# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке

## Зайцев Олег

Вышла очередная версия AVZ - 4.19. Страница загрузки: http://z-oleg.com/secur/avz/download.php
[++] Новый менеджер - "Менеджер Downloaded Program Files". Подключен к автокарантину и исследованию системы
[++] Доработано исследование системы - появилась возможность включать в исследование все службы/драйверы (а не только активные), добавилась опция включения в HTML протокол скриптов для упрощения составления списков подозрительных файлов и скриптов для их сбора и удаления
[+] Доработан автокарантин - добавилась возможность включения неактивных служб и драйверов
[+] Добавлена возможность индивидуальной проверки указанного файла - ключ командной строки SCANFILE
[+] Добавлена возможность сохраненения протокола AVZ в формате CSV для удобства анализа
[+] Добавлена поддержка новых видов мейл-бомб а распаковщике ZIP архивов
[+] Расширена система команд скриптового движка: сохранение протокола в CSV формате, работа со списком запущенных процессов)
[+] Ряд мелких доработок в ревизоре и антирутките
-------------
Начиная с версии 4.19 начинаются публичные бета-тесты англоязычной версии - ее можно загрузить на основной странице загрузки, локализаван только сам AVZ, справка оставлена в русскоязычном варианте.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Белиал

Как раз сейчас скачиваю новую версию. Надеюсь, что появилась возможность обновить уже существующую таблицу в ревизоре, а то каждый раз создавать новую проблематично. И еще надеюсь, что увижу возможность в ревизоре задавать каталоги-исключения, например кэш браузера.

----------


## Зайцев Олег

> Как раз сейчас скачиваю новую версию. Надеюсь, что появилась возможность обновить уже существующую таблицу в ревизоре, а то каждый раз создавать новую проблематично. И еще надеюсь, что увижу возможность в ревизоре задавать каталоги-исключения, например кэш браузера.


Каталоги-исключения задать можно - в двевовидном списке файлов можно не только помечать папки, но и снимать пометки с тех папок, для которых не требуется собирать данные. Ревизор запоминает эту информацию в базе и при сравнении анализирует только те папки, которые сканировались. А вот с обновлением базы ревизора есть проблема - она сживается при сохранении и редактировать ее после этого уже нельзя. Но эта проблема записана в очередь на доработку.

----------


## anton_dr

Олег, а обновление через прокси уже когда? И кнопка паузы при сканировании?
Да, ишо. Пытаюсь когда проверить обновление - первый раз пишет, сто ошибка, и файл поврежден. При повторной попытке обновить - намертво зависает.

----------


## RiC

В английской версии -
Database loaded 30947 signatures, 2 NN profile, 55 микропрограмм cure, AV base from 28.07.2006 16:10

2-я закладка с настройками -
*Don't check archives larger the* - дальше не влезает, может заменить на 
"Max. archive size for check"

----------


## userr

Олег, что-то я не пойму, как в программе сделать так, чтобы все файлы из данной папки, неопознанные как безопасные, скопировались в карантин. И в отчете о сканировании хотелось бы иметь возможность получить список чистых, но НЕ найденных в базе безопасных файлов.

----------


## Зайцев Олег

> Олег, что-то я не пойму, как в программе сделать так, чтобы все файлы из данной папки, неопознанные как безопасные, скопировались в карантин. И в отчете о сканировании хотелось бы иметь возможность получить список чистых, но НЕ найденных в базе безопасных файлов.


1. Копирование неопознанных как безопасные файлов достигается через поиск (поиск файлов в заданной папке по заданной маске, исключая опозранные как безопасные)
2. Список чистых по мнению сканера, но не найденных в базе безопасных можно получить, включая птичку "Отчет о читстых объектах" и "Проверять чистые объекты по базе безопасных" в закладке "типы файлов"
*to RiC*
Первое вроде бы исправлено, а вот "Max. archive size for check" сейчас подправлю, спасибо
*anton_dr*
Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси

----------


## Geser

Сделано ли кптирование в карантин через драйвер прямого доступа к диску? А то многие жаловались что залоченные файлы не копируются.

----------


## Зайцев Олег

> Сделано ли кптирование в карантин через драйвер прямого доступа к диску? А то многие жаловались что залоченные файлы не копируются.


Доделывается - я думаю, драйвер ПДД появится в 4.20 - залоченные файлы достали уже, пора нанести ответный удар  :Smiley:

----------


## userr

> 1. Копирование неопознанных как безопасные файлов достигается через поиск (поиск файлов в заданной папке по заданной маске, исключая опозранные как безопасные)


Ага, спасибо.



> 2. Список чистых по мнению сканера, но не найденных в базе безопасных можно получить, включая птичку "Отчет о читстых объектах" и "Проверять чистые объекты по базе безопасных" в закладке "типы файлов"


Да, но в этом случае выводятся все чистые файлы, а хочется иметь опцию вывода ТОЛЬКО неопознанных.  :Smiley:  Хотя это в принципе реализовано, оказывается, через "поиск".

----------


## anton_dr

> Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси


Ок, ждем.

----------


## RiC

Ещё в английской версии не работает сборка скрипта в Html файле, кстати если появилась такая полезная фичка, то почему-бы не сделать примитивный текстовый редактор куда-бы можно было этот скрипт ввести, не заморачиваясь с сохранением его в файл ? Как в Avenger  :Smiley: 

"Delet all system process debbuger" в "востановлении системы".
следующая за ней вместо "reg" можно написать полностью - "registry".

----------


## Vulty

AVZ, версия 4.19 от 28/7/2006
система Windows 2000 AS, english

целый список ошибок типа
Ошибка LSP NameSpace: "Tcpip" --> отсутствует файл C:\Documents and Settings\Administrator.TEB\WINDOWS\System32\rnr20.  dll

содержимое переменных окружения:
C:\Documents and Settings\Administrator.TEB>set
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Administrator.TEB\Application Data
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=DBST
ComSpec=C:\WINNT\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Administrator.TEB
LOGONSERVER=\\NST
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Os2LibPath=C:\WINNT\system32\os2\dll;
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\  Wbem;C:\Program Files\Microsoft SQL Server\80\Tools\BINN
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WS  F;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0403
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=C:\DOCUME~1\ADMINI~1.TEB\LOCALS~1\Temp
TMP=C:\DOCUME~1\ADMINI~1.TEB\LOCALS~1\Temp
USERDNSDOMAIN=teb.local
USERDOMAIN=TEB
USERNAME=administrator
USERPROFILE=C:\Documents and Settings\Administrator.TEB
windir=C:\WINNT

что посоветуете?

----------


## pig

Терминальная сессия?

----------


## Vulty

> Терминальная сессия?


м-м-м... в принципе, citrix там крутится, но AVZ запускался из локального входа, НЕ через удаленный доступ

----------


## pig

Возможно, одно наличие влияет... Шут его знает, откуда, но на терминальных серверах это постоянно вылезает.

----------


## Зайцев Олег

> м-м-м... в принципе, citrix там крутится, но AVZ запускался из локального входа, НЕ через удаленный доступ


Видимо влияет терминалка ... хотя в пременных окружения "SESSIONNAME=Console" - это говорит о локальном входе с консоли.

----------


## anton_dr

Маааленький вопрос. Что значит в автозапуске строка



> autocheck autochk *
> Активен Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager, BootExecute

----------


## Xen

Все ок. Запускается нативный проверяльщик файловой системы на ошибки.

----------


## Alexey P.

В логе английской версии после обновления:
Database loaded 32006 signatures, 2 NN profile, 55 &#236;&#232;&#234;&#240;&#238;&#239;&#240;&#238;&#  227;&#240;&#224;&#236;&#236; cure, AV base from 03.08.2006 09:30

----------


## Зайцев Олег

> В логе английской версии после обновления:
> Database loaded 32006 signatures, 2 NN profile, 55 &#236;&#232;&#234;&#240;&#238;&#239;&#240;&#238;&#  227;&#240;&#224;&#236;&#236; cure, AV base from 03.08.2006 09:30


Ага - я заметил, кривовато база собралась с локализацией. После сегодняшнего обновления баз дожно исправиться.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Rene-gad

@Зайцев Олег
Интересный результат проверки (AVZ 4.19 englisch version, скачана сегодня, 03.08.06):



> Dr.Web (R) daemon for Linux v4.33 (4.33.0.09211)
> Copyright © Igor Daniloff, 1992-2005....
> >avz4en.zip/avz4/avz.exe packed by UPX
> In file >>avz4en.zip/avz4/avz.exe *probably found virus DLOADER.Trojan*


Мы то понимаем, что там ничаво такого быть не может, но понимает ли это Dr.Web  :Wink:  ?

----------


## _HEKTO_

У них на днях новый движок зарелизился, так он у меня 5 разных версий AVZ обозвал нехорошими словами.

Что-то лишнего накрутили.

----------


## Sanja

Судя по ченж-логу дрвеба, он не распаковывал УПХ которым пожат АВЗ Ж)

----------


## Зайцев Олег

> Судя по ченж-логу дрвеба, он не распаковывал УПХ которым пожат АВЗ Ж)


Да - мне уже прислали штук сто сообщений об этом. Короче, если они не исправятся за 1-2 дня, придется внести в базу пару сигнатур на их поделку с названием "not-a-virus.KrivoiScanner.DrWEB.gen"  :Smiley:

----------


## Xen

Олег, вы тут не единственный пострадавший. Причем рекомендую мониторить детект ДрВебом, так как некоторые позиции в его базе имеют обыкновение исчезать, в результате чего файл вновь продолжает детектироваться. Исправляют с очередным апдейтом, а потом через недельку снова алярмы и ахтунги по полной программе =)

----------


## drongo

AntiVir 6.35.1.0 08.05.2006 HEUR/Hijacker 
Ну вот , я на вирустотале проверил  :Smiley:   Теперь антивир детектит .Будет весело , если другие вендоры засунут в базы .

----------


## :-)

А насколько умно оставлять компьютер на попечение AVZGuard ? (дня на 2-3)
Из сетевого софта работают БТ-клиенты , Аутпост , КАВ(с коекак настроенной проактивкой)

----------


## Зайцев Олег

> А насколько умно оставлять компьютер на попечение AVZGuard ? (дня на 2-3)
> Из сетевого софта работают БТ-клиенты , Аутпост , КАВ(с коекак настроенной проактивкой)


Это совершенно неразумно. AVZGuard - это блокиратор активности зловредов. Его задача - защитить AVZ и запускаемое им ПО от типовых нападок зловреда, а главное - блокировать зловреду пересоздание ключей реестра и файлов на время лечения. Активация Guard во время обычной работы ни к чему хорошему не приведет - опасности для компьютера и системы он не создаст, но нормальную работу ПО нарушит.

----------


## Зайцев Олег

> AntiVir 6.35.1.0 08.05.2006 HEUR/Hijacker 
> Ну вот , я на вирустотале проверил   Теперь антивир детектит .Будет весело , если другие вендоры засунут в базы .


Ага - мода пошла на "эвристику" - он явно ищет строки с именами ключей реестра, применяемых ИЕ ... они есть в теле AVZ в открытом виде. Видимо придется написать для AVZ хитрый самопальный пакер/криптер, чтобы избавиться от такого безобразия.

----------


## drongo

Поддерживаю  и именно самопальный  :Smiley: 
Надо бы интерфейс поправить AVZ EN  :Smiley: (При обновлени слова друг на друга наступают ), и сами выражения я бы подправил . Олег , а почему нельзя сделать отдельный текстовый файл с языком, каждый кто бы хотел помоч -правил на другой язык  , был бы международный проект .

----------


## :-)

Понял , спасибо. Бредосовская мысль пришла в голову ,когда во время скана при включенном  AVZGuard не удалось запустить Винамп. Попробовал запустить асю , флешгет.. понравилось . Вот и подумал о такой "блокировке" , т.к кроме запущенных приложений в моё отсутствие ничего запускаться не должно(ручками). Удалённо никто не заходит(кажется) :Smiley:  и не должен.... Грамотно проактивку в КАВ  настроить мозга не хватает. :Huh:

----------


## Andrey

> AntiVir 6.35.1.0 08.05.2006 HEUR/Hijacker 
> Ну вот , я на вирустотале проверил   Теперь антивир детектит .Будет весело , если другие вендоры засунут в базы .


Обещали на днях исправить. Ждем  :Smiley:

----------


## Rene-gad

общий привет.
не знаю, почему, но у меня при завершении работы AVZ стартует маленькая тулза Simple Screenshot, которой я пользуюсь уже много лет, и шарашит бесконечные пустые скриншоты. Eсли кто-то хочет протестировать - даю ссылочку: http://www.wt-rate.com/freeware5.htm#sss

----------


## Зайцев Олег

> общий привет.
> не знаю, почему, но у меня при завершении работы AVZ стартует маленькая тулза Simple Screenshot, которой я пользуюсь уже много лет, и шарашит бесконечные пустые скриншоты. Eсли кто-то хочет протестировать - даю ссылочку: http://www.wt-rate.com/freeware5.htm#sss


Любопытно ... а если для опыта запустить AVZ, но отключить поиск кейлоггеров - это произойдет или нет. Есть подозрение, что эта утилита устанавливает hook для отлова нажатия определенного сочетания клавиш, и анализатор AVZ провоцирует эту утилиту.

----------


## Rene-gad

> ... а если для опыта запустить AVZ, но отключить поиск кейлоггеров - это произойдет или нет.


не происходит  :Smiley:  .

----------


## Numb

Имеется следующая проблема: ОС (Windows 2000 professional SP4) установлена на диск D:. При запуске утилиты АВЗ с диска C: попытка поиска перехватчиков в Kernel mode завершается с ошибкой (не может найти ntoskrnl.exe). В случае запуска утилиты с диска D: поиск проходит нормально

----------


## Surfer

Здраствуйте Олег.

Пару предложений по поводу AVZ : возможность интеграции (контекстное меню --> проверить с помощью AVZ) - будет очень удобно.
И если будет время , такое предложение - http://forum.kaspersky.com/index.php?showtopic=16202 (я так думаю нужная функция для продвинутых пользователей)

----------


## Зайцев Олег

> Здраствуйте Олег.
> 
> Пару предложений по поводу AVZ : возможность интеграции (контекстное меню --> проверить с помощью AVZ) - будет очень удобно.
> И если будет время , такое предложение - http://forum.kaspersky.com/index.php?showtopic=16202 (я так думаю нужная функция для продвинутых пользователей)


Интергация с оболочкой проста, но требует инсталлировать AVZ, что несколько нарушает его концепуию. Но вариант с инсталлятором рано или позно появится, там это будет.
По поводу указанной ссылки на форум ЛК - такая функция в AVZ существует очень давно, нужно только задачь ключик Unpack_Archives=Y (попробности по спец. ключам см. http://z-oleg.com/secur/avz_doc/, раздел 9.2) в командной строке или скрипте, извлеченные файлы вынимаются в папку UNPACKED в рабочем каталоге AVZ

----------


## anton_dr

> Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси


Осторооожненько так, напоминаю  :Smiley:

----------


## Зайцев Олег

> Осторооожненько так, напоминаю


Помню, помню ...  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Scitalec

Я тут Вам недавно прислал вирус, детектируемый KAV 2006.
Проблема с Folder.htt.
Нигде не могу найти его описание, и по адресу ли я его послал? :Smiley:

----------


## pig

Redlof, что ли? Он должен быть на viruslist.ru

----------


## *Cool Cat

Недавно погонял AVZ (v4.15 - 4.19) на новеньком ноутбуке в разных режимах проверки …. хочу сказать, что не каких “тормозов” с работой AVZGuard, обнаружено не было
так что беру свои слова обратно  :Smiley:  конфликты, скорее всего, были связанны со старостью системы (ОС стоит уже 1.5 года)  и прочих нюансов.

Предлагаю внести небольшие изменения: 


1)
(для проверки в режиме НЕ ОНЛАЙН)

Путь:       ФАЙЛ  >   ИСЛЕДОВОВАНИЕ СИСТЕМЫ  >   

Снять “галку” с пункта  Порты TCP\UDP 
(приводит к старой ошибке)

гораздо гуманнее не включать исследование  портов по умолчанию… а просто выделить этот пункт другим цветом … для бдительности
(другое дело это возможно скажется на автоматическом управлении AVZ с помощью скрипов)
В настройках AVZ тоже можно снять опцию, проверки портов (по умолчанию)

2) 
Предлагаю добавить в  СЕРВИС   новый пункт (если возможно)
“Драйвера устройств не Plug in Play” ( - это есть в диспетчере устройств)
чтоб можно было на время отключить из самой AVZ, некоторые активные драйвера с функцией перехвата. 

3)
РЕВИЗОР….
В конце, при создании баз не пишет.. что процесс анализа и сбора информации завершен
(не совсем понятно, в низу есть “прогресс” видно что перебирает папки и файлы – но
в конце без сообщения могут подумать что утилита зависла)





______Да в корректном отображении (писалось выше) тоже есть незначительные мелочи:
(Может это связанно с индивидуальными настройками размера шрифтов в Винде!?)


1)
ФАЙЛ  >  Просмотр папки infected (так же просмотр карантина)
названия кнопок (сверху) вылезают за приделы их границ.

2)
ФАЙЛ  >   ИСЛЕДОВОВАНИЕ СИСТЕМЫ  > 
Downloaded program files (DPF)
Немножко не корректно размещён “свежедобавленный” пункт

3) 
(режим  “Спросить у пользователя”)  
При обнаружении зверя… всплывшее окно AVZ  выводится не в полный размер а с полосой прокрутки (по вертикали и горизонтали)

4) 
СПРАВКА  >  О ПРОГРАММЕ 
Там описание утилиты, выровнено НЕ совсем по ЦЕНТРУ если смотреть от краёв окна
(так мелочь небольшая  :Wink: )

----------


## MOCT

"Имя файла содержит национальные символы" - проверка идет по всему пути, т.е. если в имени папки содержится русский текст, а в имени файла нет, то тоже выдается такое сообщение.

Более разумно проверять русские символы только в имени и расширении имени файла, а не в полном пути. Потому что пользователи часто ставят софт в папки типа "C:\Программы", что приводит к большому числу вот таких предупреждений.

Либо, как вариант, проверять и название каждой папки в отдельности (!). Но выдавать сообщение только в том случае, если присутствуют и русские, и латинские символы вперемешку.

----------


## Зайцев Олег

*to MOCT*
Логично, вношу в список доработок
*to Cool Cat*
1. Проверку портов можно по умолчанию отключить (из крипта ее нетрудно включить при необходимости)
2. Это сделать можно, но в большинстве случаев не поможет. Причина - драйвера перехватчики устанавливаются чем-то, и это что-то столь же легко переустановит отключенный драйвер
3. Сообщение я обязательно добавлю
-------
С выравниванием и вылезанием за границу текста я проверю, вполне возможны глюки. 
*to Scitalec*
Какой-то похожий файл приходил, но ничего опасного в нем не нашлось (его или KAV вылечил, или подозрение было ложное). Если KAV продолжает на него ругаться, можно еще раз прислать - на [email protected] (если посылать файл через страничку, то его заберет на анализ автоматика)

----------


## Xen

Уже в который раз предлагаю убрать проверку на открытые порты. Время старых добрых троянцев-listener'ов прошло :-) А сообщения о потенциальных угрозах, бывает, только пугают юзеров.

----------


## Poul

У меня Dial Up. Пассворд очень сложный. Для дозвона я использую Dialer 2000. Он определяется как вирус. Что делать? Вводить пассворд каждый раз мне лень. В принципе у меня ума хватит самому написать программу дозвона только подскажите как, или можно испльзовать эту Dialer 2000.(cамая старая что нашел). Спасибо

----------


## pig

> Для дозвона я использую Dialer 2000. Он определяется как вирус.


Кем? Если AVZ, то посетите http://virusinfo.info/index.php?page=upload_clean.

----------


## Scitalec

В процессе работы AVZ обнаружил перехваченные функции
Функция ZwTerminateProcess (101) перехвачена (80591C32->EDBE0330), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8058FF6C->EDBE0290), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 2, восстановлено: 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\ocmapihk.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\ocmapihk.dll>>> Поведенческий анализ: 
 Типичное для кейлоггеров поведение не зарегистрировано
Все эти фуекции не опасны - это всего лишь модули файрвола Agnitum Outpost 3.5
Странно не это, такое бывает - файрволл действительно перехватывает некоторые процессы, дабы взять под контроль все уязвиимые места системы.
Но... AVZ восстанавливает эти процессы, а Outpost не выдает никаких сообщений, более того, если сразу запустить тестирование заново, снова AVZ найдет и исправит эти перехваты. А это означает, что AVZ не может восстановить систему в этом случае. А что может "хорошая программа, то сможет и вредоносная... Более того, если запустить AVZGuard, то AVZ сначала зависает, а затем просто вылетает. Причем в списке процессов остается ее процесс. При попытки принудительного завершения работы вся система виснет... Вот так...
На всякий случай, я отправил сегодня вам на исследование все собранные в карантин файлы и отчет о сканировании.

----------


## Зайцев Олег

Если это так, что по всей видимости FILTNT.SYS стал восстанавливать свой перехват по таймеру ... по принципу "или я, или синий экран"  :Smiley:  В этом случае причина глюков с AVZGuard вполне понятна.
Уточнение:
А о какой версии AVZ и Outpost идет речь ? В версии 3.51 AVZ спокойно снимает перехваты, они не восстанавливаются и Guard совместо с Outpost нормально работают.

----------


## Grey

*Зайцев Олег*
Раньше не было необходимости, так и не обращал внимания...
Но не запоминаются установки для прокси при обновлении, а именно точно проверил, что не запоминается не прокси, ни порт, ни режим работы. Все время сбрасывается на "настройки IE"
Версия сабжа 4.19.0.10 Рус и 4.19.0.11 Анг

----------


## *Cool Cat

Писал выше:
“Драйвера устройств не Plug in Play” 
( - это есть в диспетчере устройств)

Scitalec:
В ранних версиях FILTNT.SYS детектировался дис. устройств
- если он там есть отключите драйвер
и проверте работу AVZ

у меня стояли v5.51 (3 разных сборки)
таких проблем ненаблюдалось
???
скорее всего это v4.0
так как он там. говорят навароченный...
там и проактивка и тд.

----------


## Scitalec

У меня AVZ последней версии с вчерашним обнавалением баз, а Outpost4.0.916.6727
Да, и теперь Kaspersky Antivirus 2006 детектит AVZ как руткит

----------


## *Cool Cat

[censored]  :Smiley:  
Я ошибся 
НЕ
 стояли v5.51 (3 разных сборки)
А
 стояли v3.51 (3 разных сборки)

Scitalec:
1. отключи Outpost
2. отключи автозапуск службы Outpost
3. удали драйвер FILTNT.SYS
путь:\Program Files\Agnitum\Outpost Firewall\Kernel
в корзину 
(потом есле надо востановиш из корзины)
4. ocmapihk.dll тоже удали
5. Перезагрузка системы
6. Проверь работу AVZ
Если всё ОК то конфликт с  Outpost

----------


## Зайцев Олег

Сегодня поступило сообщение, что DrWeb опять начал детектить AVZ. На сей раз русскую версию, детект пошел после обновления от 20.08, детектирует AVZ.EXE в архиве как DLOADER.Trojan ...  :Sad:  У кого есть DrWeb с ежедневным обновлением, прошу проверить - так ли это. Если так, то это уже не смешно ...

----------


## Shu_b

> Сегодня поступило сообщение, что DrWeb опять начал детектить AVZ.


Нет, на 4.19.0.10ru/4.19.0.11enu эвристик не срабатывает (база 136345 в.з.).

----------


## pig

У меня не детектирует. Русская версия AVZ, скачана 28 июля в 17:59

----------


## Exxx

4.19.0.10 RUS у меня не детектируется.
Последнее обновление баз вэба 2006-08-21 (18:14).

----------


## Зайцев Олег

Спасибо за проверку. Я  тоже проверил на virustotal и свежим CureIt - не детектируется. Мне сообщали, что детект появился 20.08, видимо  в базе от 21.08 он был уже устренен.

----------


## *Cool Cat

странно!?

у меня не детектируется

v.3.33.1
Базы: 20.08
Записей: 135693

_________

Только папки Карантин и Инфекция
если та что есть - то естественно 
детектит тока "ругается" другими словами
(Нужно исключять из скана Веба)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XL

Есть такой червь - maslan.b  с User mode руткитом на борту. Так вот с ним существует одна бяка. Если включить avz guard  и попытаться завершить маскируемые червем процессы в памяти через менеджер процессов AVZ, то AVZ выдает какой-то эррор (детали уже не помню), связанный с доступом к файлу и повторяет этот эррор после нажатия на *cancel* циклически. Т.е. ошибка висит постоянно пока работает менеджер процессов AVZ. А переключиться из менеджера процессов в главное окно AVZ уже нет возможности, как и нет возможности завершить работу менеджера процессов.
Такая ситуация бывала не только с maslan, но и с некоторыми вариантами haxdoor, разве что код ошибки вроде другой возникал...
Теперь к сути пожелания: было бы здорово в случае описанной выше проблемы иметь возможность переключиться в главное окно AVZ, чтобы *отключить AVZ guard* или иметь возможность *это* сделать другим образом (из встроенных в AVZ средств мониторинга). Ибо нет ничего хуже зависшего AVZ с включенным AVZ guard...сами понимаете - почему. Приходится перезагружаться и терять время, начиная все по новой.

Код ошибки могу точно посмотреть при случае, если есть в этом необходимость. Да и лог от пребывания червя в системе могу предоставить. Правда, не сразу.

----------


## Alexey P.

Олег, господа буржуи очень просят ангельский хелп.
В частности, очень просит вот этот господин:
Mr. David H. Lipman
DLipman at Verizon.Net
David_H_Lipman at Yahoo.Com
 (Знакомая фамилия, много раз приходилось видеть его посты в антиспайварных форумах)

----------


## Зайцев Олег

*=XL=* 
Это явный баг и его нужно отловить.  maslan.b, на котором он проявляется, сохранился ? Если да, то тогда я могу воспроизвести ситуацию и поймать баг. Если нет, то полезно все остальное - код ошибки, логи ...
*to Alexey P.*
Хелп в 4.20 будет включен, можно и раньше - я не против, если отдать и черновой вариант - он на нашем FTP лежит

----------


## Alexey P.

Угу, насчет хелпа - спасибо, передал.
Этот баг точно есть на haxdoor, встречал на старых.
 Сейчас стал пробовать на новом - он, гадюка, вообще закрывает всю AVZ при попытке выгрузить маскируемый процесс виндового explorer-а.

----------


## XL

maslan на домашнем компе где-то валялся, пришлю! правда, он у меня в разобранном виде по-моему (уже проинсталенный в system32 в виде нескольких файлов), хотя могу ошибаться. Давно его уже у себя не культивировал. Тут админы на три дня нетбиосные порты между сегментами сети по недосмотру на циске нечаянно открыли, вот и понеслась дремавшая радость по городам и селам... =)
глупый вопрос в качестве оффтопа - а зачем Haxdoor'у маскировать виндусовый эксплорер?

----------


## Alexey P.

А у него модуль троянский внедрен, плюс в винлогон нотифайером.


```
1. Searching for rootkits and programs that intercept  API functions
1.1 Searching for user-mode API hooks
 Analysis kernel32.dll, export table found in section .text
 Analysis ntdll.dll, export table found in section .text
Function ntdll.dll:LdrLoadDll (70) intercepted, method APICodeHijack.JmpTo
 Analysis user32.dll, export table found in section .text
 Analysis advapi32.dll, export table found in section .text
 Analysis ws2_32.dll, export table found in section .text
 Analysis wininet.dll, export table found in section .text
Function wininet.dll:InternetConnectA (229) intercepted, method APICodeHijack.JmpTo
 Analysis rasapi32.dll, export table found in section .text
 Analysis urlmon.dll, export table found in section .text
 Analysis netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
 Driver is successfully loaded
 SDT found (RVA=082B80)
 Kernel ntoskrnl.exe located in the memory at the address 804D7000
   SDT = 80559B80
   KiST = 804E2D20 (284)
Function ZwCreateProcess (2F) intercepted (805B3543->F9DEB5D1), hook C:\WINDOWS\system32\seppgm.sys
Function ZwCreateProcessEx (30) intercepted (805885D3->F9DEB715), hook C:\WINDOWS\system32\seppgm.sys
Function ZwOpenProcess (7A) intercepted (8057459E->F9DEB356), hook C:\WINDOWS\system32\seppgm.sys
Function ZwOpenThread (80) intercepted (80597C0A->F9DEB2EB), hook C:\WINDOWS\system32\seppgm.sys
Function ZwQueryDirectoryFile (91) intercepted (80574DAD->F9DEB3CF), hook C:\WINDOWS\system32\seppgm.sys
Function ZwQuerySystemInformation (AD) intercepted (8057CC27->F9DEB977), hook C:\WINDOWS\system32\seppgm.sys
Functions checked: 284, intercepted: 6, restored: 0
 >>>> Process masking is detected 1780 c:\windows\explorer.exe
2. Scanning the memory
 Processes found: 19
 Modules loaded: 204
Memory check completed
3. Scanning disks
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors have been detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\seppgs.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\seppgs.dll>>> Behavioral analysis: 
 Typical for keyloggers behaviour is not registered
C:\Program Files\VMware\VMware Tools\hook.dll --> Suspicion for a Keylogger or Trojan DLL
C:\Program Files\VMware\VMware Tools\hook.dll>>> Behavioral analysis: 
  1. Reacts to events: keyboard, mouse, window events
C:\Program Files\VMware\VMware Tools\hook.dll>>> Neural network: file with probability 99.91% appears like a typical  keyboard/mouse events trap
Note: Do NOT delete suspicious files, send them for analysis  (see FAQ for more details),  because there are lots of useful hook DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
 In the database 319 port description
 Opened on this PC 7 TCP ports and 9 UDP ports
 >>> Pay attention: Port 16661 TCP - Backdoor.Haxdor.o ()
```

 VMware Tools\hook.dll - это и должно быть, остальное haxdoor-а работа.

