# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  Вышла новая версия антивирусной утилиты AVZ - 4.43

## Зайцев Олег

Вышла новая версия антивирусной утилиты AVZ - 4.43. Архив с утилитой содержит базу вирусов от 23.02.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов. 

*Основные модификации:*
[++] Новый функционал - диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД) 
[++] Добавлена эвристика для обнаружения вредоносных заданий планировщика 
[++] Редактор скриптов - подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш 
[++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых) 
[++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A) 
[+] Вывод MD5 по процессам в HTML отчет 
[+] Вывод полного названия версии ОС в протокол и XML 
[+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер) 
[+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер) 
[+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ) 
[+/-] В XML версия файлов выведена в формате x.x.x.x 
[+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd) 
[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов 
[-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз) 
[-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML 
[-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML 
[-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)

Страница загрузки на обычном месте: http://www.z-oleg.com/secur/avz/download.php

----------

*Никита Соловьев*,  *mike 1*,  *Nikkollo*,  *olejah*,  Val_Ery

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## tar



----------


## Зайцев Олег

Нужно обновить базы или архив, и все будет как положено

----------


## tar

да, теперь нормально

----------


## mike 1

После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально. 

Вложение 463393

----------


## Зайцев Олег

> После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально. 
> 
> Вложение 463393


Примерно понятно, в чем дело. Такого быть не должно, можно с указанного ПК получить лог, образовавшийся после завершения скрипта 2 ?

----------


## mike 1

Вот. После окончания выполнения 3 стандартного скрипта компьютер спустя минуту-две упал в BSOD.

----------


## Зайцев Олег

> Вот. После окончания выполнения 3 стандартного скрипта компьютер спустя минуту-две упал в BSOD.


Спасибо. Обновил базы AVZ, в теории падение в BSOD должно пропасть.

----------

*mike 1*

----------


## Samhit

Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?

----------


## Vvvyg

Браузер самостоятельно открывает влкадки через опрделенное время с рекламой  (заявка № 155426) - зловред с MD5="B0766BC92DC9444730CC38912981E5A4" почему-то попал в базу проверенных.

Подмена стартовой страницы  (заявка № 155766) - обьект в автозапуске:

```
C:\Program Files (x86)\Norton Security\MUI\18.7.0.13\19\01\rcSvcHst.dll
```

опять раздуплило.

----------


## Зайцев Олег

> Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?


Подписки - это же сотовый телефон и услуги оператора, тут AVZ не поможет.

*Добавлено через 3 минуты*




> 1. Браузер самостоятельно открывает влкадки через опрделенное время с рекламой  (заявка № 155426) - зловред с MD5="B0766BC92DC9444730CC38912981E5A4" почему-то попал в базу проверенных.
> 
> 
> 2. Подмена стартовой страницы  (заявка № 155766) - обьект в автозапуске:
> 
> ```
> C:\Program Files (x86)\Norton Security\MUI\18.7.0.13\19\01\rcSvcHst.dll
> ```
> 
> опять раздуплило.


1. Это легитимная в общем-то программа, ставится с легальным софтом - а по сути адварь. Я выкинул ее из БД чистых AVZ, она будет появляться в логах...
2. Это нормально - сложный путь с кучей точек, вот парсер и перестарался. Я совершенствую его, чтобы свести к минимуму подобные эффекты

----------

Samhit

----------


## regist

По багам из этого поста.

1) Баг с тем, что не экранируется <local> не исправлен.


```
  <Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="ProxyOverride" VAL="<local>" />
```

вот лог AVZ сделанный версией 4.43

2) Баг, что не всегда экранируются кавычки,  остался  http://rghost.ru/52684645


```
<ITEM File=".dll" CheckResult="-1" Enabled="-1" Type="?" X1="HKEY_LOCAL_MACHINE" X2="System\CurrentControlSet\Control\Lsa" X3="Security Packages" X4="""" Is64="0"
```

По прежнему не понятно, откуда в этом логе берётся File=".dll" экспорт этого ключа есть здесь (в пункте №5).
Если это поможет вот ещё лог сделанный версий 4.42.152 private build

