# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

## Зайцев Олег

Вышла новая версия AVZ - 4.15.
Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
 1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
 2. Ограничение действий вредоносных программ (блокируется создание файлов, модификация реестра и т.п.)
[+] Возможность запуска внешней программы из скрипта
[+] Получение версии AVZ в скрипте (в разном виде)
[+] Поддержка текстовых файлов и строковых массивов неограниченной длинны в скриптах
[+] Запуск скрипта из меню
----------
Технология AVZGuard основана на KernelMode драйвере, который разграничивает  доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.).
В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
Создание, модификация и удаление параметров реестраСоздание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом дискеОбращение к устройствам \device\rawip, \device\udp, \device\tcp, \device\ipДоступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)Установка драйверов (является следствием блокировки работы с реестром)Запуск процессовОткрытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространствоОткрытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)Исходно доверенным является только AVZ, но из меню "AVZGuard[FONT=Arial CYR][SIZE=2]\Запустить приложение как доверенное" можно запустить любое приложение.  По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.

*Назначение AVZGuard:*
Борьба с трудноудалимыми троянским программами, которые восстанавливают ключи реестра и удаленные файлы, запускают остановленные процессы или иными способами препятствуют своему удалению. Это основное назначение системы;Защита доверенных приложений от недоверенных. Позволяет защититьAVZ и запущенные им доверенные приложения от воздействия работающих вредоносных программ;Распространение действия антируткита UserMode AVZ на другие процессы. Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п., не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его. Естественно, данная технология не является панацеей от всех видов UserMode руткитов, но основные их типы (в частности Hacker Defender) могут быть нейтрализованы подобным образом.

Ссылка как обычно - http://z-oleg.com/avz4.zip
База: 20554 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 357 микропрограмм эвристики, 47841 подписей безопасных файлов.

*Пример алгоритма лечения Look2me с применением AVZGuard:*
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
5. После перезагрузки при необходимости "добить" оставшиеся файлы

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?

----------


## Geser

Имеем баг.
1. Диспетчер служб и драйверов. Тип:все. Имеем всё зелёное.
2. Переходим на вкладку "Сервисы по анализу реестра".
3. Возвращаемя на вкладку "Сервисы по данным АПИ" и имеем кучу черных драйверов которые раньше были не видны.
А всё из за того что меняется селектор с "Активные" на "Все".
Думаю по умолчанию нужно ставить "Все". А то я не сразу заметил что нужно переключить что бы всё увидеть. 
Еще одна проблема.
*Неактивные службы и драйверы не присутствуют в логе исследования системы!!!*

----------


## Зайцев Олег

> А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?


Он блокируется на время работы AVZGuard - т.е. если AVZGuard активен, то блокировка в Kernel Mode автоматом становится неактивной

----------


## Nick222

Что-то на странице закачки не могу найти версию 4.15  :Sad:

----------


## Зайцев Олег

> Что-то на странице закачки не могу найти версию 4.15


Наверное, страничка берется из кеша прокси или кеша браузера ...

----------


## Geser

Олег, пост #3 заметил?

----------


## Nick222

А плагин для Бата останется старый?
Можно не качать?

----------


## MOCT

текст в заголовке окон о включении/выключении AVZGuard не умещается в окне и нечитаем, поэтому возникает вопрос - а нужен ли он там?

----------


## rav

А System у тебя в доверенных?

----------


## Зайцев Олег

> А System у тебя в доверенных?


Нет, System исходно я включал в доверенные, потом провел опыты и исключил. Т.е. в момент активации в списке доверенных только AVZ и ничего более.
*to MOCT*
Да, текстовка в заголовке этих окошек явно левая - я и не заметил...

----------


## Зайцев Олег

> Олег, пост #3 заметил?


Да, конечно. Просто предметно сказать по этому поводу ничего не могу - я ищу место и причину бага. А вот исследование системы - другое дело - я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...

----------


## lazy userr

Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?

userr

----------


## Зайцев Олег

> Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?
> 
> userr


AVZGuard - это "сторож на время лечения", чтобы всячески мешать зловредам "ожить". Нормально работать с ним весьма трудно ввиду его черно-белой логики и практически нулевой управляемости.
Но эта технология в скором времени ляжет в основу монитора AVZ, но там и логика изменится - вместо лобового запрета всем и всего там будут действовать правила, зависящие от приложений и их поведения.
Но следующая на очереди технология - это "монитор активности". Его идея - слежение за системой в реальном времени и протоколирование событий в единый лог (файлы, реестр, операции с процессами и потоками).

----------


## Geser

> я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...


Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
И еще, нужно помечать файлы не найденные на диске.
Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.

----------


## Зайцев Олег

> Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
> И еще, нужно помечать файлы не найденные на диске.
> Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.


Для драйвера тоже такое возможно - драйвер при инициализации может что-то сделать и затем вернуть статус неуспешной инициализации - тогда система его выгрузит. 
Вывод - я введу в лог исследования столбец "активность" и буду выводить все службы и драйверы. Далее, про ненайденные на диске файлы я тоже сделаю. Чистку системы я давно хотел организавать - это нетрудно, но всегда есть шанс зашибить что-то лишнее оптом. Я продумаю этот вопрос, сделать опциональную функцию "зачистки хвостов" труда не составляет.

----------


## Nick222

Спасибо!
Скачал, поставил, проверил...

Но что значит:
"3. Сканирование дисков
data.file MailBomb detected !"

----------


## Зайцев Олег

> Спасибо!
> Скачал, поставил, проверил...
> 
> Но что значит:
> "3. Сканирование дисков
> data.file MailBomb detected !"


Про "MailBomb detected" я все забываю в доку написать пару абзацев ... Когда идет проверка архивов, то возможно обнаружение файлов, у которых большой распакованный размер и при этом высокая степень сжатия (порог в AVZ - файл более 10 мб, сжатый сильнее чем в 100 раз). Такие архивы применяются в качестве почтовой бомбы против on-line антивирусов (прислывается на проверку архив в 50 кб, а распаковка файла дает несколько Gb). Но файл не обязательно опасен - например, некоторые DBF файлы имеют размер 50-100 мб, и сжимаются при этом до 50-100 кб - это и дает срабатывание.
В п.п. 8.2 документации описан ключ DetectMailBomb, позволяющий отключить эту проверку.