----------


## AndreyKa

Может я что-то пропустил, но мне не понятно почему при попытке выполнить скрипт, сформированные на странице "исследования системы" выдается ошибка типа:
---
Ошибка скрипта: Undeclared identifier: 'DeleteFile', позиция [4:12]
---
в том случае, если были заданны файлы для удаления. Например:
---
 DeleteFile('c:\test.txt');
---

P.S. Кстати, пробежал глазами английский вариант справки AVZ. Там на странице General Information - Technical support как и в русском варианте говорится о разделе Помогите на этом сайте. То, что ссылка дана через слова "UNREGISTERED EVALUATION VERSION", наверное, получилось не нарочно.  :Smiley:  Но смогут ли в принципе англоязычные товарищи хотя-бы зарегестрироваться на сайте? Есть ли вообще смысл упоминать его в переводе?

----------


## Alexey P.

Что-то не нашел - а удалить отложенным способом известные мне, но невидимые из поиска файлов в AVZ файлы никак нельзя ?
 Как в Avenger-е - вводишь для него скрипт с указанием имен файлов, перезагружаешься и ладушки.

ЗЫ: Файлы для этого haxdoor я вижу в отчете adinf32, а вот удалить их из AVZ не могу. Видимо, надо Avenger.

----------


## Alexey P.

Сюда можно писать и без регистрации.

----------


## Зайцев Олег

> Угу, насчет хелпа - спасибо, передал.
> Этот баг точно есть на haxdoor, встречал на старых.
>  Сейчас стал пробовать на новом - он, гадюка, вообще закрывает всю AVZ при попытке выгрузить маскируемый процесс виндового explorer-а.


Да, я изучил новый Haxdoor - он детектирует AVZ и блокирует загрузку его драйвера. Плюс убиение процесса, пытающегося что-то сделать с маскируемыми процессами. Новый антируткит AVZ его давит без проблем, он войдет в версию 4.20.
*to AndreyKa* 
DeleteFile не поддерживается в 4.19, это мой недосмотр... Просто в генератор в HTML логе я внес эту команду, а в публичный скрипт-движок - забыл. А левая подпись на ссылке virusinfo - это кривизна сборки хелпа, я исправлю ее. Просто хелп собирался не мной, и применялась триальная версия редактора - вот отсюда и глюки

----------


## Зайцев Олег

> Что-то не нашел - а удалить отложенным способом известные мне, но невидимые из поиска файлов в AVZ файлы никак нельзя ?
>  Как в Avenger-е - вводишь для него скрипт с указанием имен файлов, перезагружаешься и ладушки.
> 
> ЗЫ: Файлы для этого haxdoor я вижу в отчете adinf32, а вот удалить их из AVZ не могу. Видимо, надо Avenger.


Можно - вставить файл в текстовое поле в диалоге выбора файла. Кстати, диалог отложенного удаления в 4.20 я перелаю - вместо системного диалога будет свой, с полем ввода любого умени файла вручную.

----------


## Alexey P.

> Можно - вставить файл в текстовое поле в диалоге выбора файла.


 Пробовал - пишет, что файл не найден. Угу, но я-то знаю - он есть.




> Кстати, диалог отложенного удаления в 4.20 я перелаю - вместо системного диалога будет свой, с полем ввода любого имени файла вручную.


 Угу, хорошо. И пусть тогда не проверяет наличие файла, просто запишет в отложенное удаление и все. Ничего страшного в этом вроде не предвидится.

----------


## Alexey P.

Немного юмора - AVZ, оказывается, умудряется собирать данные с GoldSpy на зараженной машине:


```
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\pasksa.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\pasksa.dll>>> Behavioral analysis: 
 Typical for keyloggers behaviour is not registered
C:\WINDOWS\system32\obbf115.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\obbf115.dll>>> Behavioral analysis: 
  1. Reacts to events: keyboard
  2. Passes data to the process: 364 C:\avz4\avz.exe (window = "Antivirus utility. Zaytsev Oleg, 2003 -2006")
  3. Works with the file: \\.\obbf117
  4. Works with the file: c:\windows\system32\obbf115.dll
  5. Works with the file: c:\windows\system32\drivers\dxr7.is49
  6. Works with the file: c:\windows\system32\dx0.is49
  7. Works with the file: c:\windows\system32\drivers\dxr8.is49
  8. Works with the file: \\.\obbf117
  9. Works with the file: c:\windows\system32\obbf115.dll
  10. Works with the file: c:\windows\system32\drivers\dxr7.is49
  11. Works with the file: c:\windows\system32\dx0.is49
  12. Works with the file: c:\windows\system32\drivers\dxr8.is49
  13. Determines the window that has the input focus
  14. Polls the keyboard state
  15. Polls active keyboard layout
  16. Polls the key name
  17. Determines ASCII codes by key codes
C:\WINDOWS\system32\obbf115.dll>>> Neural network: file with probability 1.65% appears like a typical  keyboard/mouse events trap
Note: Do NOT delete suspicious files, send them for analysis  (see FAQ for more details),  because there are lots of useful hook DLLs
```

 Явно тырит награбленное у разбойников  :Smiley: . Али-Баба.

----------


## MedvedD

Глюк АВЗ ? Исследовал ноутбук, нашёл  вот этот руткит - http://virusinfo.info/showpost.php?p=78465&postcount=94
удалил, но остался странный модуль пространства ядра из прилагаемого avz_sysinfo - у него нет файла, нет имени, но есть длинна.
Это не остатки ли руткита?

----------


## Зайцев Олег

> Глюк АВЗ ? Исследовал ноутбук, нашёл  вот этот руткит - http://virusinfo.info/showpost.php?p=78465&postcount=94
> удалил, но остался странный модуль пространства ядра из прилагаемого avz_sysinfo - у него нет файла, нет имени, но есть длинна.
> Это не остатки ли руткита?


Это который по базовому адресу F8704000, вместо имени прочерк, размер в памяти 98304 байт ? Да, это странный модуль - модуль в памяти есть, а имени у него нету ... (это длина занимаемой области памяти, а не файла на диске). Варианты такие:
1. Глюк AVZ 
2. В списке видно два драйвера от StarForce - может, это они шалят
3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)
4. В исследовании можно выбрать "показывать все службы и драйверы" - может быть, тогда всплывет информация о звере

----------


## drongo

Олег , я тут посмотреть решил ревизор диска твой . не работает . Создаёт файл , однако когда жмёшь на проверку , говорит ошибка , файла нет (указывает путь к файлу , но его не видит .)
Версия английская .4.19

----------


## Зайцев Олег

> Олег , я тут посмотреть решил ревизор диска твой . не работает . Создаёт файл , однако когда жмёшь на проверку , говорит ошибка , файла нет (указывает путь к файлу , но его не видит .)
> Версия английская .4.19


Должен видеть - в поле File нужно указать полное имя FRZ файла (т.е. типа C:\avz4en\Revizor\2006-08-29.frz). Тогда все должно сработать ... (выбор файла производится при нажатии кнопки в поле ввода имени файла, по умолчанию в этом поле только путь по умолчанию)

----------


## aintrust

> Это который по базовому адресу F8704000, вместо имени прочерк, размер в памяти 98304 байт ? Да, это странный модуль - модуль в памяти есть, а имени у него нету ... (это длина занимаемой области памяти, а не файла на диске). Варианты такие:
> 1. Глюк AVZ


Нет, это не глюк, его все утилиты так "показывают".  :Wink:   Это на самом деле драйвер _atapi.sys_ (если мне не изменяет память).




> 3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)


Ага, именно клавиатурный фильтр от какой-то из поставляемых вместе с ноутом утилит от HP (ведь речь идет о ноуте, насколько мне помнится?). Да, уточнил - действительно, это компонента утилиты '_Quick Launch Buttons_'.

PS. Кстати, информацию о _...\System32\Drivers\dump_atapi.sys_ и _...\System32\Drivers\dump_WMILIB.SYS_ тоже, видимо, не стоит показывать пользователю в неопознанных "Модулях простанства ядра" - это ведь на самом деле _...\System32\Drivers\atapi.sys_ и _...\System32\Drivers\WMILIB.SYS_ соответственно.

----------


## MedvedD

aintrust, Олег - спасибо за разьяснения. Это, видимо, DaemonTools так блокирует atapi.sys ? Дома проверю на Алкоголь 120 %, может это так и есть.
А про dump_ драйверы - это полезное уточнение, тоже спасибо.

----------

(klif.sys  . )  "" ?

----------

?     ,               Anti-Malware.ru:

----------

> (klif.sys  . )  "" ?


  -      :Smiley:         ,              ,  virusinfo      ...

----------

,    -       HTTP  ,           ,

----------


## Xen

> HTTP


[offtopic]
     ?
[/offtopic]

----------


## Sel

,          ,  -  ,     "  IE"

----------

> [offtopic]
>      ?
> [/offtopic]


    ?  :Smiley:          ADSL,   0.10$  .  1  = 0.1*1024 = 102$ ... 2  -  200$.    ...

----------


## Surfer

,      /.
  19 AVZ  11  :Smiley:

----------


## MedvedD

-     6   -  ,     ..  :Sad:

----------

> ,      /.
>   19 AVZ  11


  -     ,         AVZ (     main*.avz,       ).

----------

> ,      .
>  ,     :
> Mr. David H. Lipman
> DLipman at Verizon.Net
> David_H_Lipman at Yahoo.Com
>  ( ,         )


       -       ,  "Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization", ISBN = 1931769591 (. ),      AVZ                  .       .           .

----------


## MOCT

> -       ,  "Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization", ISBN = 1931769591 
> 
>        .           .


!
    ?

----------

> !
>     ?


.      -  ,     -         amazon,    .

----------


## MOCT

> -  ,     -         amazon,    .


"   ,   - "

----------


## Xen

,   , . .

   - !   ,    ... =)       =))

----------

> ,   , . .
> 
>    - !   ,    ... =)       =))


 !.        - . http://virusinfo.info/showthread.php?p=78671

----------


## Sel

**     AVZ  http://www.anti-malware.ru/index.pht...rootkits#part3

----------

> **     AVZ  http://www.anti-malware.ru/index.pht...rootkits#part3


 -     ,     :  http://virusinfo.info/showthread.php?t=6115

----------


## *Cool Cat

_________    !

   ": " 
   , :

1)  "" 

* "  :"
* " :"

2)  ""
>  "" >  ""

* " (   ):"
____________________
    ,     ,     AVZ   (.. Win9 :Cool: ,           ,       15    (. ),    3     (  ).
    * "  :",  ,    AVZ            .
 :Smiley: 

 !!!
  ,   ,   .

----------


## Surfer

,   CHM   hlp -        GID/FTS/ANN

----------

> ,   CHM   hlp -        GID/FTS/ANN


     CHM,   AVZ  ,   9X -   CHM  .    CHM-      (  AVZ    HLP,  CHM)

----------


## Зайцев Олег

> Олег поздравляю!!!
> с выходом книги, желаю дальнейшего развития, всех твоих проектов.


Спасибо !
По поводу глюков с отображением - я поэкспериментирую с различными размерами шрифтов, чтобы поймать глюки.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Surfer

> Я думал сделать справку в CHM, но у AVZ куча пользователей, работающих под 9X - там с CHM будут проблемы. Я могу выложить CHM-справку как опциональный файл для загрузки (а сам AVZ научить искать и HLP, и CHM)


Хмм , по идее не должно..
Вроде там нужен только IE 4 - неужели кто-то до сих пор сидит за третим ?  :Cheesy:

----------


## NickGolovko

Олег, здравствуйте.. возможно, уже был вопрос, но я лично не нашел.  :Smiley:  Нет ли в планах монитора?

----------


## NickGolovko

И еще хотел бы спросить: почему AVZ не видит SoftForYou Keylogger как Keylogger (и к тому же не видит его библиотеки при сканировании папки с ними)?

----------


## AndreyKa

> И еще хотел бы спросить: почему AVZ не видит SoftForYou Keylogger как Keylogger (и к тому же не видит его библиотеки при сканировании папки с ними)?


Видеть то видит но не узнает.  :Smiley:  Скорее всего, так как Олегу его еще никто не прислал.
PS. Как я понял, речь об этом:
http://www.free-keylogger.com/php_dir/download/klg.exe

----------


## Зайцев Олег

> Видеть то видит но не узнает.  Скорее всего, так как Олегу его еще никто не прислал.
> PS. Как я понял, речь об этом:
> http://www.free-keylogger.com/php_dir/download/klg.exe


Этот вроде определяется:



> C:\WINDOWS\system32\sfklg.dll --> Подозрение на Keylogger или троянскую DLL
> C:\WINDOWS\system32\sfklg.dll>>> Поведенческий анализ: 
>   1. Реагирует на события: клавиатура, мышь, оконные события, все события
>   2. Выясняет, какое окно находится в фокусе ввода
>   3. Опрашивает состояние клавиатуры
>   4. Опрашивает активную раскладку клавиатуры
>   5. Определяет ASCII коды по кодам клавиш
> C:\WINDOWS\system32\sfklg.dll>>> Нейросеть: файл с вероятностью 99.50% похож на типовой перехватчик событий клавиатуры/мыши

----------


## NickGolovko

Мгм. Странно, у меня не видит (4.19 rus)  :Huh: 

Или вы по 4.20 проверяете?

----------


## Зайцев Олег

> Мгм. Странно, у меня не видит (4.19 rus) 
> 
> Или вы по 4.20 проверяете?


Нет - я проверял тот файл по ссылке из поста №105. На него реагирует 4.19 и в исследовании системы эта DLL видна в адресном пространстве всех GUI процессов. Может быть, этот кейлоггер не активен или мы говорим о разных кейлоггерах ?

----------


## NickGolovko

Библиотека та самая, sfklg.dll или что-то в этом роде. Хмм.. В понедельник попробую воспроизвести в немного других условиях..

----------


## Sel

Можно ещё одно предложение. нельзя ли сделать кнопку обновление на основную панель, чтобы каждый раз не заходить в панель задач. Спасибо.

----------


## Surfer

Заметил ОЧЕНЬ неприятный баг - если AVZ в трее и уровень проверки на максимуме , то при проверке может бесконечно разворачиваться/сворачиваться текущее окно (например Firefox начинает разворачиваться на полный экран - что-то вроде кнопки F11)

----------


## Зайцев Олег

> Заметил ОЧЕНЬ неприятный баг - если AVZ в трее и уровень проверки на максимуме , то при проверке может бесконечно разворачиваться/сворачиваться текущее окно (например Firefox начинает разворачиваться на полный экран - что-то вроде кнопки F11)


В 4.20 его уже не будет ... это связано с поведенческим антикейлоггером, в частности с эмуляцией клавиатурного ввода. 4.20 ожидается в ближайшее время - я все сдвигаю сроки выхода новой версии, так как новшеств там много и я хочу оттестировать ее как следует.

----------


## MedvedD

> Заметил ОЧЕНЬ неприятный баг - если AVZ в трее и уровень проверки на максимуме , то при проверке может бесконечно разворачиваться/сворачиваться текущее окно (например Firefox начинает разворачиваться на полный экран - что-то вроде кнопки F11)


Видел такое два раза, но повторить не смог.

----------


## Зайцев Олег

> Можно ещё одно предложение. нельзя ли сделать кнопку обновление на основную панель, чтобы каждый раз не заходить в панель задач. Спасибо.


Можно - я добавлю такую кнопку (если конечно я найду подходящую иконку для нее  :Smiley:  )

----------


## Беляк

Если Вы планируете создать монитор, то голосую за возможность создавать список каталогов/файлов для защиты их от открытия них, удаления, копирования и т.п. Чтобы вирус с ними ничего не смог сделать, ну и для злодеев всяких препятствие.

----------


## Зайцев Олег

> Если Вы планируете создать монитор, то голосую за возможность создавать список каталогов/файлов для защиты их от открытия них, удаления, копирования и т.п. Чтобы вирус с ними ничего не смог сделать, ну и для злодеев всяких препятствие.


Монитор и проактивка планируются, есть пара опытных вариантов (кстати, собственно AVZ Guard и есть урезанный прототип монитора - просто вместо принятия решения разрешить/запретить там жестко приписано "запретить все и всем").

----------


## anton_dr

> *anton_dr*
> Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси


Вернемся к нашим баранам ?  :Smiley:

----------


## Shu_b

> Вернемся к нашим баранам ?


присоединяюсь, так же могу потестить на доступ через ISA c NTLM

----------


## Зайцев Олег

> присоединяюсь, так же могу потестить на доступ через ISA c NTLM


Сделаю, сделаю ...

----------


## Зайцев Олег

*Вышла новая версия AVZ - 4.20*


13.09.2006  Архив с утилитой содержит базу вирусов *от 13.09.2006 41561 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики,  51541 подпись безопасных файлов* 
Список доработок и модификаций: 
[++] Новый менеджер - "Менеджер апплетов панели управления (CPL)". Подключен к автокарантину и исследованию системы 
[++] Новая подсистема AVZ - прямое чтение диска. Позволяет сканеру AVZ проверять заблокированные файлы. Эта подсистема 
подключена к карантину, что позволяет капировать заблокированные файлы в карантин 
[++] Kernel-Mode код AVZ перемещен в AV базу, что позволяет обновлять его без обновления самого AVZ. Драйвера устанавливаются в систему только по мере необходимости, причем имя драйвера уникально для каждого ПК. В момент закрытия AVZ драйвера автоматически удаляются. 
[++] Антируткит - подавление перехватчиков KiST, обладающих средствами восстановления перехвата 
[++] Антируткит - проверка и восстановление таблицы IAT процесса AVZ 
[++] Антируткит - проверка таблицы прерываний (в рамках каждого из процессоров) 
[++] Антируткит - проверка и восстановление SYSENTER (в рамках каждого из процессоров) 
[++] Проверка содержимого MSI инсталляций и объектов, хранящихся в OLE контейнерах (документах, базах Access, презентациях) 
[+] Передалан диалог отложенного удаления файла 
[+] Новые команды скриптового языка: удаление каталогов и файлов 
[+] Множество мелких доработок и модификаций 

Новая версия не совместима по базам с 4.xx, поэтому старые версии нужно обновить до 4.20

----------


## Exxx

При распаковке архива Dr.Web выдал:


```
...Temp\Rar$DR01.875\avz4\avz.exe - , возможно, инфицирован DLOADER.Trojan
```

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

> Вышла новая версия AVZ - 4.20


А скачать это счастье можно как обычно, с сайта Олега
http://z-oleg.com/secur/avz/download.php

----------


## Зайцев Олег

> При распаковке архива Dr.Web выдал:
> 
> 
> ```
> ...Temp\Rar$DR01.875\avz4\avz.exe - , возможно, инфицирован DLOADER.Trojan
> ```


В суд что-ли на них подать ?  :Smiley:  А на какой вариант он ругается - на русский или на английский вариант ?

----------


## Exxx

> В суд что-ли на них подать ?  А на какой вариант он ругается - на русский или на английский вариант ?


На русский http://www.virustotal.com/vt/en/resu...a9c47818ac205a

Сейчас проверил, он и про английскую версию тоже самое выдаёт:
"...\avz4en\avz.exe - , возможно, инфицирован DLOADER.Trojan"

----------


## Зайцев Олег

Надоели они мне ... неужели в собственно вирлабе порядок навести не могут, это же уже далеко не первая итерация .... Вот мое письмо в их саппорт:




> Добрый день !
> 
> Разберитесь пожалуйста с ложными срабатываниями Вашего антивируса. Срабатывания идет на антивирусную утилиту AVZ, я являюсь ее автором. У данного продукта десятки тысяч пользователей и ложное срабатывание Вашего продукта приводит к шквалу писем в техническую поддержку.
> 
> Пример проверки для версии 4.20 - http://www.virustotal.com/vt/en/resultadof?b8dea2e91f0a381dc0a9c47818ac205a
> Сайт утилиты - http://z-oleg.com/secur/avz/
> 
> Это срабатывания далеко не первое и уже выработалась пагубная тенденция - по идее неплохо бы дать сообщение о ложном срабатывании на Вашем сайте, поскольку я получил только сегодня более сотни писем с недоуменными вопросами, и разобраться наконец с данной "эвристикой".


Самое пакостное в том, что народ сейчас обновляет версию и посыпался настоящий шквал вопросов, уведомлений, ругательств ... Интересно, что они ответят и ответят ли вообще.

----------


## MOCT

> Самое пакостное в том, что народ сейчас обновляет версию и посыпался настоящий шквал вопросов, уведомлений, ругательств ... Интересно, что они ответят и ответят ли вообще.


в суд надо подавать. за подрыв деловой репутации.

----------


## MacHine

Всем добрый день!
Сегодня (13/09  17:30) решил обновить базу AVZ (версия 4.1 :Cool: , мне в ответ нужно обновить сам AVZ до версии 4.20. Захожу на сайт, а в разделе "Скачать" только ссылка на базы 4.20. Самого AVZ 4.20 нет и в помине!
Может я чего-то не понимаю или что-то у вас не так?

----------


## AndreyKa

> В суд что-ли на них подать ?  А на какой вариант он ругается - на русский или на английский вариант ?


Формально эвристик DrWeb прав, так как AVZ действительно скачивает из сети обновления.
Продуктивных пути решения этой проблемы на мой взгляд два:
1. Паковать AVZ криптером.
2. Отправлять в вирлаб DrWeb новую версию AVZ до размещения ее в сети для общего доступа.

----------


## Зайцев Олег

> Всем добрый день!
> Сегодня (13/09  17:30) решил обновить базу AVZ (версия 4.1, мне в ответ нужно обновить сам AVZ до версии 4.20. Захожу на сайт, а в разделе "Скачать" только ссылка на базы 4.20. Самого AVZ 4.20 нет и в помине!
> Может я чего-то не понимаю или что-то у вас не так?


Что-то тут не так - http://www.z-oleg.com/secur/avz/download.php, там табличка на два столбца - слева описание, справа - сслыки. Может, окно браузера очень маленькое по горизонтали ?

----------


## Зайцев Олег

> Формально эвристик DrWeb прав, так как AVZ действительно скачивает из сети обновления.
> Продуктивных пути решения этой проблемы на мой взгляд два:
> 1. Паковать AVZ криптером.
> 2. Отправлять в вирлаб DrWeb новую версию AVZ до размещения ее в сети для общего доступа.


DrWeb тоже скачивает из сети обновления, но себя то он не детектирует  :Smiley:

----------


## fp_post

Вечер добрый.
*Олег*,
примите поздравления по случаю выхода новой версии!
Описанные нововведения выглядят очень неплохо

Если разрешите, пару поверхностных замечаний:
- для Cpl-апплетов, наверное, стоит учитывать пути в
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Con  trol Panel\Cpls];
- мелочь по интерфейсу:может добавить закрытие модальных окон по Esc?

----------


## drongo

1. Паковать AVZ криптером ,только самодельным и никому не давать код раскодирования  :Smiley: 
Меньше головной боли по моему  :Smiley:

----------


## userr

Олег у меня при запуске "avz.exe ag=y" на некоторых машинах вываливается с ошибкой

----------


## Белиал

Блин!! Новая версия AVZ конфликтует с Punto SWITCHER 2.9 (Программа Punto Switcher предназначена для автоматического переключения раскладки клавиатуры).
Запускаю AVZ, проверяю что-нибудь (оперативку), и после этого punto перестает переключать раскладку автоматически! 
Нужно выгрузить punto, а потом опять запустить и она опять заработает (конечно, до следующего запуска AVZ!).

Это крайне не удобно. Версия 4.19 так не шалила.

----------


## Muffler

У меня после иследования системы вылазит окно "Протокол успешно сохранен. Вы хотите его посмотреть?" и когда я нажымаю "Да" - после этого ничего не происходит...

----------


## Sel

Спасибо за новую версию AVZ.
И спасибо за статью на СофтМайл http://soft.mail.ru/interview_page.php?id=55

----------


## santy

Олег, может быть, имеет смысл вводить список настраиваемых параметров - например: полное имя лог-файла, проверять наличие обновления при загрузке программы (удобно для работающих простояннно в сети) и т.д.?

----------


## Sel

> Блин!! Новая версия AVZ конфликтует с Punto SWITCHER 2.9 (Программа Punto Switcher предназначена для автоматического переключения раскладки клавиатуры).
> Запускаю AVZ, проверяю что-нибудь (оперативку), и после этого punto перестает переключать раскладку автоматически! 
> Нужно выгрузить punto, а потом опять запустить и она опять заработает (конечно, до следующего запуска AVZ!).
> 
> Это крайне не удобно. Версия 4.19 так не шалила.


Прверил с новой AVZ у меня Punto SWITCHER без проблем продолжила работать с установленными настройками, в том числе и автоматическое переключение раскладки клавиатуры.

----------


## Зайцев Олег

> Прверил с новой AVZ у меня Punto SWITCHER без проблем продолжила работать с установленными настройками, в том числе и автоматическое переключение раскладки клавиатуры.


Я тоже не поленился проверить 
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ: 
  1. Реагирует на события: клавиатура, мышь, оконные события
  2. Выясняет, какое окно находится в фокусе ввода
  3. Опрашивает состояние клавиш
  4. Опрашивает состояние клавиатуры
  5. Опрашивает активную раскладку клавиатуры
  6. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши

Это выдается в случае отключения базы безопасных ... До и после сканирования автопереключение раскладки клавиатуры в Punto Switcher срабатывает без всяких проблем

----------


## pig

Punto, бывает, и без помощи AVZ заклинивает.

----------


## Белиал

Значит punto только у меня после работы новой  AVZ глючит. 
Еще вот что выяснил: [параметры поиска] --> снимаем галочку с [Поиск клав. перехв.] и тогда все прекрасно, punto работает.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC unreg

В английской версии у меня не работают скрипты встраиваемые в отчет "исследование системы".

----------


## Зайцев Олег

> В английской версии у меня не работают скрипты встраиваемые в отчет "исследование системы".


надо будет проверить ...

Сегодня ежедневное обновление базы немного необычное - добавлено 7 тыс. зловредов, причем отлов/добавление/анализ/контроль ложных срабатываний производились без участия человека, на полной автоматике. В связи с этим есть просьба потестировать, нет ли ложняков или глюков. Их быть не должно, но тем не менее ... По результатам первого запуска возникла другая проблема - имеется тьма зловредов, которые детектированы как зловред, но не ловятся KAV. Мое именование зверей привязано к их классификации... В связи с этим есть предложение подискутировать о классификации и именовании таких зверей

----------


## Juri

:Huh:  На странице обновления до V 4.20- русский вариант упорно сажает v.4.19, англояз-ый садит 4.20.

----------


## Зайцев Олег

> На странице обновления до V 4.20- русский вариант упорно сажает v.4.19, англояз-ый садит 4.20.


Я специально проверил - 4.20 по обоим ссылкам. Вывод - или avz4.zip прокеширован прокси-сервером, или качается некоей утилитой докачки, которая пытается искать зеркала и некорретно это делает.

----------


## userr

Олег, как же все-таки запуск с авгуардом "avz.exe ag=y" ? У меня ни на одной машине нормально не работает  :Sad:  4.19 работала

----------


## Alex Plutoff

-в одной из тем в разделе помогите я предложил воспользоваться алгоритмом: 
*AVZ > Включить AVZGuard > Файл > Отложенное удаление > Укажите C:\Documents and Settings\All Users\Документы\Settings\arm32.dll > Ok > не выключая AVZGuard перегрузите Ваш ПК*... но как выяснилось такой алгоритм в AVZ 4.20 не работает...
-с целью проверить его работоспособность, я попытался на своём ПК удалить отложенным удалением C:\Program Files\Winamp\winampa.exe(агент Winamp`а, висит в трее и поддерживает файловые ассоциации плеера), но ничего не получилось, т.е. не удалось файл удалить... 
-попробовал, так, на всякий случай, *AVZ > Сервис > Поиск файлов на диске > Удалить отмеченные файлы > Удаление файлов и эвристическая чистка ссылок на них в системе + Копировать удаляемые файлы в карантин > Ok* 
в результате, AVZ выдал протокол:
*>>>Для удаления файла C:\Program Files\Winamp\winampa.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\Curr  entVersion\Run,WinampAgent,C:\Program Files\Winamp\winampa.exe*, а после перезагрузки файл был успешно удалён...
-что это баг в AVZ 4.20 или я что-то сделал не так?