Скрытый текст


```
PROCESS>
<ITEM PID="1916" File="d:\Мои документы\autologger.exe" CheckResult="-1" Descr="Автоматический сборщик логов" LegalCopyright="Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013" Hidden="0" CmdLine=""D:\Мои документы\AutoLogger.exe" " Size="19618869" Attr="rsAh" CreateDate="21.02.2014 20:07:47" ChangeDate="21.02.2014 01:00:04" MD5="DE9B6D47DB2C6C8214CF6A5E442319AD" Vendor="Company © regist & Drongo" Product="AutoLogger" OFN="AutoLogger.exe" Ver="1.0.0.1" NationalName="Y" IsPE="1"/>
<ITEM PID="4428" File="d:\Мои документы\autologger\avz\avz.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""D:\Мои документы\AutoLogger\AVZ\avz.exe" Script=AVZ\Script2.txt HiddenMode=0" Size="9316352" Attr="rsAh" CreateDate="21.02.2014 20:09:11" ChangeDate="17.02.2014 22:31:05" MD5="F3D80ED906772BB0574720DB65C8A43C" NationalName="Y" IsPE="1"/>
<ITEM PID="4028" File="c:\program files\common files\doctor web\scanning engine\dwarkdaemon.exe" CheckResult="-1" Descr="Dr.Web Anti-Rootkit Server" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine=""C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe" -arkpipe:\pipe\ARServer" Size="774448" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:12" MD5="0E677D60EF39CEA96983BB1573EC5628" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwarkdaemon.exe" Ver="9.0.8.2070" IsPE="1"/>
<ITEM PID="4208" File="c:\program files\common files\doctor web\scanning engine\dwengine.exe" CheckResult="-1" Descr="Dr.Web Scanning Engine" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine="watcher 3468 524 dwe-spider-d8c-1cf2f18c1e9ddee-watch" Size="2665008" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:11" MD5="3093F7A2509892170B99C261ACA331D2" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwengine.exe" Ver="9.0.8.2070" IsPE="1"/>
<ITEM PID="3468" File="c:\program files\common files\doctor web\scanning engine\dwengine.exe" CheckResult="-1" Descr="Dr.Web Scanning Engine" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine=""C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe"" Size="2665008" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:11" MD5="3093F7A2509892170B99C261ACA331D2" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwengine.exe" Ver="9.0.8.2070" IsPE="1"/>
<ITEM PID="2016" File="C:\Program Files\DrWeb\dwservice.exe" CheckResult="-1" Descr="Dr.Web Control Service" LegalCopyright="Copyright © Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="8880896" Attr="rsAh" CreateDate="19.02.2014 22:23:32" ChangeDate="19.02.2014 22:33:18" MD5="C71868013CDD08EA503E560C4FCC6D4E" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="dwservice.exe" Ver="9.0.6.1271" IsPE="1" IsPE64="1"/>
<ITEM PID="320" File="d:\mazila\firefox.exe" CheckResult="-1" Descr="Firefox" LegalCopyright="©Firefox and Mozilla Developers; available under the MPL 2 license." Hidden="0" CmdLine=""D:\Mazila\firefox.exe" " Size="275568" Attr="rsAh" CreateDate="19.02.2014 13:16:00" ChangeDate="13.02.2014 04:36:25" MD5="D9184C5FF3FD526761D518A95ABA74A3" Vendor="Mozilla Corporation" Product="Firefox" OFN="firefox.exe" Ver="27.0.1.5156" IsPE="1"/>
<ITEM PID="2684" File="C:\Program Files\DrWeb\frwl_notify.exe" CheckResult="-1" Descr="Dr.Web Firewall for Windows notify module" LegalCopyright="© Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="2493720" Attr="rsAh" CreateDate="19.02.2014 22:23:41" ChangeDate="19.02.2014 22:23:41" MD5="1129189D42C2BA0B91C6D1F642573C1B" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="frwl_notify.exe" Ver="9.0.4.1210" IsPE="1" IsPE64="1"/>
<ITEM PID="1668" File="C:\Program Files\DrWeb\frwl_svc.exe" CheckResult="-1" Descr="Dr.Web Firewall for Windows service" LegalCopyright="© Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="1796096" Attr="rsAh" CreateDate="19.02.2014 22:23:41" ChangeDate="19.02.2014 22:23:41" MD5="83C840C35478B8D6CFFEC2C73B8AA38C" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="frwl_svc.exe" Ver="9.0.4.1210" IsPE="1" IsPE64="1"/>
<ITEM PID="3928" File="c:\program files (x86)\internet explorer\iexplore.exe" CheckResult="0" Descr="Internet Explorer" LegalCopyright="© Корпорация Майкрософт. Все права защищены." Hidden="0" CmdLine=""C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1812 CREDAT:275457 /prefetch:2" Size="806096" Attr="rsAh" CreateDate="15.01.2014 19:10:03" ChangeDate="15.01.2014 19:10:03" MD5="C8A8321292A459B0A17FB39A782A5C74" Vendor="Microsoft Corporation" Product="Internet Explorer" OFN="IEXPLORE.EXE.MUI" Ver="11.0.9600.16428" IsPE="1"/>
</PROCESS>
```

Скрыть

Как видим почти у всех процессов в секции <PROCESS> у параметра CmdLine="" сдвоенные (не экранированные) кавычки.