----------


## Shu_b

При первом запуске нашла неопознаный процесс... (во вложении)
после перезапуска пока не появлялся... 
ps предыдущая версия такого процесса не видит.


И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?

----------


## Зайцев Олег

> При первом запуске нашла неопознаный процесс... (во вложении)
> после перезапуска пока не появлялся... 
> ps предыдущая версия такого процесса не видит.
> 
> 
> И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?


Есть подозрение, что тот псводоскрытый процесс в логе является результатом того, что в момент изучения запущенных процессов процесс с PID 2716 завершил свою работу. Поэтому факт его присутствия зафиксировался, но анализ естетственно не прошел...
Редактирование файла Hosts я приделаю, где-то в списке доработок это значится.

----------


## blackcat

Я тут это, ковырнул свои архивчики, нарыл 28 вирусочков каких-то. Прогнал avz по ним и обнаружил что из 28-ми он обнаружил только 17. Возможно там не все трояны и червяки, но все же. Если нужно то полный архивчик (1,5 Мб) с вирями могу выслать, если нужно (напомните, плз, адресок, куда слать-то).
P.S. AVZ 4.15, с сегодняшним обновлением баз.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MOCT

> Если нужно то полный архивчик (1,5 Мб) с вирями могу выслать, если нужно (напомните, плз, адресок, куда слать-то).


слать отсюда: https://virusinfo.info/upload_virus.php

----------


## Xen

Эта проблема не уникальна для АВЗ, сам с таким сталкивался не раз. Да здравствует ZwLoadDriver =)

----------


## Зайцев Олег

Обновление баз AVZ: 21538 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, микропрограммы эвристики: 358,  цифровые подписи системных файлов: 48657, 9 микропрограмм восстановления системы
Обновленная база содержит поцедуры эвристики для обнаружения новых троянских программ, которые в последнее время активно рассылаются по почте. Новая процедура восстановления системы позволяет исправить проблему с исчезновением рабочего стола после лечения некоторых новых разновидностей троянских программ (подробнее см. http://z-oleg.com/secur/advice/adv1103.php)
Кстати, забыл сказать - теперь на сайте по многочисленным просьбам трудящихся действует информер - он показывае версию AVZ, дату апдейта баз и остновные цифры по базе

----------


## pig

Обновление через прокси с парольным доступом не получилось  :Sad: . Пришлось выводить ресурсы из-под авторизации.

Вообще немножко неправильно, IMHO: настройки Internet Explorer в отношении прокси определяют только хост и порт прокси, авторизация всё равно задаётся отдельно. То есть, логин/пароль на прокси надо и для варианта "Настройки IE".

----------


## blackcat

Попытался послать, вроде как даже 1,5 Мб траффика отмотало, а потом выдало, что не указана тема, хотя я аккуратно скопировал название темы прямо с форума. Может я не понял что за тема имелась в виду, но сам факт слегка огорчил.  :Sad:

----------


## anton_dr

Не получается обновить  :Sad:  Ни с настройками из ИЕ, ни с ручной пропиской прокси. Хотя ранее обновлялся без проблем при указании "использовать данные ИЕ"

----------


## Din Gior

Не загружается с любыми настройками с обоих адресов.
Помогает только отключение Фаервола.
Смутное чуйство, перерастающее в уверенность, что используются другие порты кроме 80.

Вопрос как настроить фаер, чтобы таки обновляться?

----------


## orvman

*Din Gior*, вообще-то в таких случаях нужно сначала глядеть в логи фаера и смотреть что блокируется и по какому порту и по какой причине. Кстати, говорят помогает.

----------


## Зайцев Олег

> Не загружается с любыми настройками с обоих адресов.
> Помогает только отключение Фаервола.
> Смутное чуйство, перерастающее в уверенность, что используются другие порты кроме 80.
> 
> Вопрос как настроить фаер, чтобы таки обновляться?


Загрузка идет штатным способом, по порту 80. Возможно одно из двух - или не прошел запррос DNS, или блокируется сам обмен. Днйствительно, нужно логи Firewall смотреть - он должен сообщить, что блокировал и почему.

----------


## Erick

Во-первых, avz4 мне очень помог. 
Только при помощи него отловил "пакость", которая автоматически прописывала в настройках модемного соединенния какой то левый телефон с кодом выхода на международную линию (10)! Никакие антивирусы, антитрояны (Avira AntiVir, Symantec, AdWare, ...) ничего не находили. Только AVZ указал на два файла (internt.exe, itunesff.exe в \windows\system32) как подозрительные. Это было 30.03.2006.

А во-вторых, сегодня (14.04.2006), Avira уже распознает их как TR/LipGame.O и к тому же *указывает и на AVZ как HEURESTIC/Hijaker!*

Если нужно, могу прислать эти файлы.

----------


## Зайцев Олег

> Во-первых, avz4 мне очень помог. 
> Только при помощи него отловил "пакость", которая автоматически прописывала в настройках модемного соединенния какой то левый телефон с кодом выхода на международную линию (10)! Никакие антивирусы, антитрояны (Avira AntiVir, Symantec, AdWare, ...) ничего не находили. Только AVZ указал на два файла (internt.exe, itunesff.exe в \windows\system32) как подозрительные. Это было 30.03.2006.
> 
> А во-вторых, сегодня (14.04.2006), Avira уже распознает их как TR/LipGame.O и к тому же *указывает и на AVZ как HEURESTIC/Hijaker!*
> 
> Если нужно, могу прислать эти файлы.


Подозрительные файлы конечно стоит прислать, а то, что Avira ругается на AVZ - это нормально для них ... периодически бывает.

----------


## kesic

> Вопрос как настроить фаер, чтобы таки обновляться?


А фаер то какой? Ну, а если в "общих чертах", создать правило для AVZ с разрешением подключения к конкретному адресу с 80 портом.

----------


## Mikle

Прога классная, у меня находила троянов, которые не находил например
шпионский модуль Outpost, а ведь он в отличие от данной утилиты платный...
Маленькое пожелание - хотелось иметь возможность на сайте подписаться, чтоб своевременно узнавать о выходе новых баз и прочих полезных новостях  :Smiley: 
А также в самой проге хотелось бы видеть не только версию релиза, но
и текущую версию баз которые используются.
Удачи автору и пожелание не бросать столь полезное дело !