----------


## aleksdem

Подскажите, пожалуйста, почему уменя в 4.19 и 4.20 на вкладке Ревизор-Создание базы нет кнопки Пуск , или файл \avz4\Revizor\2006-09-16.frz создаётся как-то подругому?

----------


## Зайцев Олег

> Подскажите, пожалуйста, почему уменя в 4.19 и 4.20 на вкладке Ревизор-Создание базы нет кнопки Пуск , или файл \avz4\Revizor\2006-09-16.frz создаётся как-то подругому?


Кнопка пуск должна быть... а какие у вас настройки экрана и шрифтов (проще скриншот этого окна прислать мне для изучения).

----------


## [email protected]

Олег, когда будет сделанна защите от правки процессом своего пути к EXEшнику.

----------


## aleksdem

Нет кнопки, вот скриншот:

----------


## Зайцев Олег

> -в одной из тем в разделе помогите я предложил воспользоваться алгоритмом: 
> *AVZ > Включить AVZGuard > Файл > Отложенное удаление > Укажите C:\Documents and Settings\All Users\Документы\Settings\arm32.dll > Ok > не выключая AVZGuard перегрузите Ваш ПК*... но как выяснилось такой алгоритм в AVZ 4.20 не работает...
> -с целью проверить его работоспособность, я попытался на своём ПК удалить отложенным удалением C:\Program Files\Winamp\winampa.exe(агент Winamp`а, висит в трее и поддерживает файловые ассоциации плеера), но ничего не получилось, т.е. не удалось файл удалить... 
> -попробовал, так, на всякий случай, *AVZ > Сервис > Поиск файлов на диске > Удалить отмеченные файлы > Удаление файлов и эвристическая чистка ссылок на них в системе + Копировать удаляемые файлы в карантин > Ok* 
> в результате, AVZ выдал протокол:
> *>>>Для удаления файла C:\Program Files\Winamp\winampa.exe необходима перезагрузка
> Автоматическая чистка следов удаленных в ходе лечения программ
> [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\Curr  entVersion\Run,WinampAgent,C:\Program Files\Winamp\winampa.exe*, а после перезагрузки файл был успешно удалён...
> -что это баг в AVZ 4.20 или я что-то сделал не так?


Все должно работать ... если  не работает, то это баг ... я сегодня проведу детальные тесты, чтобы разобраться, что к чему ...

----------


## aleksdem

Олег, так куда же у меня делась кнопка Пуск, подскажите, пожалуйста.

----------


## Зайцев Олег

> Олег, так куда же у меня делась кнопка Пуск, подскажите, пожалуйста.


Странно - вроде шрифты и размеры нормальные - но кнопок Пуск и Стоп нет ... парадокс, надо попробовать симулировать такую ситуацию.

----------


## Surfer

> Все должно работать ... если  не работает, то это баг ... я сегодня проведу детальные тесты, чтобы разобраться, что к чему ...


А мне кажется это немного лишняя фича - Unlocker справляется с этой задачей намного лучше.

----------


## Alex Plutoff

> А мне кажется это немного лишняя фича - Unlocker справляется с этой задачей намного лучше.


-и Unlocker, и Avenger, и найдутся ещё, которые сумеют более или менее успешно удалить заблокированные объекты из системы, но после них приходится реестр чистить... а вот AVZ пытается это делать сама, посредством эвристической чистки  :Cheesy:

----------


## NickGolovko

При проверке правила для Tiny Firewall AVZ попала под запрет обращения к службе Телефония. В результате, несмотря на наличие доступа ко всем остальным службам, скрипт поиска и нейтрализации руткитов выдал ошибку доступа и отказался выполняться. Это ByDesign? Возможно пропускать службы, к которым нет доступа, и просто писать об этом в протоколе? Получается, обыкновенный хук на службу, да еще из UserMode, может завалить антируткит..

----------


## Xen

А что значит сия запись в логе:



```
3. Сканирование дисков
Прямое чтение C:\TEMP\JET9F6C.tmp
```

?

----------


## Зайцев Олег

> При проверке правила для Tiny Firewall AVZ попала под запрет обращения к службе Телефония. В результате, несмотря на наличие доступа ко всем остальным службам, скрипт поиска и нейтрализации руткитов выдал ошибку доступа и отказался выполняться. Это ByDesign? Возможно пропускать службы, к которым нет доступа, и просто писать об этом в протоколе? Получается, обыкновенный хук на службу, да еще из UserMode, может завалить антируткит..


Скорее всего какой-то глюк и конфликт Tiny и AVZ. Какой версии Tiny и есть прямая ссылосчка на эту версию - нужно потестировать, такого быть вообще-то не должно - надо разбираться. 
Во вторник выходит версия 4.20.X -  это версия 4.20, в которой подправлен ряд багов, связанных с новыми фичами - переделанным антируткитом, измененным отложенным удалением и т.п.
*to Xen*
Это означает, что AVZ решил просканировать этот файл, а он открыт с монoпольным доступом, или сканируемый регион файла заблокирован, или еще что-то мешает открытию файла. В этом случае начиная  с версии 4.20 AVZ читает файл напрямую с диска посекторно, в этом случае естетсвенно никакая блокировка на уровне ОС не мешает анализу файла

----------


## ЗА-ЯЦ!

Похоже, какие-то проблемки с новой версией есть. Во время сканирования слышен характерный звук срабатывания PUNTO SWITCHER, но ничего не происходит,  работоспособность P.S. не нарушается, прога как вредная не  определяется. Был случай выключения AVZ во время сканирования, при проверки видеофайла, уперся и стоял на месте чуть более 4 минут. Загрузка процессора увеличилась (субъективно) раза в полтора, но это ладно. Заподозрив некую кривость в установке, переустановил AVZ, предварительно почистив реестр, самовыключения прекратились. Дальше посмотрим. Общие впечатления от программы- самые лучшие.

----------


## NickGolovko

Олег, пожалуйста:http://www.tinysoftware.com/home/tiny2/tf65 Прямая ссылка. Профессиональная версия на месяц.Могу прислать политику  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## NickGolovko

P.S. Скажу пока пару слов о Tiny и AVZ. Tiny - весьма мощная HIPS, мой основной защитник, и я иногда проверяю работу его политик, сталкивая его с AVZ и наблюдая, кто кого задавит. =) Раньше я не мог справиться, к примеру, с 4.19 - скрипт поиска и нейтрализации + AVZGuard, и можно было, к примеру, вопреки политике Tiny загасить любой процесс, так как хука на подгрузку драйвера у Tiny нет. Теперь же AVZ ничего не может сделать с Tiny, так как мое "антируткитное" правило запрещает создание драйверов...  :Smiley:

----------


## NickGolovko

Еще веселый глюк (правда, не знаю, воспроизведется ли, быть может, это остатки моих баталий между Tiny и AVZ  :Smiley:  ).

Запускаем AVZ 4.20, включаем AVZGuard, выключаем его (чтоб драйвер создался и удалился), выполняем скрипт поиска и нейтрализации руткитов, закрываем AVZ (чтоб второй драйвер также создался и удалился). Выключаем машину, включаем ее снова. После загрузки аккаунта Windows радостно сообщает, что обнаружено неизвестное устройство, после чего запускается мастер установки оборудования, который пытается обраружить и установить драйвер для этого устройства.  :Smiley:  Естественно, у него ничего не выходит, и он вывешивает баллун, что устройство может работать неправильно. В Диспетчере устройств возникает раздел Другие устройства, в котором содержится неопознанное устройство (желтый знак вопроса с восклицательным знаком) под названием Неизвестное устройство. После его удаления при последующем включении не воспроизводится.  :Smiley:

----------


## прохожий

"...6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем"

Это нармально?
+ место с харда мегов пропало,что даже оутпосту не хватило для записи журнала

----------


## NotRegistered

> "...6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>  Проверка отключена пользователем"
> 
> Это нармально?
> + место с харда мегов пропало,что даже оутпосту не хватило для записи журнала


Это никак. Поскольку не воспроизводится. Наверное единичный глюк на конкретной системе, то же относится и к "весёлому глюку" описаного NickGolovko

----------


## Exxx

> "...6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>  Проверка отключена пользователем"
> 
> Это нармально?


А Вы собственно ставили соответствующую галочку в "параметрах поиска"? Потому как по умолчанию проверка портов отключена  :Wink:

----------


## Dime3us

Только что скачал AVZ 4.20, и почему-то не получается обновить базы. Пробовал менять настройки, вообще отключать стенку, всеравно не хочет обновлятся. Еще при попытке автодобавления в карантин вылезает старая, уже почти забытая ошибка.

----------


## userr

> Только что скачал AVZ 4.20, и почему-то не получается обновить базы. Пробовал менять настройки, вообще отключать стенку, всеравно не хочет обновлятся.Еще при попытке автодобавления в карантин вылезает старая, уже почти забытая ошибка.


а если просто набрать в браузере http://avz.virusinfo.info/avz_up/avzupd.zip ?

----------


## Dime3us

> а если просто набрать в браузере http://avz.virusinfo.info/avz_up/avzupd.zip ?


Предлагает сохранить avzupd.zip размером 1.1 кб. В нем только file.dta

----------


## anton_dr

Во встроенной справке есть пункт "нешних скриптов управления". Как мне кажется, там что-то пропущено?

----------


## aintrust

> ...
> Запускаем AVZ 4.20, включаем AVZGuard, выключаем его (чтоб драйвер создался и удалился), выполняем скрипт поиска и нейтрализации руткитов, закрываем AVZ (чтоб второй драйвер также создался и удалился). Выключаем машину, включаем ее снова. 
> ...


Известный глюк. Часто проявлялся раньше, когда драйвер AVZGuard создавался, стартовал и убивался посредством SCM. Вполне вероятно, что в данном случае это как-то связано с Tiny, но может быть и нет. 

В общем, ждем статистику, чтобы сделать выводы...  :Wink:

----------


## aintrust

> "...6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>  Проверка отключена пользователем"
> 
> Это нармально?
> + место с харда мегов пропало,что даже оутпосту не хватило для записи журнала


Это н*а*рмально, если вы не включали эту проверку в "Параметры поиска" -> "Поиск портов TCP/UDP троянских программ". В версии 4.20 она по-умолчанию отключена!

Насчет "место с харда мегов пропало" я ничего не понял - видать у меня с русским языком нелады...  :Sad:

----------


## прохожий

> Это н*а*рмально, если вы не включали эту проверку в "Параметры поиска" -> "Поиск портов TCP/UDP троянских программ". В версии 4.20 она по-умолчанию отключена!(


Пардон,не посмотрел.




> Насчет "место с харда мегов пропало" я ничего не понял - видать у меня с русским языком нелады...


Я имел ввиду что скажем было 1.5 гига в с,стало мегов 600.
Видимо это связано с тем что авз не по детски зависает.Даже при проверки одного лог.диска.Приходиться скидывать прогу.И видимо в остается временный файл.
Интересно,старые версии не повисали.Даже при одновременной работе кучи прог.
Может что не так делаю?

----------


## Зайцев Олег

> Пардон,не посмотрел.
> 
> 
> Я имел ввиду что скажем было 1.5 гига в с,стало мегов 600.
> Видимо это связано с тем что авз не по детски зависает.Даже при проверки одного лог.диска.Приходиться скидывать прогу.И видимо в остается временный файл.
> Интересно,старые версии не повисали.Даже при одновременной работе кучи прог.
> Может что не так делаю?


Новая версия проверяет инсталляции MSI. Есть шанс, что на диск есть какая то огромная инсталляция, которую AVZ долго анализирует. Можно посмотреть в папке Temp, что за файлы там образуются.

----------


## qbs2001

А я вот сегодня столкнулся с такой ситуацией - компьютер перестал грузиться под пользователем. В списке процессов появляется все увеличивающееся количество процессов csrss и все. Под админом загружается нормально. Проверил диск свежими drweb и avp - вирусов нет. В логе AVZ две подозрительные строки:

1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка - не найден файл (\WIN2000\System32\ntoskrnl.exe)
(файл есть, именно там, нормально читается) и

7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "explorer.exe" = "C:\WIN2000\csrss.exe"

Выбрал "Восстановление системы", поставил галочки "Восстановление настроек проводника" и "Удаление отладчиков системных процессов". Применил, перегрузился - ситуация не изменилась.

Кто что посоветует?

----------


## Alexey P.

Провериться свежим CureIt-ом для начала.
А вообще - см. Правила

----------


## SuperBrat

> Предлагает сохранить avzupd.zip размером 1.1 кб. В нем только file.dta


http://avz.virusinfo.info/avz_up/avzbase.zip

----------


## Благодарный

Поставил, блин, антивирус и чё вы думаете?
Включил сканирование, в сё здорово, сканирует и....
Нате вам. Выскакивает сообщение от Spider Guard (Dr.Web) следующего содержания, типа опасные вирусняки:
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.DialupPass.243
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.Pwdump
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.Pwdump
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.PassView
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.PassView
C:\Temp\avz_3540_2.tmp - программа-HackTool Tool.PwlHack.410
C:\Temp\avz_3540_2.tmp - программа-HackTool Tool.PwlHack.410
C:\Temp\avz_3540_1.tmp - программа-RiskWare Program.SamInside.2301
C:\Temp\avz_3540_1.tmp - программа-RiskWare Program.SamInside.2301
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.SAMInside
C:\Temp\avz_3540_1.tmp - программа-HackTool Tool.xIntruder
Нормально блин? Антивирус поставил.

----------


## pig

Нормально. Спайдер же не знает, что это именно AVZ ваши архивы со зверьём распаковывает, и именно затем, чтобы проверить. Он честно проверяет всё, что создаётся. У меня ругается на временные файлы AVP сканера, например.

Кстати, судя по набору, это вы сами где-то у себя набор инструментов для взлома заначили.

----------


## DoggoD

Заметил следующее при работе с AVZ..
1. Если, например, выдернуть из системы какой нить файл с цифровой подписью и поместить его, скажем, в автозагрузку, затем открыть в AVZ "Менеджер автозапуска", то мы увидим "безопасный" файл в автозагрузке.. Если не закрывая  "Менеджер автозагрузки" изменить содержимое оригинального файла и нажать "Обновить список элементов автозапуска", то в итоге мы увидим в автозагрузке файл с все еще действующей цифровой подписью..
Вобщем умничать у меня сильно не получается - кнопка "Обновить" не работает я хотел сказать..
2. В "Поиск файлов на диске" поиск *прекращается*, если AVZ не может прочитать файл "Cannot open file XXX. Процесс не может получить доступ к файлу, так как этот файл занят другим процессом."
Пробовал на версии 4.20

----------


## userr

Олег, ну когда же avz будет проверять только ту папку, к-рую хочет юзер, а не все дерево папок "снизу вверх" вплоть до второго от корня уровня ?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dime3us

> http://avz.virusinfo.info/avz_up/avzbase.zip


Спс за ссылку. Кстати еще заметил, что при попытке обновления обычными способами AVZ даже и не пытается никуда соединятся, а сразу выдает ошибку.

----------


## SuperBrat

> Спс за ссылку. Кстати еще заметил, что при попытке обновления обычными способами AVZ даже и не пытается никуда соединятся, а сразу выдает ошибку.


Пожалуйста. Есть такое дело. Особенно не любит корпоративные каналы.

----------


## marcelos

здравствуйте,

после проверки компьютера с помощью AVZ и последующей перезагрузки система обнаружила новое устройство. во вкладке "сведения" свойств устройства, под дропдауном "Код экземпляра устройства" написано:

ROOT\LEGACY_AVZ\0000

насколько я понимаю, это появилось как побочный результат действия программы.. как это устройство снести?

заранее спасибо,
михаил

----------


## *Cool Cat

Функция ZwClose (19) перехвачена (805B0714->F73CB02 :Cool: , перехватчик a347bus.sys
Функция ZwCreateFile (25) перехвачена (8056D14C->F793F130), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwCreateKey (29) перехвачена (80618BD2->F793F320), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwCreatePagingFile (2D) перехвачена (8059F8FA->F73BEB00), перехватчик a347bus.sys
Функция ZwCreateProcess (2F) перехвачена (805C5CE8->F793F3E0), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwCreateProcessEx (30) перехвачена (805C5C32->F793F410), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwDeleteValueKey (41) перехвачена (80619232->F793F360), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwEnumerateKey (47) перехвачена (80619412->F73BF5DC), перехватчик a347bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (8061967C->F73CB120), перехватчик a347bus.sys
Функция ZwOpenFile (74) перехвачена (8056E26A->F793F510), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwOpenKey (77) перехвачена (80619F68->F793F330), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwOpenProcess (7A) перехвачена (805BFB78->F793F380), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwOpenSection (7D) перехвачена (8059E274->F793F440), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwQueryKey (A0) перехвачена (8061A28C->F73BF5FC), перехватчик a347bus.sys
Функция ZwQueryValueKey (B1) перехвачена (80616C8C->F73CB076), перехватчик a347bus.sys
Функция ZwSetSystemPowerState (F1) перехвачена (80646DE8->F73CA550), перехватчик a347bus.sys
Функция ZwSetValueKey (F7) перехвачена (80617292->F793F340), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwTerminateJobObject (100) перехвачена (805CBFF8->F793F6B0), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Функция ZwTerminateProcess (101) перехвачена (805C74C8->AAADC330), перехватчик D:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция ZwWriteVirtualMemory (115) перехвачена (805A82F6->F793F6A0), перехватчик C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Проверено функций: 284, перехвачено: 20, восстановлено: 0
________________________________

C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
Шо за зверь?

по этому адресу такой не живёт

Это не связанно както с  АВЗ?

Цитата:
Драйвера устанавливаются
в систему только по мере необходимости, причем имя драйвера уникально для каждого ПК. В момент закрытия AVZ драйвера автоматически удаляются.
 :Smiley:

----------


## drongo

*Cool cat ,Ошибаетесь , живёт  :Smiley:  Стандартными средствами не увидишь . Нужно искать , как описано в правилах и будет вам счастье. Звёзды говорят ,наверно от какого нибудь эмулятора типа алкоголя  .А точнее, выполните правила  :Smiley:

----------


## aintrust

> ...
> C:\WINDOWS\system32\Drivers\ujm5mtqw.sys
> Шо за зверь?
> 
> по этому адресу такой не живёт
> 
> Это не связанно както с  АВЗ?
> 
> Цитата:
> ...


Связано, связано...  :Wink:  

_ujm5mtqw.sys_ в вашем случае - это драйвер самого _AVZ_ (тот, что раньше назывался _avzguard.sys_) и, соответственно, его перехваты. Вы, очевидно, включили режим _AVZGuard_, а потом запустили проверку нажатием на кнопку "Пуск". 

Теперь, начиная с версии 4.20, _AVZ_ хранит свои драйверы вместе с базами, и при создании файлов драйверов их имена генерируются произвольным образом. При закрытии _AVZ_ эти файлы удаляются, именно по этой причине вы этот файл не нашли. 

Так что цитату вы выбрали совершенно верно!  :Wink:

----------


## aintrust

> ...
> ROOT\LEGACY_AVZ\0000
> 
> насколько я понимаю, это появилось как побочный результат действия программы.. как это устройство снести?
> ...


Михаил, вы абсолютно правы насчет того, что это "побочный результат действия программы", или, точнее, ее небольшой глюк. Новое "квази-устройство" можно, в частности, снести, прямой правкой реестра (найдите там ветвь _LEGACY_AVZ_ и полностью удалите ее).

----------


## NickGolovko

Вопрос.  :Smiley:  Олег, как определяется расположение файла Hosts - по адресу %SystemRoot%\system32\drivers\etc или по по записи в [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param  eters\\DataBasePath]?

----------


## Зайцев Олег

Определяется по %SystemRoot%\system32\drivers\etc (и ангалогичному для 9X) ... В очередной я прикручу проверку еще и по DataBasePath

----------


## Z777

TO ALL
Доброе время суток!
Вопрос:
Можно по-подробнее про данный вариант работы с AVZ:
"...Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п. не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его...."

AVZ, (C) Зайцев О.В.

Как правильно пошагово согласовать действия?
СПАСИБО!

----------


## Зайцев Олег

> TO ALL
> Доброе время суток!
> Вопрос:
> Можно по-подробнее про данный вариант работы с AVZ:
> "...Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п. не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его...."
> 
> AVZ, (C) Зайцев О.В.
> 
> Как правильно пошагово согласовать действия?
> СПАСИБО!


все просто:
1. Закрыть все программы, кроме AVZ
2. Запустить AVZ, включить нейтрализацию руткитов и провести сканирование (папки можно не отмечать)
3. Активировать AVZ Guard
4. В менюшке AVZ Guard выбрать "Запустить приложение как доверенное". В роли довереного приложения - антивирусный сканер или иная утилита.

----------


## Z777

ОГРОМНОЕ СПАСИБО, ВАМ, ОЛЕГ!!!  :Smiley:

----------


## ВикФил

AVZ 4.20 базы обновлены. Создаю папку. В нее записываю файл .cmd с содержанием "ping 210.10.24.14"  Создаю для этой папки базу ревизора. Параметры создания базы "все файлы" и "стандартный". Изменяю содержание файла .cmd на "ping 201.10.24.14" Размер файла остался прежним, а контрольная сумма должна была поменяться. Проверяю ревизором. Ревизор говорит что в папке ничего не поменялось. То есть получается что Ревизор проверяет только изменение размера файла. В связи с этим возникает вопрос а проверяется ли контрольная сумма при проверке файла по базе безопасных файлов? У меня теперь есть большие сомнения. Кроме файлов .cmd проверял работу Ревизора с файлами txt. То же самое.

----------


## прохожий

> Новая версия проверяет инсталляции MSI. Есть шанс, что на диск есть какая то огромная инсталляция, которую AVZ долго анализирует. Можно посмотреть в папке Temp, что за файлы там образуются.


Спасибо.Оказалось это из-за архива L2 на 2.3 гига

----------


## Spapr

Уважаемый Олег! Спасибо за замечательную программу!
У меня такой вопрос, а немогли бы вы добавить в менеджер файла Host функцию внесения строк?

----------


## Sel

Олег, подскажи пожалуйста, что с запоминанием настроек параметров обновления. В v4.20 этого опять нет. Спасибо.

----------


## XL

Уважаемый Олег, а нет ли в планах прикрутить к AVZ встроенный сниффер пакетов?

----------


## RiC

> Уважаемый Олег, а нет ли в планах прикрутить к AVZ встроенный сниффер пакетов?


А чем www.sysinternals.com не устраивает ?
Неплохой набор и бесплатный к тому-же.

----------


## XL

> А чем www.sysinternals.com не устраивает ?


RIC, а не будете ли ВЫ так любезны что называется "тыкнуть пальцем"  в необходимую утилиту? А то моих познаний инглиша и беглого взгляда на описания программулин вот здесь:
http://www.sysinternals.com/NetworkingUtilities.html
не хватило, чтобы таки найти там анализатор содержимого пакетов. Много чего есть, но не то, что хотелось бы...
*************************************
Да и я - сторонник решений all-in-one  и думаю, что не один я такой  :Smiley:

----------


## orvman

В довесок скажу я. Если у Вас стоит, например, фаер Agnitum Outpost, то потом не нужно кричать и орать, что глючит сеть и виноват именно Outpost. Эх, снифферы, снифферы...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XL

> В довесок скажу я. Если у Вас стоит, например, фаер Agnitum Outpost, то потом не нужно кричать и орать, что глючит сеть и виноват именно Outpost.


Обижаете... Мне по долгу службы самому приходится регулярно выслушивать, что у кого-то глючит сеть по вине вышеупомянутой софтины. Уж кого-кого, а ее то мы как облупленную знаем и уважаем в то же время, ибо krivie_ruki_polzovateley.sys вечно конфликтует с filtnt.sys  :Wink:  
Вообщем вопрос о встроенном сниффере остается открытым!

----------


## aintrust

> ...
> Вообщем вопрос о встроенном сниффере остается открытым!


Ну, не знаю... Написать хороший (или даже просто приемлемый) сниффер с разбором многих протоколов - задача сама по себе не менее трудоемкая, чем написать AVZ. Да и стоит ли продвинутую анти-троянскую утилиту снабжать подобным функционалом, который напрямую с ней не связан - это еще бо-о-ольшущий вопрос. Мне, к примеру, хватает и других снифферов, в т.ч. и бесплатных (Ethereal, например).

----------


## XL

> Ну, не знаю... Написать хороший (или даже просто приемлемый) сниффер с разбором многих протоколов - задача сама по себе не менее трудоемкая, чем написать AVZ.


Спасибо за разъяснение!

----------


## RiC

> RIC, а не будете ли ВЫ так любезны что называется "тыкнуть пальцем"  в необходимую утилиту? А то моих познаний инглиша и беглого взгляда на описания программулин вот здесь:
> http://www.sysinternals.com/NetworkingUtilities.html
> не хватило, чтобы таки найти там анализатор содержимого пакетов.


Там нет анализатора пакетов, но есть 2 очень полезные в хозяйстве утилиты - анализатор открытых портов, и анализатор соединений, в чистом виде сниффер - WinDump портированный из под unix tcpdump. 
Ещё очень полезный в хозяйстве анализатор протоколов - Observer, но он уже не бесплатный.

----------


## mr_jok

Можно будет ли сохранять свои настройки для следующих запусков?

----------


## Зайцев Олег

> Можно будет ли сохранять свои настройки для следующих запусков?


В текущей версии - нет. Но можно создать профиль с настройками или скрипт запуска, для автоматического выполнения рутинных операций

----------


## Зайцев Олег

> Обижаете... Мне по долгу службы самому приходится регулярно выслушивать, что у кого-то глючит сеть по вине вышеупомянутой софтины. Уж кого-кого, а ее то мы как облупленную знаем и уважаем в то же время, ибо krivie_ruki_polzovateley.sys вечно конфликтует с filtnt.sys  
> Вообщем вопрос о встроенном сниффере остается открытым!


Встроить сниффер не очень сложно... но сниффер тянет за собой надобности парсера паретов, который разберет пакет по полям сообразно протоколу. Это не очень сложно, но очень глумотно ... а вот что-то типа анализатора TDIMon я планирую внедрить в AVZ.

----------


## Зайцев Олег

> AVZ 4.20 базы обновлены. Создаю папку. В нее записываю файл .cmd с содержанием "ping 210.10.24.14"  Создаю для этой папки базу ревизора. Параметры создания базы "все файлы" и "стандартный". Изменяю содержание файла .cmd на "ping 201.10.24.14" Размер файла остался прежним, а контрольная сумма должна была поменяться. Проверяю ревизором. Ревизор говорит что в папке ничего не поменялось. То есть получается что Ревизор проверяет только изменение размера файла. В связи с этим возникает вопрос а проверяется ли контрольная сумма при проверке файла по базе безопасных файлов? У меня теперь есть большие сомнения. Кроме файлов .cmd проверял работу Ревизора с файлами txt. То же самое.


Это баг с формировалкой отчета в ревизоре. Т.е. факт изменения файла фиксируется, но строка в лог не вносится. Баг пофиксен, 4.21 будет работать нормально

----------


## Dandy

GameGuard от LA2 стабильно глушит AVZ, как антируткит (при попытке удаления руткида в любом режиме, просто вырубает AVZ) + менеждер процессов заканчивается exception-ом.
Отсюда вопрос, что мешает зловреду реализовать подобный функционал?

----------


## aintrust

> ...
> Отсюда вопрос, что мешает зловреду реализовать подобный функционал?


Если ответить коротко, то на сегодняшний день - ничего не мешает. 

С другой стороны необходимо учесть, что AVZ, по сути, и не заявляет, что он может победить все техники, применяемые руткитами. Какие-то может, какие-то - нет. Это же касается и его самозащиты от убиения: что-то он умеет, а что-то - нет. Обычно функциональность AVZ наращивается в тот момент, когда определенные техники начинают активно применяться зловредами, поэтому вы скорее всего всегда сможете найти способ обхода утилиты - было бы только, как говорится, желание...  :Wink:

----------


## Nike

Похоже ложное срабатывание на винамп 5.3

d:\programs\winamp\system\watcher.w5s >>> подозрение на Trojan-PSW.Win32.Atrojan.20 ( 09CBC96C 001A3C1E 0024F040 002524DA 26624)
Проверка памяти завершена


Файл сохранён как	061003_084157_watcher_45225a95dd110.rar
Размер файла	13726
MD5	2ff5f388f9f2390e60ab197d7d4ad2ef

----------


## Alex_Goodwin

привет! в авз не хватает самозащиты файла - экзешник авз был поражен файловым вирусом. Работал не стабильно. неплохо бы добавить проверку контрольной суммы файла- если не правильная, то выдаем сообщение - контрольная сумма изменена, файл возможно заражен вирусом.

