------


## Geser

1. Окошко автообновлялки выглядит страшно.
2. Нажал обновить, чего-то там происошло но не понятно обновилось или нет. Нужно лог писать куда-то и результат обновления выводить.

----------


## MOCT

> С windrvNT.sys у меня связана очень печяльная картина,,, при работе с
> программой Spybot Search & Destroy (S&D) v1.4, при сканировании системы на вредоносные обьекты 
> выскакивает экран смерти с нечетабельныим текстом единственое что можно разобрать это надпись "windrvNT" (после чего только жёсткая перезагруска ПК)
> Что это?
> Где то слыхал что "windrvNT" sys связан с работой венчестеров - но что то тут не то!


программа "Folder Lock" установлена? деинсталлируйте ее, или просто удалите файл windrvNT.sys, и никаких синих экранов не будет.

----------


## RiC

Ну а a347bus.sys - это кусок от alcohol 120% с бортовым Rootkit`om, вроде не сильно глюкавая, если последняя версия.

----------


## Cool Cat

БОЛЬШОЕ СПАСИБО ТЕБЕ MOCT!!!!  :Smiley: 

Ну на конец то хоть кто то подсказал?

Канечно же стаяла!!! такая "зараза" я право снёс её похоже "коряво" (она меня хотела зоблакировать из-за неправельно введённого пароля)  

А вот windrvNT сидит по адресу:

"Диспетчер устройств" > сверху кнопка "вид" > скрытые устройства > windrvNT

Теперь я с ним поквитаюсь!

PS. Извеняюсь что пост немного не в тему... но подозреваю что из за этой "твари" у меня иногда слетает AVZ при сканировании, это было на
версиях с v 3.81 и новая версия тоже сейчяс слетела......
(При сканировании C:/Windows/temp/.... - программа мгновенно закрывается)

----------


## Cool Cat

RiC ты Экстосенс!  :Smiley: 

Такая тоже имеет место у меня быть 

PS. Спасибо.

----------


## ALEX(XX)

При архивировании файлов в карантине, было бы полезно какую-нибудь индикацию процесса архивирования сделать.

----------


## HATTIFNATTOR

Окно выбора файла в отложенном удалении не видит скрытые папки.

----------


## anton_dr

Что-то апдейт не работает. Хотя, это скорее всего прокся.

----------


## Grey

Скачал 4-ку, поставил на полное сканирование всех локальных дисков.
Вот что получил


```
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\Type\1.files\ (Access violation at address 00402161 in module 'avz.exe'. Read of address 4643534D --> 11)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\Type\ (Access violation at address 00401E86 in module 'avz.exe'. Write of address 4C4D5448 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8
```

И еще вопрос, точнее наверное предложение, может не стоит по симлинкам проверять, т.к. получиться что одно и то же файло по нескольку раз будет проверено?

----------


## DimaT

> 1. Окошко автообновлялки выглядит страшно.
> 2. Нажал обновить, чего-то там происошло но не понятно обновилось или нет. Нужно лог писать куда-то и результат обновления выводить.


А у меня сработало вполне нормально...

----------


## DimaT

> В одной из версий 4.xx появится локализация - движек переработан для возможности перевода


 Xoрошо что не забываешь...  :Smiley: 
А где в меню ты собираешься её ''втыкнуть''?

----------


## HATTIFNATTOR

Для kav.exe и kavsvc.exe "ошибка получения информации о файле" и не выводится список используемых библиотек.

При запуске скриптом AVZ создал пустой архив virusinfo_files.zip

----------


## MOCT

> AVZ не ловит такой известный троян как xinch,который давно лежит в итернете в паблик.


судя по стилю, автор сообщения знает толк в ботоводстве

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Xen

Кто не знает толк, тот отдыхает

----------


## RiC

Ещё пара предложений -
1-е - больше Reminder - *.cpl 
2-е - защита от сворачивания в трей и закрытия.

----------


## UFANych

Тут тема пошла - .NET - звери. Как у AVZ  дела с эти чудом?

----------


## pig

Тема как таковая давно пошла. Первый концепт появился года три, что ли, назад...

----------


## Зайцев Олег

> Тут тема пошла - .NET - звери. Как у AVZ  дела с эти чудом?


Масштабного распространения такой заразы пока нет, хотя теоретически о такой возможности известно давно. А в остальном разницы для поиска по сигнатуре нет ...

----------


## Зайцев Олег

... тема закрыта в связи с выходом версии 4.15 и создания новой темы для нее ...

----------