--------------------------------------------------------------
Administrator of www.kkm.info & www.rfidchip.info projects

----------


## Shu_b

> Маленькое пожелание - хотелось иметь возможность на сайте подписаться, чтоб своевременно узнавать о выходе новых баз и прочих полезных новостях


RSS - http://z-oleg.com/rssnews.php

----------


## Goodwin

В одной из тем форума, пользователь предположил, на основе антивирусной утилиты AVZ4,  что в модуле пространства ядра сидит Троян. Он выявляется как  \??\С:\Windows\Temp\mc21.tmp или mc22.tmp (зависит от количества установок). Реально этот *.tmp, прописан утилитой «TuneUp Utilities 2006» (и в ранней), в опциях украшения столов. Можно заблокировать ключь в реестре, просто перестанет работать сия утилита. Сносишь настройки украшательств, и умирает \Temp\mc21.tmp. Таким образом, можно совсем заблудиться. 
 Важно, что AVZ4 не видит реальный Троян «Backdoor.ide21201», в «TuneUp Utilities 2006»,  тело которого находится в «ide.vxd», да не огорчится автор утилиты, не видит его не только AVZ, не видит его и Anti-Trojan Shield 2, NOD32 я просто ткнул носом, не увидел! Специально для теста установил «Ad-Aware SE Professional» buil 1.04, совсем она меня расстроила, ведёт борьбу с coocie   в[email protected] ,  и больше ни чего не находит.

----------


## aintrust

> ...Таким образом, можно совсем заблудиться.


Ага... уже слегка заметно...  :Wink:  



> Важно, что AVZ4 не видит реальный Троян «Backdoor.ide21201», в «TuneUp Utilities 2006»,  тело которого находится в «ide.vxd», да не огорчится автор утилиты, ...


Так пришлите автору AVZ файл _ide.vxd_ на "препарацию" - тогда AVZ сразу и увидит этот троян (если он там действительно есть). И вам будет счастье, и всем остальным пользователям!

----------


## Exxx

> Важно, что AVZ4 не видит реальный Троян «Backdoor.ide21201», в «TuneUp Utilities 2006»,  тело которого находится в «ide.vxd», да не огорчится автор утилиты, не видит его не только AVZ, не видит его и Anti-Trojan Shield 2, NOD32 я просто ткнул носом, не увидел!


И не только они его не видят:


```
AntiVir  	Found nothing
ArcaVir 	Found nothing
Avast 		Found nothing
AVG Antivirus 	Found nothing
BitDefender 	Found nothing
ClamAV 		Found nothing
Dr.Web 		Found nothing
F-Prot Antivirus Found nothing
Fortinet 	Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 		Found nothing
Norman Virus Control Found nothing
UNA 		Found nothing
VirusBuster 	Found nothing
VBA32 		Found nothing
```

Может его там и нет?  :Wink:

----------


## Зайцев Олег

> Может его там и нет?


Все может быть - как говориться "зверя в студию"  :Smiley:  я даже кажется знаю, о чем идет речь ...

----------


## Exxx

> Все может быть - как говориться "зверя в студию"  я даже кажется знаю, о чем идет речь ...




```
Файл сохранён как ide.vxd_4443742f778ec.rar 
Размер файла 683 
MD5 53f0924b5809ea4afa133594b63b70bb
```

----------


## Зайцев Олег

Файл пришел - это однозначно не троян и не AdWare, похожий файл в часности устанавливал в систему AdWare.WinAd (но что ему толку было от VXD файла в XP - осталось загадкой). Сам файл содержит два десятка строк на ASM, cам по себе не опасен ... Аналогичный файл входит в дистрибуцию TuneUp Utilities, почему вир. аналитики окрестили его "Backdoor"  - это вообще страшная тайна, ничего "бакдуристого" в нем точно нет.
В продолжение темы - я покорупал этот файлик - это что-то типа драйвера для прямого получения информации о HDD в Win9x, нечто очень похожее применяется некоторыми программами, которые привязываются к серийнику HDD.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Exxx

офф



> Почему вир. аналитики окрестили его "Backdoor"  - это вообще страшная тайна, ничего "бакдуристого" в нем точно нет.


Ну не знаю как его аналитики обзывают, об этом файле как о бэкдоре, я только от Goodwin слышал  :Smiley:

----------


## Зайцев Олег

> Ну не знаю как его аналитики обзывают, об этом файле как о бэкдоре, я только от Goodwin слышал


Аналогично  :Smiley: 

хотя в данной конференции данный файл всплывал в темах про WinAd, но там у него имя было другое было - ide21201.vxd, первое упоминает про него в базах моего анализатора идет от 23.11.2004. Внутренности у того файла были в точности как у этого.

----------


## Goodwin

Я прогнал антивирусники по одному (блохастому диску). Если интересно, логи ниже. Только без nod32. Он чуть больше, но там постоянно отказ к доступу на проверку. Видимо NOD не умеет архивы открывать. А, что касается Троянов, я думал их в сети и без меня полно.

----------


## Зайцев Олег

> Вы не судите меня строго, я не программист. Обычный юзер. Потому меня эта тема и волнует, что у всех разные мнения, а компьютер в любом случаи доволен.


Интересен лог "ATS" - что это за программа такая хитрая ? Видимо  
Anti-Trojan Shield судя по аббревиатуре - такое впечатление, что большинство найденных в первом логе "троянов" таковыми не являются

----------


## Goodwin

Оба ATS и Ats2 пропатчены, может быть от это  возникает какая нить ошибка при проверке.