----------


## Зайцев Олег

> привет! в авз не хватает самозащиты файла - экзешник авз был поражен файловым вирусом. Работал не стабильно. неплохо бы добавить проверку контрольной суммы файла- если не правильная, то выдаем сообщение - контрольная сумма изменена, файл возможно заражен вирусом.


Как не хватает ?! Если исполняемый файл AVZ меняется, то в самом начале лога выдается сообщение:



> >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

----------


## Alex_Goodwin

Это всегда так было? Я помню, была история. Авз просто не запускался или запускался и не ругался. (Пара запусков и приходилось по новому из архива извлекать).

----------


## Олег Тереньтьев

Существуют ли готовые скрипты (написанные на встроеных в программу командах либо .VBS) которые можно запустить в win сети( например из 100 компьютеров) и получить итоговый отчет по количеству обнаруженых заражений, с указанием рабочих станций которые требуют пристального внимания ?

----------


## Зайцев Олег

> Существуют ли готовые скрипты (написанные на встроеных в программу командах либо .VBS) которые можно запустить в win сети( например из 100 компьютеров) и получить итоговый отчет по количеству обнаруженых заражений, с указанием рабочих станций которые требуют пристального внимания ?


Да - в хелпе есть примеры сетевого запуска. Но там нет итогового отчета. В принципе мне несложно написать такой скрипт, он, к примеру, будет посылать информацию по email или сохранять информацию на сервере.

----------


## Олег Тереньтьев

> Да - в хелпе есть примеры сетевого запуска. Но там нет итогового отчета. В принципе мне несложно написать такой скрипт, он, к примеру, будет посылать информацию по email или сохранять информацию на сервере.


При сетевом запуске программы на сетевом диске формируется отчет по каждой рабочей станции. Если итоговый отчет формировать в формате HTML , то можно сделать так чтобы в списке проблемных рабочич станций, имена компьютеров были ссылками на подробные отчеты (хранящиеся на сетевом диске). Получим итоговый отчет по всей сети при этом можно "провалиться" в детальный отчет по каждому проблемному компьютеру. Формирование блока итогов думаю тоже потребует интерфейса настройки. Кому-то интересно сколько всего вирусов обнаружено в сети а профессионалу подавай тонкую настройку ;-). Я к тому что может только скриптами не обойтись и придется создавать в программе блок Консолидации либо создавать клиент-серверный вариант (о ужас ..).  Кстати твою замечательну программу "открыл" для себя прочитав интервью в журнал Хакер - испытываю искреннее уважение, людей создающих реальные инструменты - единицы, большинсво увы - потребители ...

----------


## kozakoff

Олег подскажите, на какой адрес можно выслать файл (упакованный из папки карантин) попавщий под подозрение, при последней проверке AVZ ?

----------


## AndreyKa

> Олег подскажите, на какой адрес можно выслать файл (упакованный из папки карантин) попавщий под подозрение, при последней проверке AVZ ?


AVZ - О программе:

----------


## barabashka45

Кнопка  Download / Скачать не активна!!! Не могу скачать версию
AVZ 4.20. А с версии  AVZ 4.14 обновлять отказывается

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shu_b

> Кнопка  Download / Скачать не активна!!! Не могу скачать версию
> AVZ 4.20. А с версии  AVZ 4.14 обновлять отказывается


А так - http://z-oleg.com/avz4.zip ?

----------


## AndreyKa

> А так - http://z-oleg.com/avz4.zip ?


Лучше так:
http://www.z-oleg.com/avz4.zip

----------


## AndreyKa

Олег, посмотри тему
http://virusinfo.info/showthread.php?t=6400
там C:\Program Files\Common Files\Microsoft Shared\Translat\LicenseManager.exe - Trojan.Click.1448 (DrWeb), Trojan-Spy.Win32.Delf.ta (KAV) запускался (возможно) через ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol  icies\Explorer\Run
AVZ этот ключ не проверяет?

----------


## SuperBrat

Олег, можно исправить при работе в режиме "Крупный шрифт"?

----------


## Зайцев Олег

> Олег, посмотри тему
> http://virusinfo.info/showthread.php?t=6400
> там C:\Program Files\Common Files\Microsoft Shared\Translat\LicenseManager.exe - Trojan.Click.1448 (DrWeb), Trojan-Spy.Win32.Delf.ta (KAV) запускался (возможно) через ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol  icies\Explorer\Run
> AVZ этот ключ не проверяет?


Да, этот ключ проверяется. Но на всякий случай я внес в ЭПС микропрограммку контроля этого ключа, чтобы обратить на него внимание в логе.
*to SuperBrat* 
Можно конечно - беру на заметку

----------


## RiC

Англиская версия - сообщение в логе



> 7. Heuristic system check
> &#207;&#238;&#228;&#238;&#231;&#240;&#229;&#237;&#  232;&#229; &#237;&#224; &#241;&#234;&#240;&#251;&#242;&#243;&#254; &#231;&#224;&#227;&#240;&#243;&#231;&#234;&#243  ; &#225;&#232;&#225;&#235;&#232;&#238;&#242;&#229;&#  234; &#247;&#229;&#240;&#229;&#231; AppInit_DLLs: "vsmvhk.dll"
> Check completed

----------


## Зайцев Олег

> Англиская версия - сообщение в логе


Ага - это бортовой переводчик шалит. Я включу в сегодняшний апдейт баз поправки, и все будет работать нормально

----------


## valho

в 2003 сервере если нажать исправить winsock в AVZ то напрочь удаляются записи из реестра или меняются на другие пути точно не смотрел, сервак после этого не загружается

----------


## Xen

valho, попробуй "восстановление настроек интернет" в XAS, должно помочь

----------


## Синауридзе Александр

Здравствуйте Олег!
Давно хотел спросить, какой формат имеют файлы помещенные в карантин AVZ?

----------


## Muffler

Тот же формат, что они имели до помещения в карантин... :Wink:

----------


## Jolly Rojer

У меня есть предложение к Олегу чтоб он дописал скриптик или модуль  для того чтоб AVZ сам паковал с паролем virus сохранял в карантин включая логи и предлагал отправить файл на адрес Олега . Просто не один раз встречал подобную необходимость... в частности вопросы "а как упаковать что такое архиватор как запаковать потом пол часа как запаковать с паролем.... куда и как отослать и как отсылать какой программой (потом еще 2 часа объясняешь что такое outlook или bat!"
достаточно актуально на мой взгляд!

----------


## Зайцев Олег

> У меня есть предложение к Олегу чтоб он дописал скриптик или модуль  для того чтоб AVZ сам паковал с паролем virus сохранял в карантин включая логи и предлагал отправить файл на адрес Олега . Просто не один раз встречал подобную необходимость... в частности вопросы "а как упаковать что такое архиватор как запаковать потом пол часа как запаковать с паролем.... куда и как отослать и как отсылать какой программой (потом еще 2 часа объясняешь что такое outlook или bat!"
> достаточно актуально на мой взгляд!


Я об этом думал - в скриптовом движке есть такая возможность. Но есть две проблемы:
1. Практически ни один SMTP не принимает почту без авторизации
2. Если я даже найду такой сервер (или заведу ящик где-то на Mail.ru - не важно) - ко мне придет почта непонятно откуда, и я не смогу ответить отправившему эту почту пользователю.
Если идти по пути отправки через почтовый клиент - неизвестно, какой клиент у пользователя ... Можно через мой сайт отправить - хостинг у меня крутой, места тьма - но опять проблема с обратной связью.

----------


## MOCT

> Я об этом думал - в скриптовом движке есть такая возможность. Но есть две проблемы:
> 1. Практически ни один SMTP не принимает почту без авторизации
> 2. Если я даже найду такой сервер (или заведу ящик где-то на Mail.ru - не важно) - ко мне придет почта непонятно откуда, и я не смогу ответить отправившему эту почту пользователю.
> Если идти по пути отправки через почтовый клиент - неизвестно, какой клиент у пользователя ... Можно через мой сайт отправить - хостинг у меня крутой, места тьма - но опять проблема с обратной связью.


а может не через почту, а сразу на ftp/http?

----------


## Зайцев Олег

> а может не через почту, а сразу на ftp/http?


Это можно сделать - но всеравно вопрос обратной связи останется открытым. Плюс в карантине может быть 50-100 мб разных файлов - придется как-то ограничивать объем.

----------


## Arkadiy

> Это можно сделать - но всеравно вопрос обратной связи останется открытым. Плюс в карантине может быть 50-100 мб разных файлов - придется как-то ограничивать объем.


Можно ведь сделать, что бы скрипт архивы по 10мб делил. И потом их по одному загружать.
Насчёт обратной связи: можно попросить оставить майл, обосновав это возможностью контакта с ним, в случае надобности. Я думаю у всех, у кого есть интернет, есть майл...

----------


## Jolly Rojer

Согласен с вышесказанным ftp более удобный вариант чем почта, ну и естественно должно заполнятся поле в панельке отправки "обратный адрес".
Маленькое отступление; 


> Я думаю у всех, у кого есть интернет, есть майл...


К сожалению это не всегда так!
Именно на эту тему так же можно дописать модуль быстрой регистрации почты на пример на сервисе www.mail.ru. Человек решивший отправить файлы на анализ,но не имеюший почты и незнающий как и где ее зарегистрировать. Нажимает кнопку где всего имеется 2 графы  "имя пользователя и пароль" вводит имя пользователя и пароль при нажатии кнопки регистрировать регистрируется ящик пользователя + сохраняется в папку avz или мои документы текстовый файл для пользователя, введеный им имя и пароль,а так же ссылка на почтовый сервер где ящик зарегистрирован. Тоже полезная штука,но возможно излишняя! Надо же Олегу помагать совершенствовать продукт  :Smiley:  .... Иногда даже абсурдная идея дает толчек к чему-то новому  :Smiley:

----------


## MOCT

> Именно на эту тему так же можно дописать модуль быстрой регистрации почты на пример на сервисе www.mail.ru.


да, идея действительно абсурдная. это еще и OCR реализовывать придется...

----------


## Jolly Rojer

Ну я и выразил это как маленькое отступление  :Smiley:  
Это как в свое время был спор сколько клавиш нужно на мышке 2 или 3...
многие выразились что 3 а многие сказали что еще большее... и дошли до того что получилась клава которую еще нужно зачем-то катать  :Smiley:

----------


## aintrust

> Можно ведь сделать, что бы скрипт архивы по 10мб делил. И потом их по одному загружать.
> Насчёт обратной связи: можно попросить оставить майл, обосновав это возможностью контакта с ним, в случае надобности. Я думаю у всех, у кого есть интернет, есть майл...


Само собой, что пересылать файлы (архивы) на анализ
- логичнее всего по http/ftp, а не почтой (как минимум, трафик меньше);
- предупреждая пользователя об объемах пересылаемой информации (а вдруг объем окажется 1-2 Гигабайта?  :Wink: );
- разбивая архив на необходимые кусочки (можно даже сделать так, чтобы был некий минимальный размер кусочка, скажем 1 Мбайт, но пользователь мог выбрать этот размер в зависимости от скорости своего соединения с интернет, вплоть до полного размера архива);
- запрашивая e-mail пользователя для обратной связи (и затем автоматически высылать подтверждение пользователю о приходе файлов на сервер).
Какие-то еще детали можно обдумать прямо тут, на форуме.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jolly Rojer

> Само собой, что пересылать файлы (архивы) на анализ
> - логичнее всего по http/ftp, а не почтой (как минимум, трафик меньше);
> - предупреждая пользователя об объемах пересылаемой информации (а вдруг объем окажется 1-2 Гигабайта? );
> - разбивая архив на необходимые кусочки (можно даже сделать так, чтобы был некий минимальный размер кусочка, скажем 1 Мбайт, но пользователь мог выбрать этот размер в зависимости от скорости своего соединения с интернет, вплоть до полного размера архива);
> - запрашивая e-mail пользователя для обратной связи (и затем автоматически высылать подтверждение пользователю о приходе файлов на сервер).
> Какие-то еще детали можно обдумать прямо тут, на форуме.


Да я тоже так считаю пользователя обязательно надо предупреждать об объеме отсылаемых файлов и дать возможность выбрать отсылать файлы или нет, вполне возможно стоит наверное даже ограничить объем присылаемых файлов скажем до 10мб. Если объем большой то в архив должны попадать файлы которые показались эвристику наиболее опасными

----------


## Alex_Goodwin

Внимание !!! База поcледний раз обновлялась 30.12.1899 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Ошибка при инициализации - 

Такое выдает если нет папки с базами

----------


## Зайцев Олег

> Внимание !!! База поcледний раз обновлялась 30.12.1899 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
> Ошибка при инициализации - 
> 
> Такое выдает если нет папки с базами


Ага - есть такое дело - я в новой версии сделал нормальное сообщение об ошибке.

----------


## Белиал

в справке в разделе "восстановление системы" расписаны не все функции. Например, "Отчистка списка игнорирования утилиты HijakThis" и многие другие. Очень интересно, что это означает.
И еще...
Можно (желательно) ревизор добавить функцией циклической проверки через указанное время. Т.е. сворачиваем AVZ в трей, и он, допустим, каждые 15 минут автоматически проверяет файлы по заранее указанной таблице. И если будут изменения, то авз сам разворачивается из трея и информирует.
Хотя тут очень будет желательна кнопка "обновить таблицу", которой в настоящей версии нет  :Sad: .

----------


## drongo

> в справке в разделе "восстановление системы" расписаны не все функции. Например, "Отчистка списка игнорирования утилиты HijakThis" и многие другие. Очень интересно, что это означает.
> 
> .


Другими словами , очищает записи , которые прячут ключи от утилиты Hijack This . Некоторые зловреды научились прятаться от этой утилиты , вот Олег и прикрутил возможность очистки , чтоб не прятались   :Wink:

----------


## oleg_lysva

Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F724216D] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F7241FC2] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
 Проверка IDT и SYSENTER завершена

----------


## Зайцев Олег

> Анализ для процессора 1
> >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F724216D] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
> >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F7241FC2] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>  Проверка IDT и SYSENTER завершена


Haspnt.sys - это драйвер для HASP ключей, он перехватывает именно эти вектора прерываний.

----------


## vano666

версия 4.20 почему то не проходит автообновление через парольную проксю, кричит про битый файл ...что можно сделать???? 
про обновление руками я знаю, просто интересна суть проблеммы :Smiley: 
Нужную инфу с удоволствием предоставлю  :Smiley:

----------


## Зайцев Олег

> версия 4.20 почему то не проходит автообновление через парольную проксю, кричит про битый файл ...что можно сделать???? 
> про обновление руками я знаю, просто интересна суть проблеммы
> Нужную инфу с удоволствием предоставлю


Это известный баг ...  Если есть желание - я могу дать попробовать версию 4.21 (предрелиз), в ней переделано обновление - может быть, оно заработает.

----------


## anton_dr

> Это известный баг ...  Если есть желание - я могу дать попробовать версию 4.21 (предрелиз), в ней переделано обновление - может быть, оно заработает.


Есть  :Smiley:

----------


## Зайцев Олег

> Есть


hттp:\\z-oleg.com\avz.zip - это промежуточный вариант v4.21 (ссылка не для распространения !!), в его работе могут быть разные глюки и баги. В ходе обновления он выдает коды, которые позволяют установить место и причину сбоя в обновлении. Заодно можно потестировать конпку Пауза (тормозит сканирование файлов), и проверку файлов заданного каталога (через меню дерева каталогов)

----------


## vano666

> Это известный баг ...  Если есть желание - я могу дать попробовать версию 4.21 (предрелиз), в ней переделано обновление - может быть, оно заработает.


Конечно давай  :Smiley: 
я так понял ссылка в предидущем посте  :Smiley: 

есть еше вопрос по типовым скриптам управления ....в доках все норм описано ...только .... нет более сложних примеров для ознакомления.. хотелось бы поиметь мона ?????

P.S.Попробовал  не обновляет ругается на туже ошибку....
никаких кодов не выдает или нужно с каким то ключем запускать ....
кнопка паузы вроде работает :Smiley: 

Да и почему бы не реализовать сохранение настроек обновления и вообше всего ???? Это так к слову ???
P.P.S Да проблема в авторизациии при прямом пробросе ИП через проксик все ок..... обновляется как посмотреть коды ....и отослать?????

----------


## Зайцев Олег

> Конечно давай 
> я так понял ссылка в предидущем посте 
> 
> есть еше вопрос по типовым скриптам управления ....в доках все норм описано ...только .... нет более сложних примеров для ознакомления.. хотелось бы поиметь мона ?????
> 
> P.S.Попробовал  не обновляет ругается на туже ошибку....
> никаких кодов не выдает или нужно с каким то ключем запускать ....
> кнопка паузы вроде работает
> 
> ...


Да, ссылка в посте 252. Если в сообщении об ошибке обновления нет кода в квадратных скобках, то это значит,AVZ не смог определить код ошибки ... 
Насчет скриптов - данный раздел в настоящий момент активно расширяется, появляется штку 20-30 новых команд и соответственно новые примеры.

----------


## vano666

> Да, ссылка в посте 252. Если в сообщении об ошибке обновления нет кода в квадратных скобках, то это значит,AVZ не смог определить код ошибки ... 
> Насчет скриптов - данный раздел в настоящий момент активно расширяется, появляется штку 20-30 новых команд и соответственно новые примеры.


так вот как поиметь бы примеры скриптов  ...надо просто проверить сетку компов в триста .....хочу перенять опыт  :Smiley:  ну и местами не совсем понятно....как например складывать отчеты в одно место (но я пока конечно курю доки)  :Wink: 

а по поводу авторизации .... у нас авторизация на проксе ncsa (squid)....так вот при включении авторизации со вводом в соответствующие поля пары (логин пароль ) и соответственно прокси с портом ...вываливается в ошибку что файло битое.....при пробросе мимо прокси....обновляет нормально!!!!

----------


## Зайцев Олег

> так вот как поиметь бы примеры скриптов  ...надо просто проверить сетку компов в триста .....хочу перенять опыт  ну и местами не совсем понятно....как например складывать отчеты в одно место (но я пока конечно курю доки) 
> 
> а по поводу авторизации .... у нас авторизация на проксе ncsa (squid)....так вот при включении авторизации со вводом в соответствующие поля пары (логин пароль ) и соответственно прокси с портом ...вываливается в ошибку что файло битое.....при пробросе мимо прокси....обновляет нормально!!!!


Проблема с прокси понятна, попробую ее имитировать и изучить ...
По поводу скана сетки - вот пример скрипта:



> begin
>  // Проверка - блокировки запуска
>  if pos('первые буквы имени', GetComputerName) = 1 then ExitAVZ;
>  if GetComputerName = 'имя1' then ExitAVZ;
>  if GetComputerName = 'имя2' then ExitAVZ;
>  // Пауза на 50 сек, чтобы не мешать автозагрузке 
>  Sleep(50);
>  // Настройка AVZ
>  SetupAVZ('UseQuarantine=Y'); // Включить карантин
> ...


запуск самого AVZ будет иметь вид 
_\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\netscan.avz_

----------


## vano666

Олег спасибо :Smiley: 

// Проверка - блокировки запуска
if pos('первые буквы имени', GetComputerName) = 1 then ExitAVZ;
if GetComputerName = 'имя1' then ExitAVZ;
if GetComputerName = 'имя2' then ExitAVZ;

Что это он делает ...просто логика немного не понятна ?????

тупо запустил  :Smiley:  жду лог ......просто это место не совсем понял  :Smiley: 

я так понял это на автозапуск на все компы ....или в шедулер ...так ?

----------


## Зайцев Олег

> Олег спасибо
> 
> // Проверка - блокировки запуска
> if pos('первые буквы имени', GetComputerName) = 1 then ExitAVZ;
> if GetComputerName = 'имя1' then ExitAVZ;
> if GetComputerName = 'имя2' then ExitAVZ;
> 
> Что это он делает ...просто логика немного не понятна ?????


Это блокировки по имени ПК или началу имени ПК. Пример - допустим есть компьютеры АСУ-шников, которые не надо сканировать, или это ПК админов, или AVZ там с чем-то конфликтует. Т.е. прописать старт AVZ можно на всех ПК в автозапуске, но исключать из скана любые ПК по той или иной причине уже в самом скрипте.

----------


## Shu_b

У меня (21a) по прежнему через прокси не идет err(21, 00002eff)

----------


## Зайцев Олег

> У меня (21a) по прежнему через прокси не идет err(21, 00002eff)


Спасибо ... местоположение и причина сбоя теперь ясны, сейчас посмотрю, как можно бороться.

----------


## vano666

опять вопрос ...как просмотреть сетевую папку с карантином..... :Smiley: 
И вообше чтото он у меня зафигарил туда половину файлов ...файлы Аваста например  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> опять вопрос ...как просмотреть сетевую папку с карантином.....
> И вообше чтото он у меня зафигарил туда половину файлов ...файлы Аваста например


Сетевой каратнтин можно смотреть только вручную. Есть еще утилита, переименовыватель - она восстанавливает имена файлов из карантина. 
А кучу файлов туда помещает команда ExecuteAutoQuarantine; если ее убрать, то в карантин помещаются только заподозренные AVZ файлы. В принципе смотреть карантин особой надобности нет - его можно просканировать несколькими антивирусами и затем посмотреть INI файлы для заподозренных - там указано, откуда с проверяемой машины взят файл

----------


## anton_dr

У меня код не пишет.

----------


## vano666

> Сетевой каратнтин можно смотреть только вручную. Есть еще утилита, переименовыватель - она восстанавливает имена файлов из карантина. 
> А кучу файлов туда помещает команда ExecuteAutoQuarantine; если ее убрать, то в карантин помещаются только заподозренные AVZ файлы. В принципе смотреть карантин особой надобности нет - его можно просканировать несколькими антивирусами и затем посмотреть INI файлы для заподозренных - там указано, откуда с проверяемой машины взят файл


Так где взять утилиту? или она в комплекте ?.......ну и ладно буду курить доки и ждать когда больше примеров скриптов управления появиться в доках  :Smiley: 

И да как насчет сохранения настроек..... и например добавления  возможности использовать psexec Русиновича например из интерфейса пограмы.... т.е. задал имена компов или дал файло с именами ...задал пароль админа ....хотя psexec зам его цепляет. передал парметры запуска avz и ага ...батник на запуск psexeca приготовился  :Wink:  .....ну или реализовать такую возможность в самом интерфейсе , не хилая бы сетевая рулежка получилась ....ну покарайне мере более менее ...с единым центром отправки параметров ....можно еще группы реализовать компов ..... поток мысли понятен  :Wink:   :Smiley:  ? Или поподробней?

И да при формировании такого батничка с psexec-ом его моно бут ставить на шедулинг .....на сервере на компе админа ...да хоть где .....проблема периодичности решена ....

и да да  есть ли параметр автообновления БАЗ при запуске или при завершении ?????

----------


## Зайцев Олег

> Так где взять утилиту? или она в комплекте ?.......ну и ладно буду курить доки и ждать когда больше примеров скриптов управления появиться в доках 
> 
> И да как насчет сохранения настроек..... и например добавления  возможности использовать psexec Русиновича например из интерфейса пограмы.... т.е. задал имена компов или дал файло с именами ...задал пароль админа ....хотя psexec зам его цепляет. передал парметры запуска avz и ага ...батник на запуск psexeca приготовился  .....ну или реализовать такую возможность в самом интерфейсе , не хилая бы сетевая рулежка получилась ....ну покарайне мере более менее ...с единым центром отправки параметров ....можно еще группы реализовать компов ..... поток мысли понятен   ? Или поподробней?
> 
> И да при формировании такого батничка с psexec-ом его моно бут ставить на шедулинг .....на сервере на компе админа ...да хоть где .....проблема периодичности решена ....
> 
> и да да  есть ли параметр автообновления БАЗ при запуске или при завершении ?????


Автообновление баз есть - в скрипте есть команды на обновление баз, причем есть расширенная команда с возможностью задать все параметры апдейта (команды ExecuteAVUpdate и ExecuteAVUpdateEx).
Насчет централизованного запуска - когда у меня дойдут руки до монитора, то AVZ с монитором будет управляться централизованно.

----------


## Зайцев Олег

Для всех желающих потестировать обновление через прокси с авторизацией - хттп:\\z-oleh.com\avz.zip - промежуточная сборка v4.21.17a, там переписан апдейтер, в теории он должен нормально обновляться через любой проксик с авторизацией. Кроме того, там есть возможность запомнить заданные настройки соединения.

----------


## anton_dr

Прописал настройки - виснет при обновлении. такое было раньше на второй попытке обновления, если не запускал АВЗ заново.

----------


## Зайцев Олег

> Прописал настройки - виснет при обновлении. такое было раньше на второй попытке обновления, если не запускал АВЗ заново.


А какой точно тип прокси-сервера (тип, версия и т.п) ?

----------


## vano666

> Для всех желающих потестировать обновление через прокси с авторизацией - хттп:\\z-oleh.com\avz.zip - промежуточная сборка v4.21.17a, там переписан апдейтер, в теории он должен нормально обновляться через любой проксик с авторизацией. Кроме того, там есть возможность запомнить заданные настройки соединения.


Олег не качается ...нудайте дайте попробовать :Smiley:

----------


## Зайцев Олег

> Олег не качается ...нудайте дайте попробовать


Пардон, опечатка - z-oleg.com\avz.zip (короче говоря, это avz.zip в корне моего сайта).

----------


## anton_dr

> А какой точно тип прокси-сервера (тип, версия и т.п) ?


Эээ. Что знаю.
ISA 2000, стоит на 2003 сервере.

----------


## Зайцев Олег

> Эээ. Что знаю.
> ISA 2000, стоит на 2003 сервере.


Ясно ... просто я проверял на SQUID и ccproxy.

----------


## Shu_b

Так проблема изначально и была с ИСА проксей... с NTLM авторизацией...
С этой версией код ошибки тот же, только ждать, этот код, очень долго.

----------


## Зайцев Олег

У меня к сожалению нет ISA ... в худшем случае придется ее ставить. На прежнем месте (z-oleg.com\avz.zip) релиз 4.21.26a, в нем появился еще один прокси - с NTLM авторизацией. И соответственно логику NTLM авторизации я вынес в отдельную ветку и подправил. Может, теперь заработает...

----------


## Shu_b

> И соответственно логику NTLM авторизации я вынес в отдельную ветку и подправил. Может, теперь заработает...


ЗАРАБОТАЛО !!!!!  :Smiley:

----------


## vano666

Так у меня 4.21.26a ...полет норм обновился через проксю как миленький  :Smiley:  (SQUID)

----------


## Зайцев Олег

> ЗАРАБОТАЛО !!!!!


Это радует - мне не придется ISA ставить  :Smiley:

----------


## anton_dr

> Это радует - мне не придется ISA ставить


Урррааа!!! Олег, дай пожму виртуально твою руку!
И у меня все в порядке  :Smiley:

----------


## Arkadiy

Олег, а можно сделать так, чтобы авз во время сканирования компьютера блокировало включение скринсейвера, а то если скринсейвер какой нибудь навороченый(рыбки плавают), то довольно долго к рабочему столу возвращается. Вообщем также как в windows media player'е сделано, если он включён, то сринсейвер не включится.

----------


## vano666

Олегычь а когда ты монитором займешси ??????  :Wink: 
И если не жалко ...не будете ли так любезны выложить ....Ваши скрипты ....управления ...для ознакомления....объединения .....и использования  :Smiley:  извини может много прошу  :Smiley:

----------


## givi

ЛОВИМ СПАМОБОТА!
Ситуация - на машине поселились штук 8 разных червей и троянов. C него началась рассылка спама.
Загрузились с KAV 6.0 beta CD, пролечили. Вроде как чисто.... Но остались подозрения.
На машину поставили KAV WS 5.0.712, пока ничего не нашёл. Но я засёк попытки соединения на 69.50.177.122 TCP port 33022. Пробил IP по спам базам - 
http://www.dnsstuff.com/tools/ip4r.ch?ip=69.50.177.122
Результат:
TXT= "Escalated Listing (Spam or Spam Support) See: http://www.sorbs.net/lookup.shtml?69.50.177.122"
Reports CNAME of atrivo.com.spam-support.blackholes.five-ten-sg.com.
TXT= "added 2005-09-07; refusal to remove esthost"
25 порт я ему прикрыл напрочь, но Касперский помигивал в трее значком проверки почты, хотя в отчёте ни одного проверенного письма. Как я понимаю это были попытки соединения. 
Давайте выловим эту сволочь! Как отследить что в системе сидит?
файл ert.zip я выслал через форму на сайте.
А, да, он пытался отправить почту на google smtp. Сцуко.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MOCT

> ЛОВИМ СПАМОБОТА!
> Ситуация - на машине поселились штук 8 разных червей и троянов. C него началась рассылка спама.