3) Ключ автозапуска в реестре на запуск браузера с командной строки по прежнему не видит баг воспроизвёлся на 7 х64, 8.1 x64 при этом браузер успешно стартует. Лог выложенный мной в предыдущем пункте с windows 8.1 как раз сделан с системы, где добавлен этот ключ. Как видим этот ключ который создаётся малварой ("babakan" сейчас очень популярен) AVZ не (всегда ?) видит на этих системах.

4) AVZ также не видит ярлык в автозагрузке указывающий на такое расположение


```
C:\WINDOWS\system32\regsvr32.exe /n /i /s trojan.dll
```

Пример темы где подобный способ был использован вирусописателями здесь.

5) Баг с завершения процесса на х64 системах у меня больше не воспроизводится.

Но остался вопрос, что за команда *KillProcess* ? Она по прежнему у меня выдаёт ошибку _Ошибка [2, KILLPROCESS]_.
6) SpoolLog лог тоже теперь отрабатывает нормально.

7) regedit из менеджера автозагрузки теперь как и нужно открывается на просматриваемом ключе.

8 ) Хотелось бы чтобы в справку было добавлено описание с примерами команды Ping.
В частности я относительно часто использую вот такой слегка модифицированные скрипт от *Vvvyg*



```
var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('ping vk.com >> diag.log');
STR.Add('tracert vk.com >> diag.log');
STR.Add('nslookup vk.com 8.8.8.8>> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
DeleteFile(GetAVZDirectory + 'diag.log');
DeleteFile(GetAVZDirectory + 'diag.cmd');
end.
```

С учётом появления команды Ping его можно было бы обновить, да и в других места она думаю нашла бы применение. 

9) AVZ проверяет и выводит в лог информацию запущено AVZ с учетки пользователя с правами администратора или нет. С помощью команд AVZ скриптом это можно посмотреть/проверить? Если такой команды нет, то хотелось бы чтобы она была добавлена.

----------


## Зайцев Олег

> По багам из этого поста. 1...9


1,2. Ерунда какая-то, буду проверять, в чем дело. Двойные кавычки видны где - в XML при просмотре блокнотом, или  IE ? Если в IE, то это не баг, а фича - он при отображении XML экранированные символы показывает как надо, но выделяет цветом - кавычки в тексте строки вокруг нее отличаются. При копировании из IE цветовое выделение теряется и визуально выглядит как неэкранированный символ.
По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
3. Нужны примеры таких ключей, чтобы мне не искать (чем больше, тем лучше), настрою парсер на их обнаружение
4. Изменил. Базы обновлены, можно пробовать
5. Это хорошо, помечу его как пофикшенный
6. KillProcess - мертвая команда. Когда-то была, для внутренних целей, сейчас в документации она не описана, и оставлена для совместимости. При попытке вызова пишет в лог ошибку
7. Это глюк, причем регедита (там же ключ нельзя открыть документированным путем. Можно только "проиграть" окну процесса последовательность нажатий клавиш и надеяться, что откроется что надо. Любое несоответствие по задержкам, наличие утилит типа Punto - и все, сбой
8. Сейчас она пока недокументированная, не факт, что в ней ничего не поменяется. К следующей версии она будет описана в справке в своем итоговом виде. 
9. Такой команды скрипта нет, добавить ее можно, толку будет мало. Дело в том, что скажем Win7 + UAC сообщает любому приложению, что права админа есть (а на деле или виртуализация записи в реестр, или блокировка)

----------


## regist

2) Двойные кавычки в приложенном логе отобразились нормально, значит действительно из-за браузера ошибся. Но ещё понаблюдаю за логами.

3) Ключ выкладывал в том посте, на всякий случай дублирую



```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babakan"="cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://virusinfo.info && exit)"
```

Повторюсь, что на х86 нормально видит. Баг только на х64. Насчёт других ключей не проверял, аналогичную запись (просто с другим сайтом) очень часто вижу в разделе помогите поэтому её и протестировал.

7) Я имел ввиду что в версии 4.43 он у меня нормально открылся - исправлено, а на  4.42.152 private build баг у меня воспроизводился. 