----------


## blackcat

Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
BEGIN_LOG:
S:\vir\Email-Worm.Win32.Sober\Email-Worm.Win32.Saber.C.zip/{ZIP}/Winzipped-Text_Data.txt           .exe >>>>> Email-Worm.Win32.Sober.p 
S:\vir\I-Worm.Bagle\I-Worm.Bagle.au.zip/{ZIP}/price.com >>>>> I-Worm.Bagle.au 
S:\vir\I-Worm.Mydoom\part3.zip/{ZIP}/part3.exe >>>>> I-Worm.Mydoom.e 
S:\vir\I-Worm.NetSky\I-Worm.NetSky.q.zip/{ZIP}/data.rtf                                                                           .scr >>>>> I-Worm.Netsky.q 
S:\vir\Trojan.Hookdump\tmp.zip/{ZIP}/tmp/HOOKDUMP.EXE >>>>> Trojan.Win16.HookDump.b 
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl  oader.Win32.Agent.ae.zip/{ZIP}/vhgtngzx.exe >>>>> TrojanDownloader.Win32.Agent.ae 
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl  oader.Win32.Agent.ae.zip/{ZIP}/localNrd.inf >>>>> AdvWare.BiSpy 
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl  oader.Win32.Agent.ae.zip/{ZIP}/localNRD.dll >>>>> AdvWare.BiSpy.s 
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl  oader.Win32.Agent.ae.zip/{ZIP}/preInsln.exe >>>>> AdvWare.BiSpy.o 
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl  oader.Win32.Agent.ae.zip/{ZIP}/polall1l.exe >>>>> TrojanDownloader.Win32.Agent.ae 
S:\vir\TrojanDownloader.Win32.Dyfuca.gen\TrojanDow  nloader.Win32.Dyfuca.gen.zip/{ZIP}/nem219.dll >>>>> TrojanDownloader.Win32.Dyfuca.gen 
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownl  oader.Win32.Stubby.c.zip/{ZIP}/conscorr.exe >>>>> TrojanDownloader.Win32.Stubby.c 
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownl  oader.Win32.Stubby.c.zip/{ZIP}/conscorr.inf >>>>> TrojanDownloader.Win32.Stubby.c 
S:\vir\Worm.Win32.Datom\Worm.Win32.Datom.zip/{ZIP}/MSVXD.EXE >>>>> Worm.Win32.Datom 
S:\vir\Worm.Win32.Lovesan\msblast.zip/{ZIP}/msblast_src.exe >>>>> I-Worm.MSBlast.unp 
S:\vir\Worm.Win32.Sasser.b\avserve2.zip/{ZIP}/avserve2.exe >>>>> Worm.Win32.Sasser.a 
S:\vir\Worm.Win32.Welchia\antiBlast.zip/{ZIP}/DLLHOST.EXE >>>>> Worm.Win32.Welchia.a 
END_LOG
А вот список тех вирей, которые там находятся:
BEGIN_DIRECTORY_LIST
+---Email-Worm.Win32.Sober
+---Email-Worm.Win32.Wukill
+---Exploit.Win32.Sassdor
+---I-Worm.Bagle
+---I-Worm.Dumaru
+---I-Worm.Mimail.p
+---I-Worm.Mydoom
+---I-Worm.NetSky
+---I-Worm.Plexus
+---I-Worm.Wallon.a
+---Net-Worm.Win32.Maslan.a
+---Trojan.Hookdump
+---Trojan.JS.Seeker
+---Trojan.VBS.Starter.a
+---Trojan.Win32.Komoron
+---Trojan-Downloader.Win32.Agent.acd
+---TrojanDownloader.Win32.Agent.ae
+---TrojanDownloader.Win32.Dyfuca.gen
+---TrojanDownloader.Win32.Stubby.c
+---VB.Redlof
+---Virus.Win32.Neshta.a
+---Win32.Parite
+---Worm.SpyBot.cl
+---Worm.Win32.Datom
+---Worm.Win32.Lastas
+---Worm.Win32.Lovesan
+---Worm.Win32.Sasser.b
+---Worm.Win32.Welchia     
END_DIRECTORY_LIST

P.S. Еще раз приношу свои извинения. Попытка посыла архива с вирусами почему-то не удалась, о причине я писал на этом же форуме выше. Если нужно будет, то вышлю почтой.

----------


## MOCT

> Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
> 
> А вот список тех вирей, которые там находятся:


проблема-то в чем? имена не совпадают? так у каждого антивируса своя классификация

----------


## blackcat

Из 28-ми вирусов, там лежащих, авз определил только 17(!). И дело не в разных названиях.

----------


## MOCT

> Из 28-ми вирусов, там лежащих, авз определил только 17(!). И дело не в разных названиях.


ну так присылайте недетектирующиеся!

----------


## MadRat

как насчет ложного срабатывания на Avast?
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши

----------


## MOCT

> как насчет ложного срабатывания на Avast?
> C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
> C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши


тоже присылайте. только это не совсем ложное срабатывание - это же ведь и правда перехватчик событий  :Wink:

----------


## Din Gior

Очепятки:
Раздел справки
Работа с программой

...
См. также:
...
Группа "Параметры лечения"  - не соответсвует в окне программы "Методика лечения"
...

Типы файлов
...
не рукомендуется

----------


## anton_dr

Олег, а нельзя ли выкладывать обновления еще и отдельно для скачивания, не посредством встроенного апдейтера? Не могу обновить никак.

----------


## pig

Поддерживаю. Не всегда есть возможность обновить по месту применения. И вообще всем удобнее - скачать один раз и применить многажды.

----------


## Зайцев Олег

> Олег, а нельзя ли выкладывать обновления еще и отдельно для скачивания, не посредством встроенного апдейтера? Не могу обновить никак.


Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.

----------


## anton_dr

Та хоть через ж  :Smiley: . Как для тебя лучше, так и сделай. Лишь бы скачать.

----------


## MOCT

> Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.


а заход на страницу прибавит еще страничного траффика...

----------


## DimaT

Представилась очередная возможность протестировать AVZ.
Антивирус выдал: 

"Натравил" AVZ:



> 3. Сканирование дисков
> C:\Documents and Settings\Mishutka\Local Settings\Temporary Internet Files\Content.IE5\YBS3UZEP\301[1].exe >>> подозрение на Trojan.Win32.Dialer.hc ( 09792C1E 08F71171 0009E254 00000000 9632)


 Почему только подозрение? Убил вручную... 



> C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)


 Безопасно...



> C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039477.exe >>>>> Trojan-Downloader.Win32.Agent.ip  успешно удален
> C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039613.dll >>> подозрение на AdvWare.Win32.Minibug ( 0068D239 0B2C97BB 002032CD 001DE3D9 538216)


 Даже сюда забрался... Почему второй не тронул?



> 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
> C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL


 Писал раньше и посылал Олегу - это плагин.



> 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>  В базе 319 описаний портов
>  На данном ПК открыто 79 TCP портов и 17 UDP портов
>  >>> Обратите внимание: Порт 33333 TCP - PcShare 2.0, Blakharaz, Prosiak (c:\windows\system32\service.exe)


 На что намекает?

Почему AVZ не заметил ''червь'', о кототором ''кричит'' антивирь?
Как правильно сейчас с ним расправиться?