открывайте тему в разделе "Помогите" и прикладывайте к ней необходимые логи.

----------


## Зайцев Олег

> Олегычь а когда ты монитором займешси ?????? 
> И если не жалко ...не будете ли так любезны выложить ....Ваши скрипты ....управления ...для ознакомления....объединения .....и использования  извини может много прошу


Монитором я занимаюсь - потихоньку.  А скрипты у себя я применяю те, что описаны в справке - собственно там рабочие скрипты из реальной практики. В версии 4.21 в справке я еще штук 5-7 типовых примеров описываю, релиз выходит на днях.

----------


## RiC

Олег можно в одну из эвристических проверок добавить сообщение в лог о текущей версии Windows и версии установленного SP, если таковой имеется ?

----------


## Зайцев Олег

> Олег можно в одну из эвристических проверок добавить сообщение в лог о текущей версии Windows и версии установленного SP, если таковой имеется ?


Можно - в скрипты эвристики или в версию 4.21. Кроме того, я хочу ввести проверку, является ли текущий юзер админом.

----------


## azza

> Олег можно в одну из эвристических проверок добавить сообщение в лог о текущей версии Windows и версии установленного SP, если таковой имеется ?


И IE. (См. http://virusinfo.info/showpost.php?p...&postcount=146)

----------


## RiC

> Можно - в скрипты эвристики или в версию 4.21. Кроме того, я хочу ввести проверку, является ли текущий юзер админом.


На самом деле всё равно куда, главное что-бы в лог попало. Ну про наличие админских прав тоже полезно.

----------


## AndreyKa

Олег, если файл удаляется с использованием скриптовой команды:
 DeleteFile('...');
производится ли эвристическая чистка как при отложенном удалении?
Если нет, то нужна соответствующая функция для скриптов.

----------


## Зайцев Олег

> Олег, если файл удаляется с использованием скриптовой команды:
>  DeleteFile('...');
> производится ли эвристическая чистка как при отложенном удалении?
> Если нет, то нужна соответствующая функция для скриптов.


В новой версии - да. DeleteFile (я не правда помню ее точный вариант в 4.20, перед глазами пред-релиз 4.21), соводится к попытке лобового удаления файла, если оно не удается - автоматом взводится отложенное. И плюс ко всему в 4.21 идет эвристическая чистка. В 4.20 кажется чистка кажется шла по урезанному алгоритму ... но в 4.21 все чистится по полной программе.

----------


## Jolly Rojer

Через User Gate 2.8 тоже нормально обновляется!

----------


## santy

Олег, добрый день! 
предложение:
отображать в подсказке при сворачивании АВЗ в трей номер сборки(версии) антивирусной базы и дату сборки.
Типа:
Антивирусная утилита АВЗ
версия вирусной базы х.ххххх (20061025)

----------


## Зайцев Олег

> Олег, добрый день! 
> предложение:
> отображать в подсказке при сворачивании АВЗ в трей номер сборки(версии) антивирусной базы и дату сборки.
> Типа:
> Антивирусная утилита АВЗ
> версия вирусной базы х.ххххх (20061025)


Версии у базы нет - есть дата и время сборки. Его вывод в трей организовать несложно - вношу в список доработок

----------


## AndreyKa

C:\WINDOWS\system32:lzx32.sys:$DATA >>> Danger - executable file in the NTFS stream - executable *file masing* is possible 
Имелось в виду *file masking* ?

----------


## Зайцев Олег

> C:\WINDOWS\system32:lzx32.sys:$DATA >>> Danger - executable file in the NTFS stream - executable *file masing* is possible 
> Имелось в виду *file masking* ?


Да, именно так - исправлено.

----------


## vano666

> Можно - в скрипты эвристики или в версию 4.21. Кроме того, я хочу ввести проверку, *является ли текущий юзер админом*.



Вот это правильно !!!!!!

----------


## Alex_Goodwin

Олег! В менеджере автозагузки нет Polisies, а AVZ при проверке выдал - подозрение на загрузку файла ... через... Может расширить менеджер автозагрузки?

----------


## Зайцев Олег

> Олег! В менеджере автозагузки нет Polisies, а AVZ при проверке выдал - подозрение на загрузку файла ... через... Может расширить менеджер автозагрузки?


Может, глюк какой - я проверил, вроде бы эти ключи проверяются

----------


## Зайцев Олег

*Вышла новая версия - 4.21* (http://www.z-oleg.com/secur/avz/download.php)
Архив с утилитой содержит базу вирусов от 26.10.2006 56426 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 363 микропрограммы эвристики, 52701 подпись безопасных файлов 

Основные модификации: 
[++] Переделано автообновление, в частности поддержка прокси серверов с авторизацией (классической и NTLM). Предусмотрена возможность запоминания настроек 
[++] Существенно расширен скриптовой язык - добавлены команды для работы с реестром, диалоговыми окнами, добавлено управление AVZ Guard из скрипта, завершение работы и перезагрузка 
[+] Добавлена кнопка "Пауза", позволяющая временно приостановить сканирование файлов или эвристическую проверку системы 
[+] Добавлена возможность сканирования файлов заданного каталога без сканирования его подкаталогов 
[+] Добавлен редактор скриптов с функцией проверки синтаксиса без выполнения скрипта 
[+] Поиск файлов - добавлена сортировка списка найденных файлов по любому полю, возможность выбора типовых масок имени файла,   исправлена ошибка анализа заблокированных файлов 
[+] Ряд мелких доработок антируткита и отложенного удаления 
[+] Расширена и доработана документация 
------------
Усовершенствования скриптового языка призваны упростить работу хелперам - теперь в скриптах есть почти все, что может понадобиться для чистки ПК.

----------


## HATTIFNATTOR

[+] Добавлена возможность сканирования файлов заданного каталога без сканирования его подкаталогов 

Мелочь в интерфейсе: если уже отмечена проверка каталога с подкаталогами, а потом на нем же выбрана проверка без сканирования подкаталогов галки на подкаталогах остаются.

----------


## Зайцев Олег

> [+] Добавлена возможность сканирования файлов заданного каталога без сканирования его подкаталогов 
> 
> Мелочь в интерфейсе: если уже отмечена проверка каталога с подкаталогами, а потом на нем же выбрана проверка без сканирования подкаталогов галки на подкаталогах остаются.


Надо будет додправить. Но отработает оно и так корректно ...

----------


## RiC

Ещё один баг перешедший из 4.20eng - после выбора на выполнение стандартного скрипта следующее сообщение "Подтверждение" - "Продолжить Да/Нет" - на русском.

Ещё один - попытка проверить пустой скрипт - сообщение об непонятной ошибке.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

Продолжу "английская версия" - 
File -> System Repair - та-же бага, потверждение на русском.

File-> Disk inspector - В разделе Compare сообщение об ошибки при отсутствии базы - Заголовок окна - на русском.

Проверка синтаксиса скрипта - заголовок окна с сообщением об ошибке - на русском.

При попыке закрыть окно Автоматик Update винда предлагает закрыть AVZ полностью.

"Block kernel mode rootkit" - "Подтверждение" - кнопки и заголовок на русском.

Нельзя удалить драйвер найденный по анализу реестра (Менеджер служб и драйверов.). 

Из менежеров "Копирование в карантин" - подтверждение на русском.

Выход из AVZ при активном Guard`e - Подтверждение на русском.

----------


## userr

> *Вышла новая версия - 4.21*


Ура! А тему отдельную завести?  :Smiley:

----------


## tyazhelnikov

Олег, по ссылке на русскую 4.21 скачивается 4.20

----------


## anton_dr

> Олег, по ссылке на русскую 4.21 скачивается 4.20


Видимо, у вас интернет через прокси? Возможно, он берет АВЗ из своего кеша. 
Качайте отсюда http://www.away.perm.ru/avz4.zip

----------


## tyazhelnikov

Спасибо

----------


## Alex_Goodwin

Привет!
АВЗ не может определить перехватчик: "Функция ZwCreateThread (35) перехвачена (8057B1C5->814CD109), перехватчик не определен"
В 4.21. Глюк с полисиес не воспроизвелся- все ок. Во время проверки выдал:
Подозрение на скрытую загрузку через Policies\Explorer\Run\System: "C:\WINDOWS\csrss.exe"
Но в менеджере автозагрузки теперь отразил эту строку- все видно.

----------


## Silencer

Что означает "Ошибка в работе антируткита [List index out of bounds (49)], шаг [6]"
?

----------


## Зайцев Олег

> Что означает "Ошибка в работе антируткита [List index out of bounds (49)], шаг [6]"
> ?


Это глюк - он уже пойман и пофиксен, возникает иногда при обнаружении скрытых процессов. Сегодня в обед выйдет версия 4.21.07, там этот глюк поправлен и исправлен ряд недочетов, которые вчера изловил aintrust.

----------


## aintrust

> ...
> Сегодня в обед выйдет версия 4.21.07, там этот глюк поправлен и исправлен ряд недочетов, которые вчера изловил aintrust.


Олег, меню в трее пока что работает некорректно, посмотри его еще раз перед тем, как AVZ выкладывать на сайт.

----------


## Зайцев Олег

> Олег, меню в трее пока что работает некорректно, посмотри его еще раз перед тем, как AVZ выкладывать на сайт.


Я помучаю это меню в понедельник, чтобы доловить глюки. 
Я обновил версию 4.21, теперь ошибок в антирутките типа "... шаг [6]"  быть не должно.

----------


## SuperBrat

> Это глюк - он уже пойман и пофиксен, возникает иногда при обнаружении скрытых процессов. Сегодня в обед выйдет версия 4.21.07, там этот глюк поправлен и исправлен ряд недочетов, которые вчера изловил aintrust.


Появился новый прикол:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Посмотри, Олег, пожалуйста.

----------


## Зайцев Олег

> Появился новый прикол:
> >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
> Посмотри, Олег, пожалуйста.


Все верно -  avz.exe поменялся в ходе правки, а в базе отметки об этом нет. Все исправлено, достаточно или перезагрузить загрузить AVZ, или (что проще) обновить его базу.

----------


## Зайцев Олег

Я тут вчера статистику считал разную - вот интересная кривая, показывающая темпы пополнения базы AVZ за 10.2006

Получается, что в среднем в день в базу попадает 236 зловредов. Если изучить состав по группам, то получается примерно следующее:

----------


## AndreyKa

Олег, думаю тебе будет интересно взглянуть на обсуждение AVZ англоязычной публикой. New Russian Kid - AVZ antivirus
Каюсь, имею к этому опосредованное отношение.  :Smiley:

----------


## Зайцев Олег

Я читал  :Smiley:  (у меня автоматически изучаются логи, я стараюсь просматривать те сайты, откуда сравнительно массово приходит народ). Там тема немного неправильно названа - AVZ то не антивирус, надо наверное что-то типа "... AVZ antivirus tool" 
Было бы отлично, если бы кто-то знающий английский лучше меня разъяснил им назначение AVZ и его особенности.

----------


## SuperBrat

Олег, вы сейчас имеете отношение к сервису www.scan.virusinfo.info? Будет ли он нормально функционировать? 



> Загружена база: 48332 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.09.2006 13:44

----------


## Зайцев Олег

> Олег, вы сейчас имеете отношение к сервису www.scan.virusinfo.info? Будет ли он нормально функционировать?


Этот сервис MOCT придумал, он пока работает в тестовом режиме - так что вопрос больше к нему. Судя по объему баз там до сих пор версия 4.19 -  у нее формат баз старый, потому обновление и не идет.

----------


## Jolly Rojer

> Этот сервис MOCT придумал, он пока работает в тестовом режиме - так что вопрос больше к нему. Судя по объему баз там до сих пор версия 4.19 -  у нее формат баз старый, потому обновление и не идет.


А вообще хороший сервис! Для людей у кого нет лицензионного софта оч даже не плохо! При условии что проверка идет достаточно известным антивирусом и AVZ очень хорошо! Только вот думаю маловато людей об этом знает и надо это дело какнить популяризировать, хотя возможно и не имеет большого смысла так как скачать как AVZ так и VBA достаточно легко и достаточно много ссылок в поисковиках. Но вот что мне там не понравилось , привожу лог сканирования файла!
Проверялся на вредоносность файл архива консольной программы восстановления паролей к архивам rar
_______________
Результат проверки файлов антивирусом AVZ:

Загружена база: 48332 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 17.09.2006 13:44 

crark30.rar ok 
crark30.rar/{RAR}/readme ok 
crark30.rar/{RAR}/password.def ok 
crark30.rar/{RAR}/взломай_меня.def ok 
crark30.rar/{RAR}/crark.exe ok 
crark30.rar/{RAR}/crark.txt ok 

Просканировано файлов: 7, извлечено из архивов: 6, найдено вредоносных программ 0
___________________________
Результат проверки AVZ имеется , результата проверки антивирусом VBA нет! Устаревшие базы AVZ в учет не принимались.
Уважаемый МОСТ большой Вам респект!!! А ошибочку желательно устранить!  :Wink:

----------


## NickGolovko

> Олег, думаю тебе будет интересно взглянуть на обсуждение AVZ англоязычной публикой. New Russian Kid - AVZ antivirus
> Каюсь, имею к этому опосредованное отношение.


А ведь просчет получился!  :Embarassed:  Они подумали, что AVZGuard - это монитор...

----------


## aintrust

> А ведь просчет получился!  Они подумали, что AVZGuard - это монитор...


Хм... Ну, а что еще можно подумать, прочитав вот такое:  :Wink:  



> ...
> 10. The AVZGuard system that allows for protecting AVZ and any other applications specified by it against active malicious programs. This will also limit the influence of malicious programs on the system.
> ...


Вывод простой: описывая какие-либо фичи продукта, надо быть предельно точным и не допускать двусмысленности. 

В общем, как обычно - "lost in translation"...  :Stick Out Tongue:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Хм... Ну, а что еще можно подумать, прочитав вот такое:  
> 
> Вывод простой: описывая какие-либо фичи продукта, надо быть предельно точным и не допускать двусмысленности. 
> 
> В общем, как обычно - "lost in translation"...


Естественно - переводил то не я ... а почитать документацию далее, раздел про AVZ Guard и его назначение народу лень.

----------


## aintrust

> Естественно - переводил то не я ... а почитать документацию далее, раздел про AVZ Guard и его назначение народу лень.


На самом деле "проблема" тут гораздо более серьезная, чем просто "трудности перевода". Понятно, что перевод должен осуществляться людьми, которые понимают, что они переводят (т.е. знают хотя бы примерно предметную область и конкретный продукт) и для кого они это переводят. В данном случае отсутствует как первое, так и второе. Этот "перевод" - просто калька с того, что у тебя написано на сайте, причем калька совершенно некорректная! Но я не об этом хотел сказать. 

Если кому-то хочется, чтобы AVZ начал завоевывать пространства, отличные от русскоязычных, то это, на мой взгляд, потребует не только и даже не столько публикации на отдельных форумах краткой аннотации этого продукта, сколько продуманного во всех отношениях подхода. 

Что для этого нужно сделать? Минимально:
1) сделать качественный перевод AVZ и его хелпа на английский;
2) на сайте _z-oleg.com_ создать англоязычный раздел, зеркальный по отношению к разделу об AVZ (минимально), а лучше - к нескольким ('Новости, 'AVZ', 'Описания вирусов' и пр.). Еще лучше для этого создать отдельный сайт, скажем _www.avz-tools.com_ или типа того;
3) здесь, на _virusinfo.info_ (или еще на какой-нибудь площадке) сделать англоязычный форум AVZ, где должны будут постоянно "пастись" люди, знающие AVZ и более-менее сносно английский язык (для начала) - т.е. обеспечить своеобразный "ненавязчивый" саппорт;
4) потихоньку "пиариться" - т.е. публиковаться на англоязычных сайтах соответствующей тематики, связываться с компетентными людьми для обеспечения их информационной поддержки (обзоры, сравнения и т.д.).

Немало набирается, да?  :Wink:  Однако, без этого, на мой взгляд, никакого реального продвижения AVZ не выйдет - все точно так же и ограничится отдельными потугами отдельных людей, ни к чему серьезному, увы, не приводящими...

----------


## MedvedD

Олег, а как вы сами видите будущее АВЗ ?

----------


## NickGolovko

> Немало набирается, да?  Однако, без этого, на мой взгляд, никакого реального продвижения AVZ не выйдет - все точно так же и ограничится отдельными потугами отдельных людей, ни к чему серьезному, увы, не приводящими...


Готов помочь.  :Smiley:  Как профессионально изучающий английский язык. Могу оказать содействие с переводом или с английской веткой по AVZ.  :Smiley:

----------


## Зайцев Олег

> Готов помочь.  Как профессионально изучающий английский язык. Могу оказать содействие с переводом или с английской веткой по AVZ.


Спасибо - у меня с переводом проблемы, так как читаю я на вражеском свободно, а вот обратная операция для меня крайне проблемна. А применение электронных переводчиков дает весьма курьезные варианты  :Smiley: 

По поводу развится AVZ - я в последнее время уделял основное внимание развитию своего стационарного анализатора. Теперь это система, которая в состоянии ловить зверей и анализировать их без участия человека. Практическое следствие - за полтора месяца эта штука пожрала 3 мегавата электроэнергии и база AVZ выросла почти в два раза. Надо сктати подумать (может, тему отдельную создать ?) о классификации - я подумываю создать свою систему классификации, поскольку сейчас сотни malware не вносятся в базу по несколько дней только из за того, что нет названий для них.

Насчет продвижения AVZ за границей - тут я могу сказать, что полноценный саппорт для англоязычной аудитории мне не потянуть (точнее  потянуть то его можно - но в ущерб развитию проекта). Следовательно,  единственный вариант - это создание англоязычного варианта форума, на базе virusinfo или с нуля. Далее - трафик. На сегодня трафик моего сайта 180 ГБ в месяц, только с начала этого месяца уже 10 ГБ нащелкало. Я не знаю, как долго провайдер будет это терпеть - сайт хостится на Агаве, сервер стабильно и безглючно держит нагрузку, а в тарифном плане прописан нелимитированный трафик и пока никаких нареканий на трафик от них не поступало.

По поводу пиара - описание AVZ появилось еще на вдух форумах:
http://forum.sysinternals.com/forum_...62&PN=1&TPN=14 
http://www.dslreports.com/forum/remark,17201621

В обоих случаях описание не совсем точное, хотя это скоре видение программы автором заметок.

----------


## NickGolovko

> Спасибо - у меня с переводом проблемы, так как читаю я на вражеском свободно, а вот обратная операция для меня крайне проблемна. А применение электронных переводчиков дает весьма курьезные варианты


Понадобится помощь - обращайтесь.  :Smiley:

----------


## Зайцев Олег

> Понадобится помощь - обращайтесь.


Спасибо ! на самом деле помощь нужна - сейчас самый актуальный момент - это ошибки и некорректности в переводе AVZ. Как отмечают все специалисты, понять его можно без труда, но многие моменты весьма корявые.
-----------
А теперь просьба ко всем желающим - я не переделывал антируткитный модуль уже год (исключение - я разблокировал ряд проверок: IAT, SYSENTER ... в публичной версии). Поэтому есть просьба - помучать антируткит AVZ на реальных примерах и ITW зловредах, дабы определиться, требуется ли его усовершенствование и в каких областях оно наиболее приоритетно.

----------


## NickGolovko

Я тут изваял пробный шар - Readme для английской версии. Вечером принесу. Будет большая просьба заценить профпригодность.  :Cheesy:

----------


## Зайцев Олег

> Я тут изваял пробный шар - Readme для английской версии. Вечером принесу. Будет большая просьба заценить профпригодность.


Отлично !

----------


## NickGolovko

Вложил.  :Smiley:  

Если понравится - мой адрес [email protected]. Пишите, что перевести в интерфейсе, что "коряво" переведено. Кое-что, конечно, нужно поменять. По интерфейсу я особенно не рыскал, но вот в стандартных скриптах нарекания есть. Можете просто список слов для перевода прислать =))))

----------


## Xen

Олег, ты вообще тестил АВЗ на паблик руткитах от руткит.ком ? а на слегка измененных вариантах? Я обнаружил много интересного, когда протестил в первый раз =)

----------


## Зайцев Олег

> Олег, ты вообще тестил АВЗ на паблик руткитах от руткит.ком ? а на слегка измененных вариантах? Я обнаружил много интересного, когда протестил в первый раз =)


Я последние полгода таких тестов не проводил - я собственно почему и прошу всех жедающих повести тест - чтобы получить базу вида "URL руткита" - "результат". Если я выкрою денек времени, то я конесно сам проведу такое исследование ...

----------


## ric_unreg

http://forum.sysinternals.com/forum_...ID=7003&TPN=75 - здесь протестировали на поиск роткитов

----------


## Зайцев Олег

> http://forum.sysinternals.com/forum_...ID=7003&TPN=75 - здесь протестировали на поиск роткитов


Я видел - как оказалось, тестировали нерабочую версию - из-за глюка в локализации суда по логам работал только анализатор KiST, остальное не функционировало. Я обновил англоязычный AVZ - там эта ошибка пофиксена. Кроме того, тестирующий не активировал противодействие руткитам, отключив тем самым все формы расширенного анализа маскировки. Это еще раз доказывает, что aintrust прав - без полной документации и квалифицированной подсказки AVZ малополезен для англоязычной аудитории

----------


## drongo

Так вроде человек из России тест проводил , или у него тоже с русским не очень  ???
EP_X0FF
Senior Member
Joined: 08 March 2006
Location: Russian Federation 
Online Status: Offline
Posts: 3313

----------


## MOCT

> Так вроде человек из России тест проводил , или у него тоже с русским не очень  ???
> EP_X0FF


из России, и страница у него на русском.
вот только он сам автор антируткитной утилиты, поэтому его тесты заведомо необъективны.

----------


## aintrust

> из России, и страница у него на русском.
> вот только он сам автор антируткитной утилиты, поэтому его тесты заведомо необъективны.


То, что упомянутый *EP_X0FF* - из России, можно понять, даже не заглядывая на его сайт! По какой причине он использовал англоязычный вариант AVZ, тоже вроде понятно: чтобы опубликовать логи и ошибки в работе программы для англоязычной аудитории форума. А вот почему именно в этой версии AVZ была ошибка, как утверждает Олег, мне не совсем понятно (а точнее - совершенно непонятно!) - выходит, что русско-  и англоязычная версии AVZ используют различный программный код???  :Wink:  




> Я видел - как оказалось, тестировали нерабочую версию - из-за глюка в локализации суда по логам работал только анализатор KiST, остальное не функционировало. Я обновил англоязычный AVZ - там эта ошибка пофиксена. Кроме того, тестирующий не активировал противодействие руткитам, отключив тем самым все формы расширенного анализа маскировки.
> ...


Я не понял, Олег, что ты имел ввиду, но у меня точно такие же результаты тестирования на русскоязычной версии AVZ 4.21 от 26.10.2006 - твоя утилита на всех установках по максимуму (и с включенным противодействием руткитам!) абсолютно не видит демо-руткит RkDemo! Впрочем, автор демо-руткита не предпринимал никаких действий для "упрятывания" своей методики сокрытия в программе и в драйвере, в связи с чем я уверен, что уже в скором времени AVZ будет его успешно обнаруживать!  :Wink:  

Теперь немного о другом. Последнее время AVZ все время попадает в какие-то анти-руткитовые тесты и, как правило, критикуется в связи с тем, что не отвечает требованиям, предъявляемым к анти-руткитам. Происходит это по той причине, что авторы тестирований не очень понимают, что же такое "анти-руткит в AVZ". Давайте еще раз уточним: AVZ - это не многоцелевой анти-руткит!!! Это утилита, содержащая, наряду со многими другими модулями, модуль анти-руткита, который обеспечивает противодействие руткитам определенного и вполне ограниченного типа (тех, о которых автор AVZ, как правило, знает заранее, видел и "щупал" их, или же их небольших модификаций!) - тех, что используются в довольно распространных "зверях"! И не более того! Ожидать, что AVZ начнет бороться с "лабораторными" руткитами просто бессмысленно - жаль, что этого не понимают многочисленные доброжелатели (типа того, что подкинул *EP_X0FF* идею проверить AVZ на его рутките!). Нет, поймите меня правильно, я не против таких тестирований - их нужно проводить, чтобы усовершенствовать AVZ, но надо все же немного понимать назначение утилиты, чтобы не использовать ее бездумно там где надо и где не надо (и себе во вред, в частности!).

PS. Кстати, совсем забыл сказать, что в целом я согласен с оценкой *EP_X0FF* насчет AVZ, если разбирать функционал каждого из модулей по-отдельности.

----------


## Зайцев Олег

> А вот почему именно в этой версии AVZ была ошибка, как утверждает Олег, мне не совсем понятно (а точнее - совершенно непонятно!) - выходит, что русско- и англоязычная версии AVZ используют различный программный код???


В англоязычной версии локализуется весь программный код и подключается переводчик для перевода динамических сообщений. Вот тут-то и был косяк - антируткит что-то нашел, решил доложить - а модуль перевода глюкнул ... Это словил SEH и блокировал дальнейшую работу антируткита.
По поводу его руткита - я брал не ту версию (у него какая-то на сайте версия есть - ту AVZ отлично ловит). Эту не ловит, но прична банальна - драйвер не прописан в автозапуск ! Т.е. после перезагрузки системы его не будет ... AVZ такое игнорирует, иначе он бы матерился на каждый второй динамически устанавливаемый драйвер. А вот что он макировку не почуял - это плохо (я скачал этого "руткита" - как говорил Холмс, "это дело на одну трубку"  :Smiley:  - драйвер невероятно прост и метод маскировки ясен с первого взгляда).

----------


## Xen

Еще заметил, что с помощью АВЗ нереально разбираться с руткитами на движке AFX в силу различных причин, вроде бы даже упомянутых в книжке Олега. Мне надвно один такой попался, написанный на заказ.

----------


## aintrust

> В англоязычной версии локализуется весь программный код и подключается переводчик для перевода динамических сообщений. Вот тут-то и был косяк - антируткит что-то нашел, решил доложить - а модуль перевода глюкнул ... Это словил SEH и блокировал дальнейшую работу антируткита.


Это означает, что англоязычный вариант утилиты все время будет подвержен такого рода "особенностям" в своей работе, периодически приводящим к почти полной неработоспособности всей утилиты? Неутешительно как-то... Может, тебе стоит подумать над более стабильным вариантом локализации, например переносом всех сообщений в отдельный(-ые) файл(-ы), подключаемый динамически в зависимости от установки языка в системе, а в утилите оставить только теги/указатели на эти сообщения? Или в Дельфи такое сделать нельзя?




> По поводу его руткита - я брал не ту версию (у него какая-то на сайте версия есть - ту AVZ отлично ловит).


Чудеса какие-то! Другой версии там, у него на сайте, вроде и не было (я смотрел и в пятницу, когда посылал тебе адрес его сайта, и сегодня) - да и он сам пишет в своем посте, что AVZ не ловит ВСЕ версии _RkDemo_ - так что как-то старанновато это... Или ты что-то вообще другое проверял? Пришли, плиз, это "чудо" мне взглянуть!




> Эту не ловит, но прична банальна - драйвер не прописан в автозапуск ! Т.е. после перезагрузки системы его не будет ... AVZ такое игнорирует, иначе он бы матерился на каждый второй динамически устанавливаемый драйвер.


А как связан автозапуск драйвера и то, что AVZ не видит уже загруженный в систему драйвер? Я как-то не нахожу тут связи... Мы ведь говорим о "_Модулях пространства ядра_", а не о "_Диспетчере служб и драйверов_", я полагаю? 

Я, слегка испугавшись, проверил-таки твои слова: AVZ динамическую загрузку драйвера все-таки НЕ "игнорирует" - такой драйвер прекрасно виден в "_Модулях пространства ядра_", если, конечно, как в случае с _RkDemo_, его не "спрятать" преднамеренно. Да и что могло бы означать такое вот "игноририрование" - это ведь было бы супер-забавной фичей (или супер-дырой) AVZ!  :Wink: 




> А вот что он макировку не почуял - это плохо (я скачал этого "руткита" - как говорил Холмс, "это дело на одну трубку"  - драйвер невероятно прост и метод маскировки ясен с первого взгляда).