9) Хотелось, чтобы добавили. А для обхода UAC при необходимости можно вставить запрос на элевацию прав.

И ещё забыл спросить, вот такая строка в логе, это нормально?


```
\\?\C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key
```

подобный путь не должен исправляться? Несколько раз за последнее время видел подобную строчку.

P.S. и по добавлению новых фич. Хотелось бы ещё добавление работы с ZIP архивом и команду для получения информации о дате обновления баз.

----------


## Зайцев Олег

> .... P.S. и по добавлению новых фич. Хотелось бы ещё добавление работы с ZIP архивом и команду для получения информации о дате обновления баз.


2. я так и думал - так как вроде всюду есть экранирование, на указанных параметрах точно есть и кавычки пролезть не могли
3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано  попадать в логи и помечаться цветом как подозрительные
9. Хорошо, добавлю 

Про "\\?\": в начале пути он должен отрезаться, в текущих правилах такое прописано. Но есть важная тонкость - если парсер видит, что путь корректный и позволяет открыть файл на диске, то парсинг не проводится и парсер не трогает имя и не обрабатывает его правилами, возможно как раз мы видим работу этой логики

----------


## regist

> 3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано  попадать в логи и помечаться цветом как подозрительные


да, теперь попадают даже на х64 системах и ярлыки про которые писал выше тоже попали в лог и подсвечиваются.



По ярлыкам вопрос


```
<ITEM File="C:\WINDOWS\system32\regsvr32.exe /n /i /s miqiomjx.uwy" CheckResult="3" Enabled="1" Type="LNK" X1="C:\Documents and Settings\User\Start Menu\Programs\Startup\" X2="C:\Documents and Settings\User\Start Menu\Programs\Startup\regsvr32.exe.lnk" X3="" X4="" Is64="0"
```

Type="LNK"  - означает ли это, что если у этой записи в логе HTML нажать удалить, то будет удалён этот ярлык? Если нет, то можно добавить кнопку удалить аналогично, как это сделано у ключей реестра?

----------


## regist

1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет  :Sad: .

----------


## Зайцев Олег

> 1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
> 2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет .


1. А где этот параметр неправильный ? Нужен пример ... если в диагностике сети, то там установлено экранирование. Не исключено, что файл базы не попал в апдейт, обновил принудительно. 
2. Он есть в списке процессов (где точно известна разрядность процесса) и главное, в автозапуске - там сканируются ключи как x32, так и x64 (за счет включения и выключения редиректора)

----------


## regist

1) Да, в диагностике сети. После сегодняшнего обновления баз ошибка ушла.
2) Перепроверил в XML логе есть только в секции автозапуск, в секции процессы параметра Is64 нету. И в HTML при генерации команды удаления для скрипта этот параметр вставляется для файлов из любой секции. Почему тогда это не отображать и во всех секциях XML лога?

----------


## mike 1

По словам пользователя после выполнения 7 стандартного скрипта компьютер не грузится.

Тема: http://forum.kaspersky.com/index.php?showtopic=289435

----------


## chinaski

*thyrex*, 
*regist*, 
Все верно картридер встроенный, при нажатии на любую кнопку ошибка появляется снова, ни собрать какой либо лог, ни выполнить скрипт не получается на системе, я считаю исправить ошибку важно, потому что таких систем может быть много что тогда делать с ними? Например на этой я периодически чищу вирусы и каждый раз мне приходится использовать 10 разных утилит (само собой утрирую) что бы удалить все что надо, вместо того что бы сделать все с AVZ за один раз.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Sandor

Ошибка, аналогичная этой.

Проявляется и на обычной и на свежей полиморфной версии.

Прилагаю скрин, дебаг лог и лог Process Monitor-a.

Тема.

----------


## regist

> Ошибка, аналогичная этой.
> 
> Проявляется и на обычной и на свежей полиморфной версии.
> 
> Прилагаю скрин,


Как и в прошлый раз ошибка из-за чтения параметра реестра. Я надеялся, что в полиморфе её ещё в прошлом году исправили. Тут уже давал ссылку на тему в ноябре прошлого года с такой ошибкой. С того же времени Олег в курсе про неё.
Как воспроизвести её у себя написал в закрытом тут.

----------

*Sandor*

----------


## Зайцев Олег

http://virusinfo.info/showthread.php?t=189507 - вышла новая версия, данную ветку обсуждения закрываю

----------

*миднайт*,  *olejah*

----------