----------


## DimaT

И еще один момент: *ZoneAlarm* _заловил_ во время работы AVZ ''обращение'': 

Физически *sgru.exe* на диске нет...

----------


## DimaT

Этот _зверь_ создает в папке *C:\WINDOWS\Downloaded Program Files* файлы, которые ''простым'' способом не удалишь...
Последний из них, например, AUTO_299_N.exe.
Кто-нибудь уже сталкивался?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MOCT

> Физически *sgru.exe* на диске нет...


наверно XP непатченая...

----------


## DimaT

> наверно XP непатченая...


Да, SP2 не стоит, но обновления делаются регулярно...
Но *Trojan.Win32.Dialer.lw* ''пролез'' не из-за этого...

----------


## Mad Scientist

Прстая функция GetAsyncKeyState.

////////////////////////////////////////////////////
procedure TForm1.Timer1Timer(Sender: TObject);
........
begin
 keyscount:=0;
 For i:= 0 to 255 do
 begin
  key:=GetAsyncKeyState(i);
  if key<>0 then
  begin
   keys[keyscount]:=i;
   inc(keyscount);
  end;// key<>0
 end;// for i
.......
 {логим в файл}
end;
//////////////////////////////

Никакой реакции.
Anti-keylogger v7.2 (http://www.bezpeka.biz) - тоже никак не отреагировал.

И еще несколько вопросов:
1) Можно ли сохранять выбранные настройки (очень понравился параноидальный уровень эвристического анализатора) или загружать их из скрипта? - т.к. при перезапуске программы они загружаются по-умолчанию.
2) Нельзя ли AVZGuard загружать список исполняемых файлов (например из заранее сформированного txt-файла с  их полными путями), а то их по-одному как-то неудобно....
(Классная прога! Большое спасибо!)

----------


## MOCT

> 1) Можно ли сохранять выбранные настройки (очень понравился параноидальный уровень эвристического анализатора) или загружать их из скрипта? - т.к. при перезапуске программы они загружаются по-умолчанию.


настройки можно задавать через скрипт (например командой вида "SetupAVZ('ScanProcess=N');") или параметры командной строки. в хэлпе к программе про это написано.

----------


## Alec

Регулярно сканирую комп AVZ последней версией и базы обновляю регулярно. Никакой заразы не находит, что конечно радует!
После последнего формата и переустановки ОС всё настроил, поставил себе Acronis TrueImage 9.0 и сделал имидж жесткого. С тех пор в логе AVZ всё время вижу:
C:\Program Files\Acronis\TrueImage\MediaBuilder.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\tishell.dll Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImage.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe Invalid file - not a PKZip file
C:\Program Files\Acronis\TrueImage\TrueImageTerminal.exe Invalid file - not a PKZip file
C:\Program Files\Common Files\Acronis\TrueImage\TrueImageNotify.exe Invalid file - not a PKZip file
C:\Program Files\Common Files\Acronis\TrueImage\TrueImageService.exe Invalid file - not a PKZip file
Что я опять сделал не так? :Smiley:

----------


## _HEKTO_

Копирование файла в карантин сейчас не различает файлы, к которым нет доступа, и файлы, которых не удалось найти.

Пример. Копирую в карантин по списку dll от Look2Me.



```
Процесс добавления файлов запущен
Процесс добавления файлов завершен
```

Надо расширить диагностику



```
Процесс добавления файлов запущен
xxx.dll - нет доступа
yyy.dll - файл не найден
Процесс добавления файлов завершен
```

А то создается ложное ощущение, что файла нет.

----------


## pig

Отошлите этих инвалидов Олегу - пусть выяснит, почему программа их за архивы принимает.

----------


## Зайцев Олег

Ругательство на C:\Program Files\Acronis\TrueImage\MediaBuilder.exe и аналогичные - нормальное явление, у них в хвосте EXE файла есть данные, по виду очень похожие на ZIP архив ...

----------


## Зайцев Олег

to *_HEKTO_* 
Диагностику расширю, это нетрудно
to *Mad Scientist* 
на такой пример почти ни одно приложение не реагирует - этот пример (или похожий) я приводил в моей статье за прошлый год в КомпьютерПресс как пример простого и пости недетектируемого логгера. Поймать его можно только мониторингом всей системы
1. Пока можно скриптом, скоро приделаю поддержку профилей настроек
2. Да, такое возможно - но AVZ запустит каждую программу из списка, т.к. разрешение дается на процесс, а не на все процессы заданного исполняемого файла

to *DimaT* 
Файлик c:\windows\system32\service.exe нужно на анализ выслать - в XP точно такого файла в System32 нету, вероятно это троян.

----------


## DimaT

K сожалению так и не дождался ценных указаний.
Пришлось удалять дедовским способом.
Почему AVZ нe ''осилил'' Trojan *Downloader.VХА* cfgmngr32.dll ? 
Причем, *cfgmngr32.dll в system32 (не путать с cfgmgr32.dll)* не удавалось удалить даже в safe mode, так как кроме *екслплорера* он был завязан на *winlogon*.
*Олег, знатоки*,
Хотелось бы услышать _разбор полетов_...
Как бы это сделали Вы ?

----------


## DimaT

> to *DimaT* 
> Файлик c:\windows\system32\service.exe нужно на анализ выслать - в XP точно такого файла в System32 нету, вероятно это троян.


Одновременно написали посты...  :Smiley: 
На [email protected] ушла посылка...
Хотелось бы узнать о результатах...

----------


## DimaT

При попытке убрать service.exe с помощью Unlockerа выдало: 



> Ошибка
> ---------------------------
> *Удаление объекта невозможно*
> 
> Выполнить операцию удаления при следующей загрузке системы?
> ---------------------------
> Да   Нет


 Выбрал Да.

----------


## Зайцев Олег

> При попытке убрать service.exe с помощью Unlockerа выдало: 
>  Выбрал Да.