Да, "спасибо" автору  :Wink: , там все открыто! Правда, ведь это не единственный руткит (из тех, по крайней мере, что он перечислил), который не видится AVZ...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Я пришлю образец во вторник - он у меня на работе лежит (он еще маскирует процесс).
По поводу вынесения перевода в базу и встраивания тегов – это можно, но в AVZ 1155 разных текстовых сообщений без повторов, часть из них в базах, часть размазана по коду. Глюков по идее быть не должно, просто англоязычный вариант толком не тестировался и мелкие перекосы дают о себе знать в совершенно неожиданных местах. После получения десятка багрепортов от англоязычных пользователей я вытравил большинство и  я надеюсь, что к версии 4.22 они исчезнут как класс.
Говоря о маскировке драйвера, я имел в виду несколько иное – рассмотрим все ситуации:
1.	если драйвер прописан как автозагружаемый, и виден в модулях ядра – все нормально
2.	если драйвер прописан как автозагружаемый, и не виден в модулях ядра (он не загрузился, или маскируется) – тогда он попадет в исследование и его можно убить через диспетчер драйверов
3.	драйвер прописан как автозагружаемый, но его ключи реестра (и возможно он сам) активно маскируются – это обнаружится и сработает тревога. 
4.	драйвер есть и ключа реестра нет - то считается, что это динамически загруженный "одноразовый" драйвер и тревога на него не выводится. 
5.	драйвер загружен, динамическая загрузка (нет ключей  в реестре и следовательно автозапуска), и он маскируется - т.е. не виден в модулях пространства ядра. Это плохо и должно ловиться, но AVZ такое не ловит - и это реальный повод для доработки. С другой стороны, опасности в том нет - реальный зловред на таком принципе не построить, так как он не сможет запуститься - для запуска придется как-то загрузить драйвер, и он "засветится" в исследовании системы.

----------


## aintrust

> Я пришлю образец во вторник - он у меня на работе лежит (он еще маскирует процесс).


Все же меня не покидает ощущение, что мы говрим о каких-то разных руткитах!  :Wink:  Я, в частности, говорю вот об этом: RkDemo. Это как раз тот руткит, на котором, в частности, проверял работу AVZ упомянутый выше автор утилиты _RkUhooker_. Этот руткит маскирует как драйвер, так и процесс. AVZ версии 4.21, соответственно, не видит ни его процесс, ни драйвер - и никакие установки в AVZ на это не влияют (по крайней мере, в моей конфигурации).




> ...
> 5.	драйвер загружен, динамическая загрузка (нет ключей  в реестре и следовательно автозапуска), и он маскируется - т.е. не виден в модулях пространства ядра. Это плохо и должно ловиться, но AVZ такое не ловит - и это реальный повод для доработки. С другой стороны, опасности в том нет - реальный зловред на таком принципе не построить, так как он не сможет запуститься - для запуска придется как-то загрузить драйвер, и он "засветится" в исследовании системы.


Тебе не кажется, что ты сам себе противоречишь, говоря, с одной стороны, что "это реальный повод для доработки AVZ", а с другой - "опасности в том нет"?  :Wink:  Ведь, как в рекламе, если нет опасности, то зачем дорабатывать AVZ?

Но если серьезно, то я бы не был столь оптимистичен, говоря о безопасности того, что драйвер в текущий момент не прописан в автозагрузке - ведь прописаться в автозагрузку, если уж ОЧЕНЬ хочется - тоже не проблема, т.к. сделать это можно, к примеру, на этапе shutdown-а системы - а в текущем состоянии AVZ, даже с загруженным AVZGuard, вряд ли сможет этому помешать, не так ли? 

PS. Кстати, последнее, как это ни забавно выглядит, легко моделируется на двух запущенных копиях AVZ: 1-я копия запускается в обычном режиме, вторая - с последущей загрузкой AVZGuard. После загрузки AVZGuard 2-й копией, 1-я копия может легко снять все перехваты AVZGuard, ну а дальше уже можно "творить" все, что заблагорассудится, в том числе править реестр, автозагрузки и прочее, причем доступно это будет ЛЮБОМУ процессу! Идея в том, что любой модуль ядра может легко снять все перехваты AVZGuard, причем в любое время - ну, а дальше все понятно и без объяснений.

----------


## Зайцев Олег

Я себе не противоречу - я одной строны явной опасности нет, с другой - метод маскировки настолько прост, что реализуется в течении одной минуты. А такая маскировка может повлиять на анализ системы с помощью AVZ - а вот это уже неприятно. И если пока такой метод не получил массового применения, то не значит, что он его не получит ...
По поводу снятия перехватов, восстановления ключей - это реализуемо, но экзотично. Я исследовал несколько тысяч зверей, из них подобные штучки применяют десятки (но применяют !!). Я видел две характерные реализации - "скрытый автозапуск" (когда в момент shutdown создается ключ, в момент запуска зловреда - удалятся. Лечится просто - нажатием кнопки reset), и "невидимый BHO" (там ключ реестра создавался на доли секунды - он создавался в моменс создания окна IE и уничтожался после загрузки троянской BHO. Но во втором варианте для этих фокусов нужно некое приложение "X" ... Драйвер может пойти первым путем, в совокупности с маскировкой его будет сложно словить - но первое же повисание ПК его убъет.

----------


## NickGolovko

aintrust: Драйвер AVZGuard в принципе достаточно агрессивен, хотя некоторые драйвера агрессивнее и действительно способны снять его хуки - тот же драйвер System Safety Monitor. Три четверти AVZ я уже перевел (к слову сказать), надеюсь, понравится  :Wink:

----------


## aintrust

> ...
> По поводу снятия перехватов, восстановления ключей - это реализуемо, но экзотично. Я исследовал несколько тысяч зверей, из них подобные штучки применяют десятки (но применяют !!). Я видел две характерные реализации - "скрытый автозапуск" (когда в момент shutdown создается ключ, в момент запуска зловреда - удалятся. *Лечится просто - нажатием кнопки reset*)
> ...
> но первое же повисание ПК его убъет.
> ...


Сдается мне, что, при всей кажущейся простоте и эффективности таких "методов" борьбы с вирусами, вряд ли найдется хотя бы один производитель защитного софта, который "рискнет" предложить пользователю в качестве метода борьбы с руткитом (или в качестве "последней надежды"?) нажать кнопку 'Reset' или дождаться зависания компьютера - ибо ведь засмеют!!!  :Stick Out Tongue:

----------


## aintrust

> aintrust: Драйвер AVZGuard в принципе достаточно агрессивен, хотя некоторые драйвера агрессивнее и действительно способны снять его хуки - тот же драйвер System Safety Monitor.
> ...


"Достаточно агрессивен" - это, мне кажется, скорее из психологии, чем из компьтерного мира. Что именно вы имели ввиду? Что и тот, и другой имеют средства противодействия другим программам? Ну, так это, вроде, всем известно... Или что-то другое?

----------


## Surfer

заметил такой баг - по окончании проверки в какое-либо поле ввода всталяется строка вида "тесттесттесттесттесттест..."  :Smiley:

----------


## aintrust

> заметил такой баг - по окончании проверки в какое-либо поле ввода всталяется строка вида "тесттесттесттесттесттест..."


Это, вообще-то, не баг - это проявление работы модуля поиска кейлоггеров в AVZ.

----------


## stor

AVZ 4.21 от 26.10.2006
При запуске скнирования или выполнении скрипта "Поиск и нейтрализации RootKit UserMode и KernelMode" система падает, вылетает синий экран, ошибка C0000005 в файле uty2mti1.sys.
Искал этот файл, не нашёл.
Пробовал выгрузить все процессы и приложения, не помогает.
Система WinXP SP2.
В чём причина?

----------


## stor

В Safe Mode проверка идёт без ошибок.
Вылетает на проверке RootKit Kernel-Mode.
Из ПО установлен Agnitum Outpost FireWall 4.0.888.6607, Demon Tools 4.06HE

----------


## pig

> AVZ 4.21 от 26.10.2006
> При запуске скнирования или выполнении скрипта "Поиск и нейтрализации RootKit UserMode и KernelMode" система падает, вылетает синий экран, ошибка C0000005 в файле uty2mti1.sys.
> Искал этот файл, не нашёл.


Это, наверное, антируткитовый драйвер AVZ. IMHO, надо Олегу исследование вашей системы заслать. А уж дальше как он скажет.

----------


## Зайцев Олег

> В Safe Mode проверка идёт без ошибок.
> Вылетает на проверке RootKit Kernel-Mode.
> Из ПО установлен Agnitum Outpost FireWall 4.0.888.6607, Demon Tools 4.06HE


Этот файл - драйвер AVZ. Форкус в том, что ядреная часть Outpost 4 - крайне нестабильное приложение, живущее по принципу - "после меня - хоть потоп". Поэтому в любом случае применять нейтрализацию руткитов при активном Outpost 4 не стоит - часто заканчивается паданием системы или глюками. Кстати говоря, аналогично с другим ПО, которое устанавливает ядреные драйвера и перехваты.

----------


## aintrust

> AVZ 4.21 от 26.10.2006
> При запуске скнирования или выполнении скрипта "Поиск и нейтрализации RootKit UserMode и KernelMode" система падает, вылетает синий экран, ошибка C0000005 в файле uty2mti1.sys.
> Искал этот файл, не нашёл.
> Пробовал выгрузить все процессы и приложения, не помогает.
> Система WinXP SP2.
> В чём причина?


Если у вас остался мини-дамп, то запостите его, плиз, сюда...

----------


## aintrust

Насколько мне помнится, _Outpost 4_ все время следит за состоянием своих хуков в таблице _SSDT_ и восстанавливает ее, если видит изменение. Вполне вероятно, что это именно такой случай.

Олег, мне кажется, что в хелпе к AVZ надо особым образом подчеркнуть, что использование режима AVZGuard в случаях, когда на компьютере уже установлен защитный софт от других А/В производителей, может приводить к BSOD и зависаниям компьютера.

----------


## Зайцев Олег

> Насколько мне помнится, _Outpost 4_ все время следит за состоянием своих хуков в таблице _SSDT_ и восстанавливает ее, если видит изменение. Вполне вероятно, что это именно такой случай.
> 
> Олег, мне кажется, что в хелпе к AVZ надо особым образом подчеркнуть, что использование режима AVZGuard в случаях, когда на компьютере уже установлен защитный софт от других А/В производителей, может приводить к BSOD и зависаниям компьютера.


AVZ 4.21 нейтрализует драйвера, которые восстанавливают свои хуки в SSDT (причем делает это коректно - тот-же Haxdoor иначе не нейтрализовать). Но тут естественно начинает драка, кто-кого. Результатом иногда бывает BSOD - причем я не исключаю, что BSOD генерируется искусственно - типа "ты нейтрализовал мои перехват - ну так получай"  :Smiley: 
Я обязательно пропишу в справке и FAQ про это ...

----------


## stor

Попробовал деинсталлировать Outpost, и деинсталлировал Demon Tools.
Драйвера их удалены.
Ошибка всё равно выскакивает.
Установлен Avast 4.7.844.0, но из автозагрузки и в службах он отключен.

----------


## Зайцев Олег

> Попробовал деинсталлировать Outpost, и деинсталлировал Demon Tools.
> Драйвера их удалены.
> Ошибка всё равно выскакивает.
> Установлен Avast 4.7.844.0, но из автозагрузки и в службах он отключен.


Тогда нужно сделать исследование системы (Файл/Исследование системы) и прислать протокол. Перед исследованием следует произвести сканирование с настройками по умолчанию (не выделяя дисков и не включая нейтрализацию руткитов). Полученный протокол исследования можно приложить к этой теме или прислать мне по почте.

----------


## aintrust

> Попробовал деинсталлировать Outpost, и деинсталлировал Demon Tools.
> Драйвера их удалены.
> Ошибка всё равно выскакивает.
> Установлен Avast 4.7.844.0, но из автозагрузки и в службах он отключен.


Повторюсь: если не трудно, пришлите сюда мини-дамп (если у вас не отключено их создание). Мини-дампы лежат в каталоге %SystemRoot%\Minidump (т.е., обычно в C:\WINDOWS\Minidump), пришлите последний по дате файл.

----------


## NickGolovko

> "Достаточно агрессивен" - это, мне кажется, скорее из психологии, чем из компьтерного мира. Что именно вы имели ввиду? Что и тот, и другой имеют средства противодействия другим программам? Ну, так это, вроде, всем известно... Или что-то другое?


Извините меня за персональную терминологию.  :Smiley:  Я основываюсь на показаниях протоколов AVZ: при установке нового драйвера на те же хуки остается только один драйвер на конкретном хуке. Стало быть, он агрессивнее.  :Smiley:  Чем драйвер агрессивнее, тем эффективнее он сопротивляется противодействию.  :Smiley:

----------


## stor

aintrust
Минидамп, как и дамп ядра системы, как и полный дамп памяти не выполняется. Изменение настроек в свойствах системы никак на сохранение дампа не влияют.
Поэтому минидамп отправить не могу.

Зайцев Олег
Исследование сделал, высылаю.
А вот любая проверка системы с включеной опцией "Детектировать перехватчики API и RootKit" (неважно включены или отключены опции "Блокировать работу RootKit User-Mode" и "Блокировать работу RootKit Kernel-Mode") вызывает BSOD с описаной выше ошибкой.

Если ловить момент когда система вылетает, то в окне протокола AVZ последняя строчка выглядит так:
"KIST 804E2D20 (284)"

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## aintrust

> Извините меня за персональную терминологию.  Я основываюсь на показаниях протоколов AVZ: при установке нового драйвера на те же хуки остается только один драйвер на конкретном хуке. Стало быть, он агрессивнее.  Чем драйвер агрессивнее, тем эффективнее он сопротивляется противодействию.


Дело в том, что таблица SSDT (System Service Descriptor Table) устроена таким образом, что каждый ее элемент указывает только на один адрес - это адрес программы-обработчика данного сервиса. И по-другому не бывает. Поэтому, когда AVZGuard устанавливает свои обработчики ("хуки", "перехваты") - все они указывают на адреса внутри драйвера AVZGuard. Сами обработчики сервисов (после выполнения необходимых действий) могут возвращать управление как на оригинальный обработчик сервиса (тот, который был при загрузке системы), так и на тот, который находился в таблице вплоть до того момента, как новый обработчик перехватил управление (а это уже может быть и предварительно измененый кем-то, в том числе и а/в программой, обработчик). С целью максимальной совместимости с установленным ПО поступают обычно так, как описано в последнем случае (т.е. передают управление на последний установленный обработчик). Более того, некоторые программы ("агрессоры", как вы говорите) пытаются отслеживать изменения в SSDT на предмет наличия там именно своих перехватов, и восстанавливают их при необходимости. Кто победит в "войне", если таких "агрессоров" несколько - сложно сказать, но права, в принципе, у всех одинаковые. 

К чему это может привести? В некоторых случаях - к неустойчивой работе системы или даже к BSOD, в связи с чем любое такое средство "восстановления" SSDT (когда разом отключаются все предварительно установленные перехватчики) или его модификации "на лету", как это сделано в AVZ, является потенциально опасным для системы.

----------


## stor

Ошибка BSOD:
0000008E (0xC0000005, 0xFCCE6534, 0xF92E5B28, 0x0000000)
uty2mti1.sys Addr FCCE6534 base at FCCE5000 datestamp 4507E677

----------


## Зайцев Олег

> .... С целью максимальной совместимости с установленным ПО поступают обычно так, как описано в последнем случае (т.е. передают управление на последний установленный обработчик)....


Совершенно верно - AVZGuard в частности перехватывает функции и после выполнения своих проверок отдает управление той функции, которая была прописана в SSDT до его установки.  В момент отключения AVZGuard он восстановит перехваченные функции SSDT в том виде, в каком они были до его установки. Другое дело антируткит - он восстанавливает функции, патчит драйвера-перехватчики ... это в ряде случаев чревато.
Странно другое - почему в описанном выше случае система вылетает при выключенном противодействии руткитам. В этом случае ничего не перехватывается и не патчится, AVZ работает только на чтение.

----------


## aintrust

> aintrust
> Минидамп, как и дамп ядра системы, как и полный дамп памяти не выполняется. Изменение настроек в свойствах системы никак на сохранение дампа не влияют.
> Поэтому минидамп отправить не могу.


В своем первом сообщении вы написали: 



> При запуске скнирования или выполнении скрипта "Поиск и нейтрализации RootKit UserMode и KernelMode" система падает, вылетает синий экран, ошибка C0000005 в файле uty2mti1.sys.


Это означает, что, если вы правильно настроили вывод дампа (Пуск -> Панель управления -> Система -> Загрузка и восстановление -> Параметры -> Отказ системы), то он должен выполняться.

Впрочем, давайте теперь уже дождемся сообщения от Олега Зайцева.

----------


## Зайцев Олег

> Ошибка BSOD:
> 0000008E (0xC0000005, 0xFCCE6534, 0xF92E5B28, 0x0000000)
> uty2mti1.sys Addr FCCE6534 base at FCCE5000 datestamp 4507E677


Файл исследования пришел, там тольео один модуль пространства ядра вызывает подозрение: System32\Drivers\PxHelp20.sys (от Sonic Solution ?! -установлен он недавно). Очень бы помог минидамп, о котором чуть выше сказал *aintrust* - по минидампу можно предметно сказать. По адресу в сообщении баг не локализуется ...

----------


## anton_dr

Олег, а при отложенном удалении никаких сообщений не выводится?
Сейчас посмотрел - пишет только что-то вроде "Выполняется эвристическая чистка...." и все. Об окончании этого процесса ничего. Как бы надо, наверное. Или я просто не дождался?

----------


## Зайцев Олег

> Олег, а при отложенном удалении никаких сообщений не выводится?
> Сейчас посмотрел - пишет только что-то вроде "Выполняется эвристическая чистка...." и все. Об окончании этого процесса ничего. Как бы надо, наверное. Или я просто не дождался?


Отетки о завершении нет - если нужно, ее несложно добавить

----------


## stor

Удалил я драйвер PxHelp20.sys но система как и раньше вылетает.

Минидамп не создаётся, все настройки я уже менял, см. выше, пробовал ставить и полный дамп памяти, но файлы дампов не создаются.
Буду копаться дальше, искать где ж я настройки системы поменял, чтобы дампы отключить.

----------


## SuperBrat

Олег, последние пару дней AVZ, обновляемый через прокси-сервер с авторизацией (UserGate), скачивает все main*.avz файлы. Такой же AVZ на dial-up скачивает лишь последние измененные файлы. С чем, по вашему мнению, это может быть связано?

----------


## aintrust

> Удалил я драйвер PxHelp20.sys но система как и раньше вылетает.
> 
> Минидамп не создаётся, все настройки я уже менял, см. выше, пробовал ставить и полный дамп памяти, но файлы дампов не создаются.
> Буду копаться дальше, искать где ж я настройки системы поменял, чтобы дампы отключить.


_PxHelp20.sys_ удалять не нужно, это, вероятнее всего, драйвер какой-то утилиты для записи CD/DVD (возможно, от компании _Sonic Solutions_). Можно было просто на время (для проверки предположения Олега о возможном конфликте) его отключить.

Я, к сожалению, не видел протокола исследования системы, которое вы отослали Олегу, поэтому в данный момент ничего больше сказать не могу. Постарайтесь получить хотя бы мини-дамп, иначе локализовать ошибку будет сложновато. У вас, кстати, файл подкачки находится на загрузочном томе? Его присутствие там является необходимым условием для получения дампа (для мини-дампа файл подкачки д.б. не менее 2 Мбайт, для полного дампа - превышать размер оперативной памяти компьютера как минимум на 1 Мбайт)!

Также, для полноты картины, я бы попросил вас сделать следующее: загрузить утилиту "Сведения о системе" (Пуск -> Все программы -> Стандартные -> Служебные -> Сведения о системе) и сделать в ней "Файл" -> "Сохранить..." (т.е. сохранить конфигурацию системы в виде файла xml). Полученный файл (.nfo) заархивируйте и пришлите сюда (или мне в личку). Будем искать корень проблемы...

----------


## Зайцев Олег

> Олег, последние пару дней AVZ, обновляемый через прокси-сервер с авторизацией (UserGate), скачивает все main*.avz файлы. Такой же AVZ на dial-up скачивает лишь последние измененные файлы. С чем, по вашему мнению, это может быть связано?


Есть вероятность, что прокси отдает AVZ некорректный файл с описанием баз (не актуальный, а из кеша). Я советую сравнить файлы, полученные обоими путями и то, что пишет AVZ в описании базы и в начале протокола.

----------


## stor

PxHelp20.sys файл NERO

----------


## aintrust

> PxHelp20.sys файл NERO


Эту библиотеку, PxHelp, используют (видимо, по лицензии от Sonic Solutions) очень многие производители софта, так или иначе работающие с CD/DVD напрямую, поэтому ее компоненты могут принадлежать и Nero, и Music Match, и WinAmp, и Sonic Scenarist, и AnyDVD, и еще целому вороху программ...  :Wink:  У меня она тоже используется, и этот драйвер тоже загружен - и это не приводит к каким-либо конфликтам с AVZ, так что, я думаю, можно о нем спокойно забыть.

----------


## x7273

у меня вопрос - мои сообщения и ответы на них порезаны случайно или я нарушил правила поведения?

----------


## aintrust

> у меня вопрос - мои сообщения и ответы на них порезаны случайно или я нарушил правила поведения?


Нет-нет... ввиду того, что тема начала превращаться в офф-топик, обсуждение перенесли вот сюда: Особенности реализации защиты сетевого траффика в KAV/KIS 2006.

----------


## anton_dr

> Отетки о завершении нет - если нужно, ее несложно добавить


Мне кажется, нужно. А то непонятно, завершился процесс или нет.

----------


## aintrust

to *NickGolovko*:

Случайно увидел ваш пост на форуме ЛК (Самозащита, пост _#2_ за _24.10.2006 17:08_). Вы пишете:




> Модификации не всегда на пользу (не обязательно по поводу Каспера). У всех нововведений есть своя оборотная сторона. 
> 
> AVZ драйвера в двадцатом билде были переведены на режим создания-удаления драйвера во время работы AVZ (раньше драйвера лежали на диске готовыми). Плюс: давятся мощные руткиты, умеющие блокировать подгрузку драйверов AVZ. Минус: AVZ попала под каток абсолютного большинства HIPS: подгрузку драйвера вылавливать дано не всем, а вот создание или установку такового ловят, по сути, все без исключения


В общем, вы делаете некорректные выводы. Можно даже сказать совершенно некорректные. Дело в том, что с точки зрения загрузки драйверов в AVZ версии 4.20 ровным счетом ничего не изменилось, и по этой причине указанный вами "плюс" и "минус" - это просто ваша выдумка. Мы сейчас с Олегом совместными усилиями вспоминали последовательность событий, и она такова:
1) в версии 4.19 или даже ранее (мне кажется, что ранее - но просто лениво сейчас копаться, давно это было) изменился способ загрузки драйверов, т.е. они стали грузиться не через SCM, а напрямую, с использованием вызов NtLoadDriver()/NtUnloadDriver(). Иными словами, драйверы как и раньше загружались динамически, изменился только конкретный способ загрузки. Сделано это было для того, чтобы, по-возможности, избавится от ситуаций, когда периодически SCM по каким-то только ему известным причинам некорректно оставлял в реестре записи о драйвере AVZGuard.
2) в версии 4.20 драйверы были помещены совместно с базами AVZ (ранее они были отдельными файлами), и соответственно, перед тем, как такой драйвер загрузить, надо просто создать временный файл драйвера и поместить его в папку %SystemRoot%\System32\drivers. И это, собственно, все!

Из факта создания/удаления файла драйвера "на лету" ровным счетом не следует то, о чем вы пишете, т.к. сделано это было, с одной стороны, для удобства (все лежит вместе и грузится одинаковым способом), а с другой - чтобы "плохие" программы не могли эти драйверы попортить. Только и всего! И это никак не влияет ни на борьбу с "мощными руткитами" (с какими именно?), как вы пишете, ни на видимость такой загрузки "большинством" HIPS (какие именно HIPS вы имели ввиду? "нормальные" HIPS, известные мне, например, DefenseWall Ильи Рабиновича, "ловили" - и обязаны были это делать!!! - загрузку драйверов как в старых версиях AVZ, так и сейчас!). 

В общем, я призываю вас быть более точным!  :Wink: 

PS. Небольшое уточнение от Олега Зайцева:



> так вот о драйвере ... одно изменилось после помещения драйвера в базу его haxdoor убить не может - у него блокировка по имени файла. Теперь драйвер получает случайное имя ...


Да, согласен, но это, в приниципе, частный случай, не имеющий отношения к способу загрузки драйвера. В принципе, генерировать случайное имя драйвера (а также симлинка и прочее) можно было и не помещая драйвер в базу AVZ.

----------


## NickGolovko

> to *NickGolovko*:
> 
> Случайно увидел ваш пост на форуме ЛК (Самозащита, пост _#2_ за _24.10.2006 17:08_). Вы пишете:


Имелись вирусы, способные блокировать подгрузку драйверов AVZ (здесь же и описывалось, на этом форуме). Поэтому перевели на режим создания драйвера как временного файла со случайным именем. Я неправ?  :Wink:  

Мне известно, что не все HIPS умеют ловить факт подгрузки. Зато многие из них ловят установку драйвера или его регистрацию. Я уже, кстати, описывал вопрос с Tiny: я мог просто запретить создание драйвера на диске, и все. Перепроверить уже не могу: даже с дефолтовой безопасностью последняя версия AVZ просто не запускается  :Smiley:

----------


## aintrust

> Имелись вирусы, способные блокировать подгрузку драйверов AVZ (здесь же и описывалось, на этом форуме). Поэтому перевели на режим создания драйвера как временного файла со случайным именем. Я неправ?


Вот теперь - правы. Но в своем первом посте вы ни слова не сказали о том, что файлу драйвера дается "случайное имя". В данном конкретном случае (если речь идет о вирусе haxdoor) - это и есть самый принципиальный момент. Просто не нужно путать понятия "временного файла" и "случайного имени файла", это разные вещи.




> Мне известно, что не все HIPS умеют ловить факт подгрузки. Зато многие из них ловят установку драйвера или его регистрацию. Я уже, кстати, описывал вопрос с Tiny: я мог просто запретить создание драйвера на диске, и все. Перепроверить уже не могу: даже с дефолтовой безопасностью последняя версия AVZ просто не запускается


А что в вашем понимании есть "подгрузка" драйвера, его "установка" и "регистрация"? Мне не совсем понятна такая терминология. Как, по вашему мнению, динамически загружаетя драйвер? В какой последовательности идут действия, отвечающие за озвученные вами термины, и в чем конкретно они выражаются? И как, по вашему мнению, грузит драйверы AVZ, он выполняет все указанные вами действия или же нет? И что изменилось в версии 4.20 с точки зрения выполнения или невыполнения этих действий, что дало возможность неким HIPS начать его "ловить"?

PS. Обратите внимание также на PS в конце моего предыдущего поста - я добавил его после замечания Олега Зайцева.

----------


## NickGolovko

> А что в вашем понимании есть "подгрузка" драйвера, его "установка" и "регистрация"? Мне не совсем понятна такая терминология. Как, по вашему мнению, динамически загружаетя драйвер? В какой последовательности идут действия, отвечающие за озвученные вами термины, и в чем конкретно они выражаются? И как, по вашему мнению, грузит драйверы AVZ, он выполняет все указанные вами действия или же нет? И что изменилось в версии 4.20 с точки зрения выполнения или невыполнения этих действий, что дало возможность неким HIPS начать его "ловить"?


"Установка" или "регистрация" - действие, после которого драйвер отображается в диспетчере устройств, то есть прописка в реестре. Это ловится, например, проактивкой KIS. Текущую версию не тестировал, но знаю, что по крайней мере до двадцатой версии этот детект был.

"Подгрузка" - функция LoadDriver. Это ловится, к примеру, SSM.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## aintrust

to *NickGolovko*:

Ладно, я понял и не вижу больше смысла вас "мучить" и задавать вопросы, в особенности если вы не хотите или затрудняетесь на них отвечать...  :Wink:

----------


## NickGolovko

ОК  :Wink:

----------


## Зайцев Олег

> to *NickGolovko*:
> 
> Ладно, я понял и не вижу больше смысла вас "мучить" и задавать вопросы, в особенности если вы не хотите или затрудняетесь на них отвечать...


Вероятно,  для предметности нужна техническая справка  :Smiley:  дыбы суть спора была понятна всем. В AVZ (да и где угодно еще) использование драйвера предполагает 3 основных шага
1. Драйвер должен быть помещен на диске, причем в папке, откуда системе разрешено грузить драйвера и соответственно куда приложению можно писать
Далее возможно две стратегии 
-- через SCM --
2. при помощи SCM производится регистрация драйвера
3. с помощью того же SCM драйвер загружается
-- вручную --
2. В реестре создается ключик с описанием драйвера
3. Драйвер грузится функций ZwLoadDriver
По сути, шаги 2-3 идентичны, но SCM более кривой и глючный. 
Теперь смотри на это глазами HIPS. Правильная HIPS мониторит все потенциально опасные действия, в частности:
1. Создание на диске драйвера (причем не обязательно  драйвера – может давиться создание любого файла в системной папке, создание PE файла, создание файла с расширение SYS и т.п.). Надо будет кстати дать драйверу в версии 4.22 расширение txt смеха ради  :Smiley:  
2. Создание ключа в реестре, в соотв. разделе
3. Операция загрузки драйвера.
Но не все HIPS делают все эти проверки - некоторые мониторят только создание файлов, некоторые – только реестр. Иногда бывают вообще чудные перекосы – где-то (кажется в HIPS от StarForse, но точно не помню) я видел перехват API в UserMode, относящиеся к SCM. Т.е. загрузка драйвера не через SCM у них не мониторилась.

----------


## SuperBrat

> Есть вероятность, что прокси отдает AVZ некорректный файл с описанием баз (не актуальный, а из кеша). Я советую сравнить файлы, полученные обоими путями и то, что пишет AVZ в описании базы и в начале протокола.


Олег, вы были совершенно правы. Проблема в прокси. Тенденцию удалось переломить, выбрав другое зеркало для закачки.

----------


## XL

К слову, о Haxdoor'e. Где-то на _http://www.xakepy.ru по-моему мне попались сокрушения одного из главных пинчестроителей по поводу того, что автор вышеупомянутого трояна A311 отошел от былых дел. Так что есть вероятность, что противостояние AVZ  и haxdoor наконец прекратится. Новые варианты бэкдора мне что-то не попадались в последнее время.

----------


## aintrust

> ...
> В AVZ (да и где угодно еще) использование драйвера предполагает 3 основных шага
> 1. Драйвер должен быть помещен на диске, причем в папке, откуда системе разрешено грузить драйвера и соответственно куда приложению можно писать
> Далее возможно две стратегии 
> ...


А странно...  :Wink:

----------


## aintrust

> PxHelp20.sys файл NERO


Кстати, *stor*, жаль, что вы не прислали файл с конфигурацией вашего компьютера, как я просил (результат работы утилиты _msconfig_) - это позволило бы быстрее разобраться с проблемой падения вашей системы при работе AVZ. Но теперь это уже неважно - проблема локализована, и, я полагаю, в следующей версии все уже будет ОК, падения не будет.

----------


## NikVA

Помогите не работают настройки в плагине изменяешь путь или ставиш галочку в протоколировании плагин сбрасывает все настройки, как можно настроить плагин???

----------


## Зайцев Олег

> Помогите не работают настройки в плагине изменяешь путь или ставиш галочку в протоколировании плагин сбрасывает все настройки, как можно настроить плагин???


В данном случае проще выкинуть существующий планин и установить новый. Новый будет помещен у меня в разделе Download в ближайшие день-два, в нем есть окно настройки со всеми опциями.

----------


## Зайцев Олег

По поводу глюка с антируткитом - в очередном обновлении AVZ (которое было размещено вчера в 15.00) и последующих обновились ядреные компоненты AVZ - теперь BSOD в ходе поиска руткитов возникать не должен.

----------


## SuperBrat

Олег, сегодня прочитал, что AVZ участвует в тестировании "Тест антивирусов - лечение активного заражения" на www.anti-malware.ru.

----------


## Зайцев Олег

> Олег, сегодня прочитал, что AVZ участвует в тестировании "Тест антивирусов - лечение активного заражения" на www.anti-malware.ru.


Участвует - но он там так, за компанию   :Smiley:  Я знаю об этом тестировании и помог авторам тестов подборкой различных трудноубиваемых ITW зловредов из моей коллекции.

----------


## aintrust

> ...и помог авторам тестов подборкой различных трудноубиваемых ITW зловредов из моей коллекции.


Значит, только чудо не позволит KAV-у занять первое место!  :Wink:  

Но если серьезно, то включение AVZ в этот "скорбный список" вызывает некоторое недоумение - это не только не антивирус по-определению (несмотря на название), но он еще и не обладает необходимым условием для проведения теста, а именно модулем on-access. Авторам теста надо или ставить утилиты в примерно равные условия, или дополнительно обговаривать этот момент, или вообще рассматривать участие AVZ как "внеконкурсное".

PS. Ну вот, они там "поправились" уже, что AVZ будет участвовать только в одном из тестов.

----------


## aintrust

Читаю форум _Sysinternals_, а именно вот это: Rootkit Detectors Bypassing/Overview, начиная со страницы 75 и дальше (в общем, *EP_X0FF* vs. *AVZ*). Ржачка просто улетная!!! Там, кстати, и по-русски есть, с цитатами из вот этой самой ветки по поводу упоминавшегося тут недавно демо-руткита (производства *EP_X0FF* & Co) и его полной невидимости в AVZ... В общем, спешите видеть!  :Wink:

----------


## RiC

> Значит, только чудо не позволит KAV-у занять первое место!


В качестве "чуда" можно добавить в коллекцию - PE386, Hostfix, Goldun, Gromozon ну и ещё что-нибудь "весёлое"  :Wink:

----------


## Зайцев Олег

> В качестве "чуда" можно добавить в коллекцию - PE386, Hostfix, Goldun, Gromozon ну и ещё что-нибудь "весёлое"


Там как раз всего понемногу. Причем все ITW - т.е. реальные звери, которые пойманы на реальных ПК. Цель теста собственно интересна - продетектировать и корректно прибить зверя.

----------


## Зайцев Олег

> Читаю форум _Sysinternals_, а именно вот это: Rootkit Detectors Bypassing/Overview, начиная со страницы 75 и дальше (в общем, *EP_X0FF* vs. *AVZ*). Ржачка просто улетная!!! Там, кстати, и по-русски есть, с цитатами из вот этой самой ветки по поводу упоминавшегося тут недавно демо-руткита (производства *EP_X0FF* & Co) и его полной невидимости в AVZ... В общем, спешите видеть!


Я читал - цирк. Причем это не совсем руткит ... маскируемый процесс ничего не делает, в том числе не прописывается в автозапуск ... Поймать его легко, но это снизит мобильноть AVZ ...

----------


## SuperBrat

> Значит, только чудо не позволит KAV-у занять первое место!


Надеюсь, Олег не по этому признаку (находит только KAV) выбирал зловредов. По опыту заочного общения с Олегом, могу сказать, что он добавляет в базу AVZ всех зловредов. Многое из того, что я ему присылал, тестировали и другие антивирусы. Если Олег не добавлял зловреда, то всегда аргументированно отвечал - почему. У меня претензий нет.

----------


## Зайцев Олег

> Надеюсь, Олег не по этому признаку (находит только KAV) выбирал зловредов. По опыту заочного общения с Олегом, могу сказать, что он добавляет в базу AVZ всех зловредов. Многое из того, что я ему присылал, тестировали и другие антивирусы. Если Олег не добавлял зловреда, то всегда аргументированно отвечал - почему. У меня претензий нет.


Образцы отбирал не я, а мой анализатор - машина как известно беспристрастна и критирий "детектируется KAV" тут не показатель. Критерии - 
1. ITW. Т.е. всевозможные коллекционные образцы, лабораторные "руткиты" и т.п. отсечены
2. трудноудаляемость в любой форме (отбирал сам анализатор, там около сотни критериев)
3. Распространенность - зловред должен быть хорошо распространен, не менее 50-ти обнаружений в живой природе за квартал
4. Время отлова - с момента отлова должно пройти не менее 2х недель. Причина - для данного теста нужны звери, которые попали в вирлабы и детектятся изучаемыми антиврусами. 
Если кто-то из тестируемых AV что-то не детектит, то я полагаю, что авторы теста пошлют образцы в вирлаб соответствующего антивиря - в данном стесте с точки зрения сигнатурного детекта все антивири должны быть на равных.

----------


## Mamont

> Если кто-то из тестируемых AV что-то не детектит, то я полагаю, что авторы теста пошлют образцы в вирлаб соответствующего антивиря - в данном стесте с точки зрения сигнатурного детекта все антивири должны быть на равных.


А я так не полагаю, потому что Вы это с авторами теста не обговорили.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> А я так не полагаю, потому что Вы это с авторами теста не обговорили.


Может быть - но тесты то не я провожу. Авторы теста попросили зверьем помочь, я и помог. Мы в принципе обсудили возможные методики теста - при этом отлов зловредав по сигнатурам предполагается всеми антивирусами в тесте, иначе он просто бессмысленен. Тут как раз идея в том, что антивирь знает зверя по сигнатурам - вот и интересно, насколько хорошо он его увидит и насколько чисто прибъет, особенно когда зверь запущен и защищается.

----------


## aintrust

> Надеюсь, Олег не по этому признаку (находит только KAV) выбирал зловредов.
> ...


Объясню еще раз, что я имел ввиду: все реальные "звери", которые имеются в коллекции Олега, отсылаются в ЛК (и не только им) и имеют классификацию ЛК, в связи с чем сигнатурный детект (как минимум) этих зверей у KAV-а (и у AVZ, естественно) обещает быть 100%!  :Wink:  

Будут ли к моменту тестирования сигнатуры этих "зверей" в базах других а/в производителей, ничего не известно - по крайней мере, я ничего об этом не прочитал в ветке, где обсуждалась методика тестирования.

----------


## userr

Олег, в связи с недавней эпидемией warezov, скажи, ловились ли они эвристикой AVZ?

----------


## незарег...

F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00189.dta >>>>> Trojan.Win32.Krepper.ae 
F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00190.dta >>>>> Trojan.Win32.Krepper.ae 
F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00191.dta >>>>> Trojan-Clicker.Win32.Delf.r 
F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00192.dta >>>>> Trojan.Win32.Small.cr 

Скачал последнюю версию, проверяю комп...
Вот такая фигня вылезла.
Пусть хотя бы сам на себя не реагирует =)

----------


## Зайцев Олег

> Олег, в связи с недавней эпидемией warezov, скажи, ловились ли они эвристикой AVZ?


И да, и нет. По сигнатурам его детектить сложно, он меняется постоянно, но по косвенным признакам на зараженной машине - возможно... он маскирует свой процесс, внедряет кучу левых DLL и грузит несколько из них через AppInit_DLLs. Причем одна из библиотек имеет неизменное имя 
e1.dll (см. http://www.z-oleg.com/secur/virlist/vir1158.php - краткое описание и пример лога AVZ с зараженного ПК)

----------


## Зайцев Олег

> F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00189.dta >>>>> Trojan.Win32.Krepper.ae 
> F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00190.dta >>>>> Trojan.Win32.Krepper.ae 
> F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00191.dta >>>>> Trojan-Clicker.Win32.Delf.r 
> F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00192.dta >>>>> Trojan.Win32.Small.cr 
> 
> Скачал последнюю версию, проверяю комп...
> Вот такая фигня вылезла.
> Пусть хотя бы сам на себя не реагирует =)


А он на себя и не реагирует ... если _внимательно_ посмотреть, то старая версия AVZ заархивирована вместе с _карантином от 2005-06-16_ - вот закарантиненные файлы он и детектирует

----------


## Nick222

Извините за офф-топ - где обсуждается плагин для AVZ к The Bat (у меня почему-то не сохраняются настройки плагина)?

----------


## pig

Обещали новую версию плагина. Уже есть или подождать?

----------


## Зайцев Олег

> Обещали новую версию плагина. Уже есть или подождать?


Уже есть - плагин прошел все тесты, завтра выкладываю его в Инет

----------


## Зайцев Олег

Плагин прошел тесты и доступен для загрузки - http://z-oleg.com/avz4thebat.zip
Единственное радикальное изменение - диалог настройки плагина, позволяющий задать путь к базам AVZ. Плюс поддержка распаковки и проверки вложений в виде MIME файлов (расширения MIM, BHX)

----------


## Nick222

У меня не сохраняется галка в плагине к Бату - вести лог.
Как всё-таки можно увидеть - проверяет ли что-нибудь плагин и что?

Если лог плагина всё-таки ведётся - где он лежит?

Спасибо!

----------


## Зайцев Олег

> У меня не сохраняется галка в плагине к Бату - вести лог.
> Как всё-таки можно увидеть - проверяет ли что-нибудь плагин и что?
> 
> Если лог плагина всё-таки ведётся - где он лежит?
> 
> Спасибо!


Птичка "вести лог" предусмотрена на сеанс, для отладки. Сейчас ведение протоколов заблокировано, но в будующем я думаю разблокировать эту опцию для того, что плагин вел список обнаруженных "зверей" и протоколировал ошибки.

----------


## Nick222

Понял  :Smiley: 

Хочу сказать *большое спасибо*, обнаружился вирус - ДрВэб через Инет его не распознал, Аваст не увидел. Касперский через Инет подтвердил - вирус от 12 ноября...

----------


## Nick222

Итак, проверил весь комп AVZ-ом. Лог прилагается.

Вопросы:
1) У меня стоит на компе и висит в памяти:
- Avast4 антивирус;
- драйвер-утилита для OPTI-UPS (SAFEPLUS);
- Aston как shell;
- Java;
по поводу каждого AVZ устраивал тревогу - см.лог.
Так ли обязательно реагировать на стандартные программы - или я выставил слишком сильный уровень придирчивости при проверке?

2) "Подозрения на вирусы" (мелкие - см.лог) проверил и Касперским, и Авастом, и ДрВэбом - вируса нет (нельзя ли подтвердить вирус или больше не выводить тревогу - файлы могу прислать на проверку - 500 Кб и 17 Кб)?

3) "Подозрения на вирусы" (крупные - the_bat_1_53_d.exe, the_bat_1_51.exe, the_bat_1_52.exe, microburner.exe) проверил ДрВэбом и Аваст (Касперский не берёт он-лайн файлы больше 1 Мб) - вирусов нет. Что делать дальше - чем и где проверить или можно прислать (3 по 2 Мб и 1 по 1,2 Мб)?

4) Что значит "data.file MailBomb detected !" - это где и что (как-то поясняли, но я потерял место,где это - или есть в ЧаВо?)?

5) htmlview.wlx - не перехватчик клавиатуры, а листер-плагин для Тотал Комманде - м.б. его вписать в базу "правильных" программ?

6) Что означает "Invalid file - not a PKZip file"? (или где это пояснено?)

7) AVZ явно неправильно определяет время своей работы - постоянно "оставшееся время работы" было около 10 минут - и так несколько часов  :Smiley:  . Реально она работала часов 5-6, а показала 3 часа (я лёг спать и момент окончания работы пропустил).

Извините за длинный список  :Smiley: 
Спасибо!

----------


## Зайцев Олег

to Nick222
1. А где тревога ? В опция явно стоит птичка "расширенный анализ" - вот AVZ и ведет расширенный анализ всех процессов, которые не опознаны по базе безопасных, рассказывая, что он о них думает. Хорошо это или плохо - AVZ такого вывод не делает, просто расширенныая информация для читающего протокол специалиста
2,3 Подозрения видимо связаны с п.п. 1 - явно стоит максимальный уроверь эвристики и анализа. Но тем не менее файлы однозначно стоит прислать для изучения и продправления записей в базе
4. "data.file MailBomb detected" - означает, что проверяется сравнительно небольшой архив, а которо находится огромный файл. Такие архивя часто применяются как "бомба" против on-line сканера или антивируса. Но такие сообщения иногда выдаются на сжатые базы данных и подобные вещи.
5 htmlview.wlx  - это именно в первую очередь переватчик клавиатуры ... присылайте его, я внесу в базу чистых
6 Это сообщение о опытке анализа чего-то, сильно похожего на zip файл
7 А монитор антивируса не включен ?? Если включен, то это нормально - сканирование будет идти часами, и время будет определяться неточно

----------


## Белиал

--------------------------------
Проверка памяти завершена
3. Сканирование дисков
C:\Мои документы\документы01.rar/{RAR}/Акт закупки тов.-мат. ценн..doc >>> подозрение на Constructor.MSWord.EMV ( 0C284338 05043463 000BFFCA 004D6E44 16896)
C:\Мои документы\наташа.zip/{ZIP}/ИЗМЕНЕ~1.DOC >>> подозрение на Constructor.MSWord.EMV ( 0B02B2DF 04F21BA3 0013A091 004D6E44 16896)
--------------------------------

100% что эти файлы чистые.

----------


## pig

Пришлите для разбирательства.

----------


## aleksdem

AVZ неможет просканировать порты, а следовотельно, прерывается исследование системы и т.д.Выскакивает окно со следующим сообщением: Access violation at address 00404B20 in module `avz.exe`. Read of address 00000018.
Подскажите, пожалуйста, в чем причина?

----------


## Xen

В дельфи?

----------


## Ego1st

Скажите что не правильно в скрипте при проверке правописания пишет.. 
Ошибка скрипта: Not enough actual parameters, позиция [2:16]

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Скажите что не правильно в скрипте при проверке правописания пишет.. 
> Ошибка скрипта: Not enough actual parameters, позиция [2:16]


QuarantineFile - у нее два параметра - имя файла и текстовое описание причины карантина, например QuarantineFile('D:\WINXP\System32\sbeddem.exe', 'Злобный вирус');

----------


## Nick222

А эту тему по RSS-каналу нельзя получать?

----------


## Nick222

И ещё вопрос - странный, но насущный  :Smiley:  :
Еженедельная проверка файлов на вирусы занимает много времени - у меня на дисках лежит масса дистрибутивов и прочего - что неудобно сливать на ДВД - т.к. объёмы огромные, да и может понадобиться в любой момент.
Т.о. хотелось бы, чтобы эти файлы были доступны, но антивирусом не проверялись каждый раз.
Можно ли сделать так, чтобы файлы, проверенные антивирусом, "запечатывались" и не проверялись до следующего обращения к ним (открытия, копирования и т.п.).
Я понимаю, что это нужно делать на уровне файловой системы, но нельзя ли сделать это с помощью NTFS - чтобы вирус (а, тем более, юзер) не мог обратится, например, к архиву, не сняв атрибут "Проверено на вирусы"?
А в еженедельной проверке проверять только файлы "незапечатанные"?

И ещё:
Avast позволяет проверять файлы на вирусы во время работы скринсейвера - нельзя ли такую же возможность сделать для AVZ - чтобы не сидеть часами и не ждать результатов работы (раз в месяц можно проверить целиком - а остальное время пусть антивирус работает только когда активен скринсейвер)?

----------


## pig

> Можно ли сделать так, чтобы файлы, проверенные антивирусом, "запечатывались" и не проверялись до следующего обращения к ним (открытия, копирования и т.п.).
> Я понимаю, что это нужно делать на уровне файловой системы, но нельзя ли сделать это с помощью NTFS - чтобы вирус (а, тем более, юзер) не мог обратится, например, к архиву, не сняв атрибут "Проверено на вирусы"?


Это вопрос к support.microsoft.com. Если предложите, то будут внедрять в следующую за Vista версию Windows. Я так думаю (c) Мимино

----------


## Зайцев Олег

> Это вопрос к support.microsoft.com. Если предложите, то будут внедрять в следующую за Vista версию Windows. Я так думаю (c) Мимино


MS это кстати уже сделало  :Smiley:  В XP в случае загрузки файла из Инет в потоке NTFS делается пометка о том, что этот файл скачан из Инет. Увидев такую пометку проводник выводит матюгальник с предложением подтвердить открытие. Остальные программы естетсвенно его игнорируют.
А вот как реалоизовать это в случае применения произвольной программы - сложный вопрос ...
*to Nick222*
1. AVZ по идее должен работать при активном скринсейвере - ему в сущности барабану, что происходит на ПК во время сканирования
2. Избирательную проверку (см. выше) в теории можно сделать, но на практике это не ускорит процесс - придется ставить некую метку на файл или вести список проверенных файлов. Универсальное решение может быть появится в AVZ - опция "Проверять только новые", или "Проверять файлы, которые не проверялись более N дней". Но это потянет за собой создание базы данных с описанием проверенных файлов.

----------


## Nick222

> AVZ по идее должен работать при активном скринсейвере - ему в сущности барабану, что происходит на ПК во время сканирования


Речь идёт о другом: Аваст автоматически запускается с проверкой *только*, если активен скринсейвер (специальный скринсейвер Аваста), прерываясь при остановке скринсейвера и в остальное время не мешает работать.
Нельзя ли такое сделать в АВЗ...




> Избирательную проверку ... ... потянет за собой создание базы данных с описанием проверенных файлов


Вот именно - а хотелось бы на уровне файловой системы... (это я типа мечтаю  :Smiley:  )

----------


## Ego1st

> QuarantineFile - у нее два параметра - имя файла и текстовое описание причины карантина, например QuarantineFile('D:\WINXP\System32\sbeddem.exe', 'Злобный вирус');


Олег, а во втором параметре какие варианты есть, кроме злобного вируса?

----------


## Зайцев Олег

> Олег, а во втором параметре какие варианты есть, кроме злобного вируса?


Любые - начиная от пустой строки '' ... Это просто текстовая строка, который прописывается в INI файл с описанием закарантиненного файла как комментарий. В ряде случаев это удобно - можно понять, по какой причине тот или иной файл бал помещен в карантин.

----------


## aleksdem

Извините за некорректно поставленный вопрос в пост419. Уточняю: AVZ не может определить открытые порты:  Сервис – Открытые порты TCP/UDP (выскакивает окно: Access violation at address 00404B20 in module `avz.exe`. Read of address 00000018.) 
При сканировании системы в логе сообщение: 
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 317 описаний портов
 В ходе проверки возникла ошибка. Проверка не производилась
 Причина всему этому Outpost Firewall 4.0 Отключение защиты от атак, помещение AVZ в доверенные приложения и т.п. не помогает. Проблема исчезает только при полной выгрузке Outpost Firewall и остановке его служб. Подскажите, пожалуйста, как убрать конфликт AVZ и Outpost?

----------


## Зайцев Олег

> Извините за некорректно поставленный вопрос в пост419. Уточняю: AVZ не может определить открытые порты:  Сервис – Открытые порты TCP/UDP (выскакивает окно: Access violation at address 00404B20 in module `avz.exe`. Read of address 00000018.) 
> При сканировании системы в логе сообщение: 
> 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>  В базе 317 описаний портов
>  В ходе проверки возникла ошибка. Проверка не производилась
>  Причина всему этому Outpost Firewall 4.0 Отключение защиты от атак, помещение AVZ в доверенные приложения и т.п. не помогает. Проблема исчезает только при полной выгрузке Outpost Firewall и остановке его служб. Подскажите, пожалуйста, как убрать конфликт AVZ и Outpost?


Подобный глюк известен - его причина в блокировке и перехвате функций со стороны Firewall. Я постраняюсь убрать этот глюк в новой версии AVZ ... просто если перейти на "хакерские" методы анализа, то многие Firewall и HISP от них вообще ошелевают.

----------


## VitalyGusarov

> to Nick222
> 6 Это сообщение о опытке анализа чего-то, сильно похожего на zip файл


это то понятно...
вот только почему .exe и .dll файлы считаются похожими на zip? если они вполне корректные .exe и .dll 
и ещё вопрос - проверяются ли они с таким сообщением?

----------


## IVM

Уважаемый, Олег Зайцев, пользуюсь Вашим приложением AVZ вполне доволен, но вот такая ситуация, наловился вирусов, при первом тестировании AVZ обнаружил 1400 тел вирусов, после процесса удаления, лечения и прочих примочек осталось несколько сотен ЕХЕ-фалов на которые АВЗ говорит "прямое чтение". Так вот в такой ситуации было бы удобно иметь возможность удалять эти файлы из антивируса. Спасибо за внимание.

----------


## *Cool Cat

Цитата___________________________
Проблема исчезает только при полной выгрузке Outpost Firewall и остановке его служб. Подскажите, пожалуйста, как убрать конфликт AVZ и Outpost?
____________________________

Вроде как если запустить утилиту APS
(Утилита Алега З)

Проверка портов произайдёт  :Smiley: )

----------


## Ego1st

> Любые - начиная от пустой строки '' ... Это просто текстовая строка, который прописывается в INI файл с описанием закарантиненного файла как комментарий. В ряде случаев это удобно - можно понять, по какой причине тот или иной файл бал помещен в карантин.


Спасибо Олег за пояснения!

----------


## pig

> после процесса удаления, лечения и прочих примочек осталось несколько сотен ЕХЕ-фалов на которые АВЗ говорит "прямое чтение". Так вот в такой ситуации было бы удобно иметь возможность удалять эти файлы из антивируса.


А зачем удалять? То, что файлы кем-то залочены, не означает, что они вредоносные.

----------


## Ego1st

> А зачем удалять? То, что файлы кем-то залочены, не означает, что они вредоносные.


а если вредоносны?

----------


## pig

AVZ про них этого не сказала. Только то, что файлы пришлось читать в обход системы.
Вопрос: что за файлы? Если есть сомнение, то ход простой: подозреваемых в карантин и на Virustotal. И, по результатам - Олегу на стол.

----------


## Зайцев Олег

> это то понятно...
> вот только почему .exe и .dll файлы считаются похожими на zip? если они вполне корректные .exe и .dll 
> и ещё вопрос - проверяются ли они с таким сообщением?


Проверяются конечно. А похожим на ZIP является не сам EXE - просто у него к хвосту приписана информация, по заголовку - ZIP архив, но он не совсем корректный (возможно, модифицированный ZIP или несколько архивов, склеенных стык в стык). После проверки EXE AVZ видит, что размер файла не соотвесттвует данным его заголовка - файл больше. Вполне логичный шаг - посмотреть, что приписано к хвосту файла, вытащить его оттуда и попытаться проверить. Вот на этой стадии и выдается сообщение...

----------


## Зайцев Олег

> AVZ про них этого не сказала. Только то, что файлы пришлось читать в обход системы.
> Вопрос: что за файлы? Если есть сомнение, то ход простой: подозреваемых в карантин и на Virustotal. И, по результатам - Олегу на стол.


Вот именно ... то, что файл читается  в обход стандартного API не говорит о его вредоносности, просто этот файл заблокирован монопольным открытием или чем-то типа руткита. Это в частности может быть следствием работы механизма самозащиты антивируса/Firewall

----------


## NickGolovko

> Речь идёт о другом: Аваст автоматически запускается с проверкой *только*, если активен скринсейвер (специальный скринсейвер Аваста), прерываясь при остановке скринсейвера и в остальное время не мешает работать.
> Нельзя ли такое сделать в АВЗ...
> 
> Вот именно - а хотелось бы на уровне файловой системы... (это я типа мечтаю  )


Медленно, но верно мы катимся к инсталляции AVZ  :Embarassed:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nick222

> Медленно, но верно мы катимся к инсталляции AVZ


Не хотелось бы - во всяком случае тогда стоит делать сразу две версии: с установкой и portable.

----------


## Зайцев Олег

> Медленно, но верно мы катимся к инсталляции AVZ


Версия 4.22 содержит опциональный  монитор - для отлова DKOM руткитов ... Но он не влияет на портативность/носимость, хотя меню для инсталляции и удаления драйвера появляется. Аналогично будет и далее - антируткитный драйвер со временем разовьется в монитор, но он будет примочкой к AVZ.

----------


## Nick222

А когда и где будет версия 4.22 и в какой ветке форума будет обсуждаться?

----------


## Зайцев Олег

> А когда и где будет версия 4.22 и в какой ветке форума будет обсуждаться?


Она уже вышла в виде пре-релиза, описана в закрытом разделе форума - без тестов со стороны хелперов я пока не рискую публиковать ссылку на него. Но тесты 4.22 в стадии завершения - ждать осталось недолго

----------


## IVM

Нельзя ли уточнить термин "Прямое чтение".

----------


## drongo

> Нельзя ли уточнить термин "Прямое чтение".


Это значит , АВЗ читает файл в обход стандратному методу ,потому что файл на данный момент"  заблокирован монопольным открытием или чем-то типа руткита. Это в частности может быть следствием работы механизма самозащиты антивируса/Firewall "

----------


## MOCT

Олег! Проблема с работой скриптов в исследовании системы. Если имя файла содержит пробел, что оно записывается в кавычках: "C:\Documents and Settings\Санечка\Local Settings\Application Data\smss.exe".
Именно так оно попадает в команды java-script которые добавляют в карантин или удаляют файл. Но у этих команд еще есть собственные двойные кавычки. Эти кавычки "наслаиваются" друг на друга и в итоге скрипты не работают. Пример проблемного лога тут: http://virusinfo.info/showthread.php?t=6910

----------


## Зайцев Олег

> Олег! Проблема с работой скриптов в исследовании системы. Если имя файла содержит пробел, что оно записывается в кавычках: "C:\Documents and Settings\Санечка\Local Settings\Application Data\smss.exe".
> Именно так оно попадает в команды java-script которые добавляют в карантин или удаляют файл. Но у этих команд еще есть собственные двойные кавычки. Эти кавычки "наслаиваются" друг на друга и в итоге скрипты не работают. Пример проблемного лога тут: http://virusinfo.info/showthread.php?t=6910


Понял, спасибо ! это злобный баг и будет немедленно пофиксен... Он уже вылезал однажды в отложенном удалении. Выход новой версии ожидается на днях, в 4.22 это обязательно будет исправлено.

----------


## Nick222

Скажите, плз, существует такая программа BHODemon:




> BHODemon 2.0.0.23 - утилита для Интернет-броузера для просмотра Browser Helper Objects (BHO) (в т.ч. позволяет их включать-отключать). Definitive Solutions. 19.06.2005. http://www.definitivesolutions.com/bhodemon.htm


Её развитие остановлено...