По поводу service.exe - это троян, сжат UPX ... причем из новых, его толком не детектит никто:
AntiVir 6.34.0.24 04.20.2006 Heuristic/Trojan.Downloader 
Avast 4.6.695.0 04.21.2006  no virus found 
AVG 386 04.22.2006  no virus found 
Avira 6.34.0.56 04.22.2006  no virus found 
BitDefender 7.2 04.22.2006 BehavesLike:Win32.Backdoor 
CAT-QuickHeal 8.00 04.21.2006  no virus found 
ClamAV devel-20060202 04.22.2006  no virus found 
DrWeb 4.33 04.22.2006 DLOADER.Trojan 
eTrust-InoculateIT 23.71.136 04.22.2006  no virus found 
eTrust-Vet 12.4.2171 04.21.2006  no virus found 
Ewido 3.5 04.22.2006  no virus found 
Fortinet 2.71.0.0 04.22.2006 suspicious 
F-Prot 3.16c 04.21.2006  no virus found 
Ikarus 0.2.59.0 04.21.2006  no virus found 
Kaspersky 4.0.2.24 04.22.2006  no virus found 
McAfee 4746 04.21.2006  no virus found 
NOD32v2 1.1502 04.22.2006  no virus found 
Norman 5.90.16 04.21.2006 W32/Malware 
Panda 9.0.0.4 04.22.2006 Suspicious file 
Sophos 4.04.0 04.22.2006  no virus found 
Symantec 8.0 04.22.2006  no virus found 
TheHacker 5.9.7.133 04.22.2006  no virus found 
UNA 1.83 04.21.2006  no virus found 
VBA32 3.11.0 04.22.2006 no virus found
----
Так что файл этот нужно прибить, через отложенное удаление AVZ.

----------


## kps

Олег, два вопроса:
1) Можно ли просто добавить возможность поиска и нейтрализации RootKit, скажем, в меню "Файл" ? Неудобно только ради этой цели запускать "обычное" сканирование. 

2) Англоязычная версия еще планируется или вычеркнута из планов?

----------


## DimaT

> По поводу service.exe - это троян, сжат UPX ... причем из новых, его толком не детектит никто...
> Так что файл этот нужно прибить, через отложенное удаление AVZ.


 Понял.
Спасибо. Сделаю, если Unlocker не выполнил свои обещания. 
А замаскировался хорошо, 2001 года...

Хотелось бы все-таки услышать анализ, рекомендации, разбор действий по остальным моментам...

----------


## Mad Scientist

Anti-keylogger v7.2 (http://www.bezpeka.biz)

1) Устанавливаю и запускаю Anti-keylogger. 
Запускаю AVZ. 
AVZ -> сервис -> диспетчер процессов =>
Anti-keylogger заносит его в черный список.
После этого AVZ умирает. Запуск после этого AVZGuard тоже не помогает.
Если выйти из AVZ, то больше он не запустится(Сообщение винды "Ошибка в приложении...")
Консоль avz.exe AG=Y - отказано в доступе.

Возвращаюсь к SnapShot'у виртуалки

2) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ. Запускаю AVZGuard.
AVZ -> сервис -> диспетчер процессов =>
Anti-keylogger заносит его в черный список.
аналогично...

Возвращаюсь к SnapShot'у виртуалки

3) Устанавливаю и запускаю Anti-keylogger.
Запускаю AVZ.
Параметры-> блокировать работу rootkit в обоих режимах-> доходит до "1.2 Поиск перехватчиков API, работающих в KernelMode" -> смотрим на синий экран смерти (причина - AVZ.exe и дальше дамп пошел.. (XP SP II))


Похоже Anti-keylogger v7.2 использует Root-Kit технологию, устанавливая свой драйвер для невидимости(C:\WINDOWS\system32\drivers\krnl_akl.s  ys) и для того, чтобы подавлять процессы в черном списке.
(AVZ определяет перехват API и в User и Kernel Modes, в Kernel Mode перехватчик не определяется)

AVZ считает подозрительным файл hide.dll который 
WMware Workstation 5.5 ставит в гостевую виртуальную машину(Install VMware Tools).

----------


## Mad Scientist

Извиняюсь, не  hide.dll a hook.dll
C:\Program Files\VMware\VMware Tools\hook.dll
(AVZ считает  его подозрительным)

----------


## Geser

http://virusinfo.info/showthread.php?t=5331
Олег, сделай наконец что бы выдавалось предупреждение о не латинских символах в именах файлов

----------


## Dream Worker

Я решил попробовать написать что-то, что могло бы блокировать работу програм и в частности 

AVZ, благо он свой процесс не прячет и его можно дернуть FProcessEntry32 (в Delphi)

/////////////////////////////////////////////////////////
function KillTask(ExeFileName: string): integer;
const
  PROCESS_TERMINATE=$0001;
var
...
  FProcessEntry32: TProcessEntry32;
begin
  result := 0;
...
  while integer(ContinueLoop) <> 0 do
  begin
    if ((UpperCase(ExtractFileName(FProcessEntry32.szExeF  ile)) =
    UpperCase(ExeFileName)) ... then
      Result := Integer(TerminateProcess(OpenProcess(
      PROCESS_TERMINATE, BOOL(0), FProcessEntry32.th32ProcessID), 0));
    ContinueLoop := Process32Next(FSnapshotHandle, FProcessEntry32);
  end;
  {if not FoundProcess then MessageDlg('Program not running.', mtWarning, [mbOK], 0);}
  CloseHandle(FSnapshotHandle);
end;
///////////////////////////////////////////////////////////

для системных процессов
//////////////////////////////////////////////////////////


function ProcessTerminate(dwPID:Cardinal):Boolean;
var
...
begin
 Result:=false;
 // "Добавляем" привилегию SeDebugPrivilege 
....
 // Для начала получаем токен нашего процесса
...
 // Получаем LUID привилегии
.....
 // "Добавляем" привилегию к нашему процессу
 AdjustTokenPrivileges(hToken,false,tkp,SizeOf(tkp)  ,tkp,ReturnLength);
 if GetLastError()< > ERROR_SUCCESS  then exit;

 // Завершаем процесс. Если у нас есть SeDebugPrivilege, то мы можем
 // завершить и системный процесс
 // Получаем дескриптор процесса для его завершения
 hProcess := OpenProcess(PROCESS_TERMINATE, FALSE, dwPID);
 if hProcess =0  then exit;
  // Завершаем процесс
   if not TerminateProcess(hProcess, DWORD(-1)) then exit;
 CloseHandle( hProcess );

 // "Удаляем" привилегию 
 tkp.Privileges[0].Attributes := 0; 
 AdjustTokenPrivileges(hToken, FALSE, tkp, SizeOf(tkp), tkp, ReturnLength);
 if GetLastError() < >  ERROR_SUCCESS
  then exit;
  Result:=true; 
end;

//////////////////////////////////////////////////////
(Все взято из Delphi World)
//////////////////////////////////////////////////////
Дальше пихаем это KillTask в таймер с интервалом в 1.
Но, допустим, поменяв avz.exe на avz2.exe KillTask(ExeFileName: string) уже не прокатит.

Тогда сканим хоть тем же KillTask, заносим новые процессы с полным именем используя
EnumProcessModules (вот зачем этот нужен - не знаю, но без него не работает) и 

GetModuleFileNameEx
В StingList, проверяя каждый новый процесс на MD5. Как только совпадают - убиваем при помощи 
ProcessTerminate(dwPID:Cardinal);
Все. Теперь AVZ не запускается и с avz.exe AG=Y.
Загрузка процессора(AMD Athlon 2400) такой прогой - 0%(по таск менеджеру)
Вообщем задолбать можно все что видно, кроме критических процессов, т.к. они приведут 

экстреннму завершению работы системы.

Пробовал AVZ пожать UPX - не получилось. Вообщем надо AVZ убирать из списка процессов - 

делать из него что-то вроде руткита, чтобы он скрывал свой процесс и свои файлы, возможно 

модифицировал их (как Morfine), чтобы его невозможно было определить
ни при копировании, ни при запуске, ни при работе(что, наверное, сложнее).
Спасибо, что я мог принять хоть какое-то участие (я так думаю) в тестировании, тем более я слаб в программировании и это пойдет мне на пользу (извините, что мессага такая большая вышла).

----------


## Зайцев Олег

> .....
> Спасибо, что я мог принять хоть какое-то участие (я так думаю) в тестировании, тем более я слаб в программировании и это пойдет мне на пользу (извините, что мессага такая большая вышла).


Все просто - AVZ Guard не успевает активироваться. Если в таймере задать время порядка 500 мс, то подобный фокус не пройдет. Руткит-маскировку процесса AVZ делать не нужно - AVZ Guard по сути и есть руткит.
-----------
Итак, грядет выход v4.15. Предлагаю подитожить пожелания (поиск национальных символов и вывод предупреждения уже сделан).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Хм... странно... в этой ветке стали пропадать сообщения. Ладно, повторюсь:
> 
> 
> 
> 1) v3.15 - это как надо понимать? Вроде как уже имеем 4.15...
> 2) Новый анти-кейлоггер тоже увидим в предстоящей версии?


Я восстановил - тема по сути и так на 50% флейм, чистить ее смысла нет, под новую версию я новую заведу, а эту прибъем. 
Версия 4.15, это очепятка. Антикейлоггер там однозначно будет.

----------


## aintrust

Да народ уже просто соскучился... давно ждет новой версии...  :Smiley:

----------


## Dream Worker

http://sources.h11.ru/soft/instruments/index.html
-набор полу-хакерских инструментов какого-то чела.

Если запустить сперва Instruments, потом AVZ, потом включить 
AVZGuard, то из Instruments прибить AVZ.exe все равно можно. (останется работать AVZGuard -> перегружаться)

----------


## kps

Олег, а на вопросы (выше) ответить можно?  :Smiley:

----------


## aintrust

> ...
> Если запустить сперва Instruments, потом AVZ, потом включить 
> AVZGuard, то из Instruments прибить AVZ.exe все равно можно. (останется работать AVZGuard -> перегружаться)


Да, есть такое дело, и это известно уже практически с самого первого дня появления AVZGuard (смотрите старые посты в этой теме). AVZ в любом режиме работы (даже с включенным AVZGuard) легко убивается даже через обычный Task Manager.

_PS. Мой вам совет - бросьте вы эту затею с убиением AVZ. Пока что в AVZ нет надежных механизмов самозащиты (и, по всей видимости, в ближайшее время не появится), так что убить его не представляет никакого труда даже "начинающему программисту"!_

----------


## Зайцев Олег

> Да, есть такое дело, и это известно уже практически с самого первого дня появления AVZGuard (смотрите старые посты в этой теме). AVZ в любом режиме работы (даже с включенным AVZGuard) легко убивается даже через обычный Task Manager.
> 
> _PS. Мой вам совет - бросьте вы эту затею с убиением AVZ. Пока что в AVZ нет надежных механизмов самозащиты (и, по всей видимости, в ближайшее время не появится), так что убить его не представляет никакого труда даже "начинающему программисту"!_


Вот именно. AVZGuard расчитан на противодействие троянам - т.е. известно не менее 50 методов прибить процесс, но в реальность подавляющее большинство троянов применяют OpenProcess/TerminateProcess и маниакально бороться  с другими методами мне пока лень, я давлю по факту.

----------


## Зайцев Олег

> Олег, а на вопросы (выше) ответить можно?


Можно - их сначало заметить нужно, я почистил пару листов флейма. 
1. Можно, прямо сейчас прикручу, чтобы не забыть
2. Пока в стадии рассмотрения.

----------


## UFANych

Вчера после проведения проверки на чистой системе AVZGuard уронил всё  :Sad: 
Выдержка из БСОДа:
*avzsg.sys
DRIVER_UNLOADED_WHITHOUT_CANCELLING_PENDING_OPERTA  TIONS
Stop: 0x000000CE (0xF7BF730C,0, 0xF7BF730C, 0)*

Последовательность примерно такая: запустил AVZ, активировал guard, проверил процессы и cистемные каталоги, запустил доверенный cmd.exe, запускал там то ли ping, то ли trace (т.к. при этом был подключен к инету и присписчило что-то проверить, а запущенный до AVZ ФАР обломалСЯ с запуском), попытался закрыть avz, остановил guard, попытался закрыть avz (cmd остался), пролучил БСОД.

XP SP2 rus (с обновлениями по март, если это важно)

----------


## aintrust

> ...прямо сейчас прикручу, чтобы не забыть


Да, и чтобы "не забыть", еще и это:
1) избавиться от загрузки драйвера _avz.sys_ в пользу одного единственного _avzg.sys_ - ты говорил, что сделаешь это обязательно;
2) сделать загрузку драйвера без SCM (я так понял по твоим словам, что это уже практически сделано).

И еще... Может, все же сделаешь кнопку "Пауза" на сканировании файлов (я уже понял тщетность моих просьб насчет выделения GUI в отдельный поток и избавления от модальных окон - я так понял, что тот Дельфи, на котором ты пишешь AVZ, вообще не может нормально работать с несколькими потоками)? Но хоть "Паузу"-то можно как-то реализовать? Это даже и не моя просьба - об этом уже просит буквально каждый из тех, кому я показываю твою утилиту.

----------


## Зайцев Олег

> Вчера после проведения проверки на чистой системе AVZGuard уронил всё 
> Выдержка из БСОДа:
> *avzsg.sys
> DRIVER_UNLOADED_WHITHOUT_CANCELLING_PENDING_OPERTA  TIONS
> Stop: 0x000000CE (0xF7BF730C,0, 0xF7BF730C, 0)*
> 
> Последовательность примерно такая: запустил AVZ, активировал guard, проверил процессы и cистемные каталоги, запустил доверенный cmd.exe, запускал там то ли ping, то ли trace (т.к. при этом был подключен к инету и присписчило что-то проверить, а запущенный до AVZ ФАР обломалСЯ с запуском), попытался закрыть avz, остановил guard, попытался закрыть avz (cmd остался), пролучил БСОД.
> 
> XP SP2 rus (с обновлениями по март, если это важно)


А антивирусный монитор есть (т.е. AVZ показывает перехваты режима ядра без включения Guard) ? И второе уточнение - тип процессора (1 или 2 штуки и есть ли HT).

----------


## aintrust

> Вчера после проведения проверки на чистой системе AVZGuard уронил всё 
> ...


А если вы повторите описанную последовательность действий, AVZ снова завалит систему? Попробуйте, если не сложно.

Также, если есть минидамп, закиньте его, пожалуйста, сюда.

----------


## aintrust

> И второе уточнение - тип процессора (1 или 2 штуки и есть ли HT).


Не думаю, что в этом может быть проблема... По крайней мере, у меня HT - таких "завалов" ни разу не было.

----------


## Xen

Просто что-то осталось в пендинге... бывает.

А что касается многопоточности, то в Дельфи с этим вроде как ок все.

----------


## aintrust

> ...
> А что касается многопоточности, то в Дельфи с этим вроде как ок все.


Да я тоже всегда так думал, но, видимо, не все так просто. В общем, я толком не знаю - но Олег говорит, что там много глюков с этими делами.

----------


## Xen

Надо грамотно синхронизировать потоки и все будет ок. Мои знакомые на дельфи пишут обалденные промышленные мультитред-сервисы, например. Но это уже снова оффтоп.

----------


## UFANych

Повторный эксперимент - попытка вызвать BSOD - успехом не увенчался.
Вот логи с гардом и без него.
avz_log2.txt 
avz_log3.txt

Проц - P4 2.8 БЕЗ HT.
В системе установлен Symantec corp 9.0. с прошлого раза его базы не обновлялись.
AVZ запускался оба раза с flash-драйва.

хотя, что толку, всё равно BSODа нет...

----------


## aintrust

Ну, значит ошибка скорее всего "плавающая" - такие воспроизвести и устранить тяжелее всего. 

Так как же все-таки насчет минидампа - он у вас есть или нет? Если нет, то советую вам установить соответствующую опцию - тогда следующий раз в случае падения будет хоть какой-то предмет для исследования.

----------


## UFANych

не думал, что минидамп понадобится... потому и нету  :Sad: 
теперь везде ставить буду!

----------


## Dandy

Интересненькое...

Преамбула:
Рубился сегодня в "Линейку" (LineAge 2). C4 клиент с офф. сайта (тот который с GameGuard) Сервак в очередной раз отвалился, а клиент висит. 

Амбула:
Через taskman убить не получилось (доступ запрещен) - работа Gameguard-a. Дай думаю через AVZ, не получилось... менеджер процессов отваливается, так как системная функция перхвачена GameGuard-ом. Пустил нейтрализацию руткитов... результат отрицательный. Во вложениях логи:
avz_km_log - Kernel Mode востановление
avz_um_log - User Mode востановление
avz_taskman_log - ошибка при открытии менеджера процессов

Вдогонку,
Если запустить проверку памяти (с противодействием руткитам или без), то AVZ вываливается после:
2. Проверка памяти
 Количество найденных процессов: 22
[DEBUG]>Scan proc C:\WINDOWS\system32\smss.exe
[DEBUG]>Scan proc c:\windows\system32\csrss.exe
[DEBUG]>Scan proc c:\windows\system32\winlogon.exe
[DEBUG]>Scan proc c:\windows\system32\services.exe
[DEBUG]>Scan proc c:\windows\system32\lsass.exe
[DEBUG]>Scan proc c:\windows\system32\svchost.exe
....
[DEBUG]>Scan proc d:\l2c4\system\l2.exe
[DEBUG]>Scan proc c:\windows\system32\taskmgr.exe
[DEBUG]>Scan proc c:\program files\mozilla firefox\firefox.exe
[DEBUG]>Scan proc d:\distrib\av\avz4\avz.exe
[DEBUG]>Scan hidden process
Сканирование длилось 00:00:02

а дальше Эксемшен см вложением

С уважением,

----------


## anton_dr

Олег, а обновление баз не апдейтером, а отдельно не делал? И желательно одним файликом.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Grey

*anton_dr*
Вообще то, для обновления можно написать скрипт, и запускать на отработку скрипт.

----------


## Зайцев Олег

> *anton_dr*
> Вообще то, для обновления можно написать скрипт, и запускать на отработку скрипт.


Скрипт можно, но при условии, что встроенный апдейтер сработает. Иногда он не может загрузить файлы (почему - не всегда известно), поэтому наличие архива с полным апдейтом иногда удобно. Я такое сделал, начиная с 4.16 это будет.

----------


## anton_dr

Вот у меня как раз тот случай - не работает апдейтер, хоть ты тресни. С любыми настройками.
А когда примерно ждать 4.16?

----------


## Зайцев Олег

> Вот у меня как раз тот случай - не работает апдейтер, хоть ты тресни. С любыми настройками.
> А когда примерно ждать 4.16?


Сегодня к вечеру или завтра утром. Я просто плюнул на изготовлении версии с кучей новшеств - вместо этого проще сделать несколько версий, иначе доработки еще на месяц затянутся.

----------


## anton_dr

Ок, будем ждать

----------


## Dandy

Олег, а баги с антируткитом исправлены будут?

----------


## Зайцев Олег

> Олег, а баги с антируткитом исправлены будут?


Возможно - я вроде-бы исправил пару мелких багов. 

Итак, ветку закрываем - по причине выхода версии 4.16

----------