Вопрос:
Покрывает ли нынешняя версия AVZ возможности BHODemon и, если нет, то какой программой для этого стоит пользоваться? Если нет, то предполагается ли встроить работу с BHO в AVZ в будущем?

Спасибо!

----------


## Зайцев Олег

> Скажите, плз, существует такая программа BHODemon:
> 
> 
> 
> Её развитие остановлено...
> 
> Вопрос:
> Покрывает ли нынешняя версия AVZ возможности BHODemon и, если нет, то какой программой для этого стоит пользоваться? Если нет, то предполагается ли встроить работу с BHO в AVZ в будущем?
> 
> Спасибо!


Да, в версиях кажется начиная с 4.00 есть менеджер BHO и расширений IE - их там можно отключать и удалять.

----------


## Nick222

А почему Java и OpenOffice.org в различных менеджерах AVZ отображаются не зелёным - просто не внесены в базу безопасных?

----------


## Зайцев Олег

> А почему Java и OpenOffice.org в различных менеджерах AVZ отображаются не зелёным - просто не внесены в базу безопасных?


Скорее всего - тут два варианта:
1. Файл не значится в базе безопасных - тогда его стоит прислать для включения в эту базу
2. Это мусор в реестре, т.е. ссылка есть, а файла на диске - нет
Скорее всего именно первое ...

----------


## Nick222

Достаточно тяжело прислать всю Джаву (20 Мб) и ОпенОфис 140 Мб...
К тому же, откуда гарантия, что именно мои файлы безопасны?

----------


## Зайцев Олег

> Достаточно тяжело прислать всю Джаву (20 Мб) и ОпенОфис 140 Мб...
> К тому же, откуда гарантия, что именно мои файлы безопасны?


Достаточно прислать те файлы, которые AVZ сам запихает в карантин при выполнении опции "автокарантин". Их должно быть немного ... а файлы я всеравно изучаю, заодно и узнает, опасные они или безопасные.

----------


## NickGolovko

Если уже спрашивалось - простите, за темой слежу нерегулярно.

Есть ли какая-либо информация о взаимоотношениях AVZ и Vista?

----------


## Зайцев Олег

> Если уже спрашивалось - простите, за темой слежу нерегулярно.
> 
> Есть ли какая-либо информация о взаимоотношениях AVZ и Vista?


Они совместимы. Несовместимость будет в AVZ Guard, но он проверялся на пререлизах Vista - после выхода релиза обновится база с драйвером и релиз будет поддерживаться. Монитор для отлова DKOM руткитов (и в будущем - для проверки запускаемых файлов и загружаемых библиотек) исходно делается по требованиям MS с использованием стандартного API для мониторинга - для того, чтобы не было проблем с несовместимостью.

----------


## NickGolovko

Соответственно никакого  специального билда для Vista не будет. Хорошо  :Smiley:

----------


## aintrust

Если речь идет о 32-битной Vista, то, конечно же, нет смысла делать специальный билд, т.к. дело, видимо, ограничится специально заточенными под нее драйверами (а, может, все заработает и без переделок - я завтра проверю на Vista RTM). Что же касается Vista x64 (как флагманского продукта), то, по понятным причинам, в связи с введением KPP там все будет по-другому.

----------


## aintrust

Проверял кое-что в AVZ и увидел следующее сообщение:



> Функция ZwOpenProcess (7A) - модификация машинного кода. Метод PushAndRet.


Пара замечаний:
1) в данном случае нужно писать *Nt*OpenProcess, т.к. речь идет о функциях-сервисах в таблицах SSDT;
2) в этом перехвате на самом деле используется команда _jmp_


```
push 0xc8     ; это оригинальный push, присутствующий в NtOpenProcess
jmp  xxxxxxxx ; это, фактически, и есть перехват
```

по которой вполне можно было бы определить системный модуль-перехватчик. В общем, завтра надо будет это обсудить более пристально...

----------


## UriF

.exe, созданные с помощью VB6, идентифицируются, как trojans (6 месяцев назад одна из таких программ идентифицировалась, как trojan, не помню, отсылал или нет). Вчера отправил вместе с source code (возможно, VB code - это не чистые .exe, а требуют запроса своих .dll или обращаются напрямую к kernell.dll через APIs declarations).

English version - 
1. Message Box вместо клавиш Yes/No появляются Да/Нет
2. Вместо ссылок на info по Internet google.com появляется google.ru и никуда не ведет.

Не мог скопировать ИЗ ПРОГРАММЫ сомнительные registry keys, поэтому вынужден был сохранить .log (в формате .htm), а из него копировть ссылку в google

IE extension manager - для части BHO пишет "file not found", хотя на google сразу находятся к кому они относятся и все эти программы установлены на комп (мной, а не кем-то неизгестным)

1. Searching for rootkits and programs that intercept  API functions
 >>>> Probably masking of a name of an executed file  796 aluschedulersvc.exe, real name -  AluSchedulerSvc
 >>>> Probably masking of a name of an executed file  1912 googletoolbarnotifier.exe, real name -  GoogleToolbarNo

первая запись - Norton Internet Security
вторая запись - Google Toolbar

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

> IE extension manager - для части BHO пишет "file not found", хотя на google сразу находятся к кому они относятся и все эти программы установлены на комп (мной, а не кем-то неизгестным)


Для этого в Regedit нужно найти CLSID соответствующий этому "расширению" и выгрузить этот CLSID целиком в reg файл, файл отослать Олегу, что-бы он пофиксил поиск, действительно не все расширения корректно отображаются в менеджере.

----------


## pig

> English version - 
> 1. Message Box вместо клавиш Yes/No появляются Да/Нет


Message Box вместе с кнопками рисует система. А она у вас, видимо, русская.

----------


## UriF

> Message Box вместе с кнопками рисует система. А она у вас, видимо, русская.


*Нет, я живу в USA и система вряд ли русская, хотя каким-то странным образом руссифицирована одним умельцем (Win 2000 SP4), что при попытке sfc /runonce не узнает систему, а при попытке repair просит переустановить систему в другую directory (так что все-равно сдыхаюсь...)
*

----------


## UriF

сегодня прогнал комп целиком через AVZ, пишу по поводу ложных срабатываний
.exe:
3 (!!!) программы, написанные на VB6, и 5(!!!), написанные на C#, идентифицированы, как trojans

6 files, из Active Directory SDK (Microsoft .msi) идентефицированы, как trojans (file adsrtk.msi)

C:\Program Files\Microsoft Visual Studio\Common\MSDev98\Bin\MSDEV.COM 
(Visual Studio 6) идентефицирован, как trojan

C:\Program Files\Ulead SmartSaver Pro 3.0\Ussfprun.exe -trojan
(Ulead Systems, Inc.)


C:\WINNT\Installer\16a85c8.msp содержит аж 3 trojans)
(Patch Microsoft Office 2000 SR-1A)

Единственное, что может быть trojan, это crack к LightAlloy (но это не важно, т. к. я LightAlloy не использую)

Если интересует, пошлю все эти легитимные files (только 16a85c8.msp более 16 Mb...)

----------


## Зайцев Олег

Так AVZ пишет "подозрение на ..." или выдает однозначный детект ? Для начала достаточно только логов.

----------


## RiC

> Message Box вместе с кнопками рисует система. А она у вас, видимо, русская.


Нет это не ситемный "MessageBox" а борлондовский, при отсутствии русского шрифта он рисуется с "?????", причём везде, где он вылезает, у меня сложилось впечатление что форма с "Да" "Нет" вообще одна на всю программу.

----------


## Alex_Goodwin

Олег! AVZGuard работает в безопасном режиме или нет?

----------


## Зайцев Олег

> Олег! AVZGuard работает в безопасном режиме или нет?


Нет - не должен. Равно как и антируткит - так как драйвера не загрузятся.

----------


## NickGolovko

http://forum.kaspersky.com/index.php...ic=25748&st=20 внизу страницы. Пользователь пытается загрузить скрипт и получает ошибку, код указан. Что значит эта ошибка?  :Smiley:

----------


## Зайцев Олег

> http://forum.kaspersky.com/index.php...ic=25748&st=20 внизу страницы. Пользователь пытается загрузить скрипт и получает ошибку, код указан. Что значит эта ошибка?


Баг в работе "AutoFixSPI". Сейчас выясняю, в чем там дело. Если убрать эту команду из скрипта, то все сработает.
.....
Баг пойман. Он действительно был в AutoFixSPI, причем скрипт должен был отработать несмотря на эту ошибку (она возникает после выполнения AutoFixSPI).

----------


## NickGolovko

Олег, еще вопрос. =) Есть ли команды скрипта для восстановления системы? Я искал - не нашел.  :Smiley:  Собираюсь писать скрипт от Brontok, хочу сразу туда же и сброс Policies запихнуть.

----------


## Зайцев Олег

Нету  :Sad:  Но это же поправимо - сейчас нарисую, это просто. Одно неудобство - как идентифицировать скрипт ? Можно им внутренние имена присвоить, или номера. Номера у них уже есть - для внутренних надобностей (собственно они отображаются в окне в порядке номеров)

----------


## RiC

> Нету  Но это же поправимо - сейчас нарисую, это просто. Одно неудобство - как идентифицировать скрипт ? Можно им внутренние имена присвоить, или номера. Номера у них уже есть - для внутренних надобностей (собственно они отображаются в окне в порядке номеров)


Ну и вывести эти № на всеобщее обозрение, заодно и советовать удобнее будет - "Запустите скрипт 1,3,7" к примеру вместо того, чтобы писать название целиком.

----------


## Muffler

Зделайте пожалуйста зеркала для загрузки AVZ, а то с z-oleg.com скачать практически невозможно...

----------


## Зайцев Олег

> Ну и вывести эти № на всеобщее обозрение, заодно и советовать удобнее будет - "Запустите скрипт 1,3,7" к примеру вместо того, чтобы писать название целиком.


Логично, номера я добавлю.
*to Muffler* 
А в чем проблема с загрузкой ? Может быть, просто сайт был подгружен в момент загрузки AVZ ? Вроде никто особенно на скорость не жаловался... А сделать зеркало достаточно сложно - фокус  в том, что у  AVZ в сумме около полумиллиона пользователей - они на любом зеркале намотают в месяц десятки/сотни гигабайт трафика - ни один бесплатный хостинг не потерпит такого ...

----------


## Geser

> А в чем проблема с загрузкой ? Может быть, просто сайт был подгружен в момент загрузки AVZ ? Вроде никто особенно на скорость не жаловался... А сделать зеркало достаточно сложно - фокус  в том, что у  AVZ в сумме около полумиллиона пользователей - они на любом зеркале намотают в месяц десятки/сотни гигабайт трафика - ни один бесплатный хостинг не потерпит такого ...


Рапидшара. Еще и бесплатный абонимант получишь  :Smiley:

----------


## Geser

В списке драйверов/модулай пространства ядра так и остались путит типа
\SystemRoot\System32\Drivers\Pcouffin.sys
Нужно исправить что бы вместо SystemRoot подставлялось его значение.

----------


## luxemburg

> Зделайте пожалуйста зеркала для загрузки AVZ, а то с z-oleg.com скачать практически невозможно...


Ответ прочитал, но у меня тоже проблема с загрузкой обновлений - последние 2 недели не могу обновить ни с одного, ни с другого адреса.
Время суток и способы (прямое соединение...) перепробовал во всех вариантах, однако постоянно выдается ошибка о невозможности загрузить файл обновлений zip....

----------


## Зайцев Олег

> В списке драйверов/модулай пространства ядра так и остались путит типа
> \SystemRoot\System32\Drivers\Pcouffin.sys
> Нужно исправить что бы вместо SystemRoot подставлялось его значение.


ОК, анализатор модулей пространства ядра всеравно переделывается ...

----------


## NKRF

Версия 4.21 от 26.10.2005
Почему то не хочет обновлятся с серверов - 
На z-oleg.com/secur/avz_up/ -висит около 3 минут, затем выдает как и на другом серве обнавлений -
В ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zim с .... [21, 00002eef]

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Версия 4.21 от 26.10.2005
> Почему то не хочет обновлятся с серверов - 
> На z-oleg.com/secur/avz_up/ -висит около 3 минут, затем выдает как и на другом серве обнавлений -
> В ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zim с .... [21, 00002eef]


А сам сайт z-oleg.com/secur/ открывается из браузера ? 
Какой браузер применяется ?
Какие настройки у автообновления версий (прямое соединение, по настройкам браузера и т.п.) ? Судя по коду ошибки доступ в Инет идет через прокси с авторизацией.

----------


## Nick222

У меня почему-то плагин АВЗ для Бата не определил червя в письме с приаттаченным архивом ЗИП, но при сохранении этого архива на диск тот же АВЗ легко определил червя как Email-Worm.Win32.Warezov.hb.
Версия АВЗ 4.21, плагина 1.08, Бата 3.85.03.
До этого плагин работал нормально (буквально вчера перехватил вирус).
Настройки Бата в норме.

Что делать?

----------


## Зайцев Олег

> У меня почему-то плагин АВЗ для Бата не определил червя в письме с приаттаченным архивом ЗИП, но при сохранении этого архива на диск тот же АВЗ легко определил червя как Email-Worm.Win32.Warezov.hb.
> Версия АВЗ 4.21, плагина 1.08, Бата 3.85.03.
> До этого плагин работал нормально (буквально вчера перехватил вирус).
> Настройки Бата в норме.
> 
> Что делать?


Такого вообще-то быть не должно ... движок то у них одинаковый. У меня тоже бат 3.85.03, все работает нормально. Возможны варианты:
1. Какой-то косяк в письме, приводящий к тому, что AVZ не видит в нем вложенного зловреда (это письмо стоит сохранить и прислать мне для анализа в архиве с паролем virus)
2. Плагин грузит AV базу в момент запуска Bat и инициализации плагина. Если Bat остается загруженным в течении дня, то может оказаться так, что база AVZ за это время обновилась и плагин работает с ее устаревшим вариантом. Проверить это легко - перезапустить BAT и принудительно запустить проверку папки с вирусов. Если вирус отправится в папку "Карантин" - эта гипотеза подтверждается. Если нет - то п.п. 1.

----------


## Nick222

2*Зайцев Олег*:
Я файл выслал через Ваш сайт; как будет результат - черкните, плз, сюда пару слов (если не сложно) - забыл написать своё обратное мыло...

----------


## Зайцев Олег

> 2*Зайцев Олег*:
> Я файл выслал через Ваш сайт; как будет результат - черкните, плз, сюда пару слов (если не сложно) - забыл написать своё обратное мыло...


Странно - вот результат проверки:



> Mail.MSG/{E-MAIL:7bit}/Part1 - чист, в базе безопасных НЕ значится
> C:\2\2006-12-01\vf20061201-125701\mail\Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip - чист, в базе безопасных НЕ значится
> Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip/{ZIP}/Update-KB6359-x86.exe - чист, в базе безопасных НЕ значится


Это на старой базе, без детекта. Далее я беру базу с сайта:



> Mail.MSG - чист, в базе безопасных НЕ значится
> Mail.MSG/{E-MAIL:7bit}/Part1 - чист, в базе безопасных НЕ значится
> Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip - чист, в базе безопасных НЕ значится
> Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip/{ZIP}/Update-KB6359-x86.exe >>>>> Email-Worm.Win32.Warezov.hb


Т.е. детектирует без проблем. далее импортирую его в TheBat - вот результат проверки папки:



> Письмо от "---" к "---" с темой "Mail server report." заражено вирусом: "Email-Worm.Win32.Warezov.hb".Сохранено в папке "Карантин"

----------


## Geser

Есть две проблемы, которые уже очень старые, но так и не решены
Можно увидеть на примере этого лога:
http://virusinfo.info/attachment.php...9&d=1164978968

Первая:
Файлы прописанные без полного пути не находятся. Следовательно не проверяются по базе безопасных и информация о них отсутствует. Нужно что бы АВЗ искал такие файлы по всем стандартным местам загрузки, плюс все директории указанные в PATH. В случае если файл найден в лог должен подставляться полный путь. Если не найден, в логе должна быть отметка что файл не найден.
С автокарантином то же. Если файл дан без пути, та же схема поиска.

Вторая более сложная. Разбор строк автозагрузки с параметрами. Опять же файлы на находятся. Я думаю нужно собирать статистику по таким строкам, и поправлять парсер, что бы корректно вытаскивал путь к файлу отделяя параметры.

----------


## Nick222

2*Зайцев Олег*:
Странно, у меня при обратном импорте тоже определилось (именно плагином для Бата - а у меня только плагин АВЗ стоит) - а вот утром проскочило.

Единственная разница:
Утром такие письма Avast не определял (он у меня стоит одновременно), я им послал образец - сейчас пришло и установлено обновление их базы...

----------


## SuperBrat

Есть ли в AVZ функция "Отложенное удаление папки"?

----------


## Зайцев Олег

> Есть ли в AVZ функция "Отложенное удаление папки"?


Такого нет - удаляется только один файл. Удаление папки было бы очень опасным - если зарядить на удаление папку Windows, то системе каюк ... Но тем не менее в boot драйвере для отложенных операций с собираюсь ввести такую фичу.

----------


## RiC

> Файлы прописанные без полного пути не находятся. Следовательно не проверяются по базе безопасных и информация о них отсутствует. Нужно что бы АВЗ искал такие файлы по всем стандартным местам загрузки, плюс все директории указанные в PATH.


Imho надо искать только по Patch причём немаловажно Patch обходить строго по порядку иначе есть шанс найти не тот файл но с таким-же именем.

----------


## Geser

> Imho надо искать только по Patch причём немаловажно Patch обходить строго по порядку иначе есть шанс найти не тот файл но с таким-же именем.


Значит копировать в карантин все файлы с этим именем. Лучше чем ничего.

----------


## Зайцев Олег

> Значит копировать в карантин все файлы с этим именем. Лучше чем ничего.


Для начала я сделаю по Path в том порядке, в котором это делает система. Это логично, так как если файл прописан в автозапуске без пути, то соответственно запустится первый файл, найденный системой по стандартному алгоритму.

----------


## MOCT

На nnm.ru выложили довольно безграмотный, но зато превозносящий KAV, тест программы AVZ.
http://doci.nnm.ru/vmf/01.12.2006/te...virus_zajceva/
Желающие могут высказаться.

----------


## Палыч

Высказываться где? Здесь или на NoNaMe? 
Если здесь, так здесь и так все всё знают про AVZ. И сразу поймут, что статья -- заказуха. Собственно, можно ни разу в жизни и не видеть AVZ, но по стилю и тону статьи понять, что статейка заказная. Серьёзные статьи пишут по-другому.

А там писать... просто не хочется... Ну, лично мне, по крайней мере. Просто жаль время и трафика.

Кто в теме, тому эта статья побоку. Кстати в комментариях таких людей не так уж и мало.

Кто не в теме, но в принципе сможет разобраться и понять сущность AVZ, тот заинтересуется и сам найдёт ссылки на VirusInfo или z-oleg. Почитает, скачает AVZ, погоняет программу, всё правильно поймёт и будет дальше юзать AVZ.

Кто же в вопросах компьютерной безопасности слаб, как марлевые трусы, тому что-либо объяснять и доказывать в коментариях бесполезно. Набьют шишек -- сами поумнеют.

ЗЫ. Я сейчас припомнил, что орицательная реклама это тоже реклама. Кто бы не был заказчиком этой глупой статейки, он скорее всего, сам того не ведая, помог продвижению AVZ в массы. 
И ещё восточная поговорка вспомнилась:"Собака лает, а караван идёт"

----------


## Зайцев Олег

> На nnm.ru выложили довольно безграмотный, но зато превозносящий KAV, тест программы AVZ.
> http://doci.nnm.ru/vmf/01.12.2006/te...virus_zajceva/
> Желающие могут высказаться.


Я почитал ... давно я так не смеялся  :Smiley:  Несколько комментариев:
1. Я не совсем понял, откуда автор нашел название "Антивирус Зайцева". Я нигде не встречал такого названия, кроме как в его "тестировании"
2. В "тесте" применяется знаменитая "коллекция на 1600 вирусов", которая давно бродит по Инет. Состоит она из древних вирусов под MSDOS, последний из которых встречался в живой природе примерно 10-12 лет назад. В документации по AVZ четко сказано "вирусы не лечит", тем более неработоспособные по Windows ... но документацию автор явно не читал. Хуже то, что к сожалению эту коллекцию неоднократно и весьма бестолково пытаются применять для неких непонятных тестирований, причем если с AVZ все понятно и документировано, то вот попытки сравнения современных антивирусов по этой коллекции являются верхом безграмотности и собственно будут давать весьма неадекватные результаты, совершенно не отражающие возможности антивирусов
3. Интересна картинка с AdAware и a-squared - последний детектировал 5 ключей в реестре  :Smiley:  Интересно, что детектировал AdAware - видимо, ключи реестра и Cookies. Но автор не указывает, что именно ... а жаль  :Smiley: 
4. Насчет нагрузки на ЦП я вообще ничего не понял - человек запускает полное сканирование диска утилитой, и пытается параллельно работать. Возникает глупый вопрос -а что он ожидал ? Что сканирование будет идти при нулевой загрузке ЦП и дисковой системы ... вот если бы речь шла о тестировании монитора - другое дело, тут нагрузка от проверки системы крайне важна.
Вообще у меня сложилось впечатление, что автор не читал доку и не посещал раздел "Помогите" virusinfo по указанной в логе ссылке, и в результате так и не понял, что назначение AVZ - это работа в дополнение к антивирусу,  исследование/чистка системы в случае, когда применяемый антивирус не справился с задачей и пропустил заразу на ПК.

----------


## Синауридзе Александр

Ну и понаписал ерунду. :Stick Out Tongue:  А коллекция то просто супер!!! :Stick Out Tongue:  У меня только один вопрос. Как звать этого дурака?

----------


## Зайцев Олег

Статистика - кривая анализа файлов и пополнения базы сигнатур AVZ за 11.2006. Кривая "исследовано" - это в сущности количество отловленных в живой природе зловредов, которые изучены и подтвержден их статус "зловреда".

----------


## Nick222

Лучше дать нарастающим итогом - так будет эффектнее  :Smiley:

----------


## MOCT

> Я почитал ... давно я так не смеялся  Несколько комментариев:
> 1. Я не совсем понял, откуда автор нашел название "Антивирус Зайцева". Я нигде не встречал такого названия, кроме как в его "тестировании"
> ...


примерно то же самое по всем пунктам я написал от имени ashalimov  :Wink:

----------


## Xen

Да ну, какая еще заказуха, просто левая любительская статья имхо. Аффтар еще называет себя админом, гыгыгыгы

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## NickGolovko

А мне про АВГГ понравилось в обсуждении ;D Автор глуп, сказать более нечего.

----------


## XL

Черный пиар =) И разоблачение в кАментах. Совершенно точно, что Пользователей у AVZ не поубавится после той писанины, а наоборот. Лишнее доказательство, что нельзя делать то, в чем не разбираешься совершенно, дабы не выставлять себя посмешищем в глазах окружающих. АДминоф такого уровня ф топку!

----------


## Ego1st

> На nnm.ru выложили довольно безграмотный, но зато превозносящий KAV, тест программы AVZ.
> http://doci.nnm.ru/vmf/01.12.2006/te...virus_zajceva/
> Желающие могут высказаться.


сижу ржу этож надо быть таким.. аффтар клоун простите немогу..=)))

----------


## SuperBrat

> ...результаты лечения активного заражение системы вредоносом AdWare.NewDotNet (not-a-virus:AdWare.Win32.NewDotNet). 
> Согласно методологии тестирования антивирусы устанавливались на зараженную машину...
> AVZ 4.21 + Остались следы пребывания Adware в системе: выводится ошибка при старте ОС, исчез доступ в Интернет.


Тут.

----------


## Зайцев Олег

> Тут.


Ага - птичка "Автоматически исправлять ошибки LSP" не установлена по умолчанию - потому и следы остались, так как частка LSP запрещена.

----------


## Ego1st

Олег, Сергей Ильин сказал что в AVZ есть микропрограмма лечения NewDoNet. или она не испровляет ошибки LSP?

----------


## Зайцев Олег

> Олег, Сергей Ильин сказал что в AVZ есть микропрограмма лечения NewDoNet. или она не испровляет ошибки LSP?


Микропрограмма есть. Но в 4.21 с ее работой наблюдается косяк, возникший из за расширения скриптового языка - поэтому в автоматическом режиме она может не сработать как надо. А вот если установлена птичка "автоматически исправлять ошибки LSP", то тогда она точно сработает как положено и поправит LSP.

----------


## Jolly Rojer

Да почитал... забавная статейка... немного поржал...чего скрывать... Автор явно не понимает что сравнивает.... Мост хорошо и достаточно понятно все описал! Поддерживаю!

----------


## Nick222

Вирус не определяется, файл послан сегодня утром (червь). Когда примерно будет реакция?



> Antivirus Version Update Result
> AntiVir 7.2.0.46 TR/Dldr.Stration.Gen
> Authentium 4.93.8 W32/Warezov.gen4
> Avast 4.7.892.0 Win32:Warezov-QR
> AVG 386 I-Worm/Stration
> BitDefender 7.2 [email protected]
> CAT-QuickHeal 8.00 no virus found
> ClamAV devel-20060426 Worm.Stration.WZ
> DrWeb 4.33 Win32.HLLM.Limar.based
> ...

----------


## Зайцев Олег

> Вирус не определяется, файл послан сегодня утром (червь). Когда примерно будет реакция?


Реакция уже есть - но в сегодняшний апдейт это не попало. Сейчас идет эпидемия этого червя, в основном Email-Worm.Win32.Warezov.fb, автоматика у меня фиксирует шквал образцов по 500-1000 штук в час. Я выпустил внеочередной апдейт базы AVZ, с которым этот зверь должен ловиться. Так что можно обновлять базы ...

----------


## SHM

А как сохранять настройки ???

И ещё вопрос:
Что такое MD5 ?

----------


## Зайцев Олег

> А как сохранять настройки ???
> 
> И ещё вопрос:
> Что такое MD5 ?


Сохранение настроек пока не предусмотрено, но их можно задать через скрипт или командную строку.
MD5 - разновидность контрольной суммы. Для файлов это обычно контрольная сумма всех байт файла. Обладает достаточной для практических задач надежностью ...

----------


## pig

Менеджер автозапуска - AppInit_DLLs: требуется доработка
Во-первых, подлец Warezov, впихивая свои компоненты, использует в качестве разделителя ещё и запятую, не применяя при этом пробел. В результате менеджер показывает что-то типа:


```
NVDESK32.DLL,e1.dll
```

Во-вторых, надо научить его убивать не параметр целиком, а отдельные составляющие, чтобы не вынести заодно со зверем и полезные библиотеки.

----------


## Зайцев Олег

> Менеджер автозапуска - AppInit_DLLs: требуется доработка
> Во-первых, подлец Warezov, впихивая свои компоненты, использует в качестве разделителя ещё и запятую, не применяя при этом пробел. В результате менеджер показывает что-то типа:
> 
> 
> ```
> NVDESK32.DLL,e1.dll
> ```
> 
> Во-вторых, надо научить его убивать не параметр целиком, а отдельные составляющие, чтобы не вынести заодно со зверем и полезные библиотеки.


Спасибо, исправлено.

----------


## DimaT

*Олег*
При выборе в AVZ 4.21 из меню сервисов ''Открытые порты ТCP/UDP'' красным отображается программка Dameware Remote Admin (всегда _сидящая в трее_):



> *6129* LISTENING 0.0.0.0 37062 c:\windows\system32\dwrcs.exe *Dameware Remote Admin*


Что значит красный цвет?

----------


## Зайцев Олег

> *Олег*
> При выборе в AVZ 4.21 из меню сервисов ''Открытые порты ТCP/UDP'' красным отображается программка Dameware Remote Admin (всегда _сидящая в трее_):
> 
> Что значит красный цвет?


Красный цвет означает, что по статистике этот порт применяется троянами или системами удаленного управления ...

----------


## DimaT

> Красный цвет означает, что по статистике этот порт применяется троянами или системами удаленного управления ...


 По _твоей_ статистике ?
А программа Dameware Remote Admin действительно для удаленного управления твоим РС службой тех. обслуживания фирмы...
И в ее настройках прописан порт 6129.

----------


## Попробовал AVZ

Случайно запустил "менеджер winsock SPI"... Показал все содержимое красным. После лечения стерлись все "провайдеры". После перезагрузки ни одна сетевая служба не стартует... Помогает только восстановление образа системы...
ОС: win2003sp1.

----------


## Зайцев Олег

> По _твоей_ статистике ?
> А программа Dameware Remote Admin действительно для удаленного управления твоим РС службой тех. обслуживания фирмы...
> И в ее настройках прописан порт 6129.


Да, естественно по моей - этот порт применяется утилитой удаленного управления. Потому и красным ... ведь неизвестно, кто эту утилиту установил - админ или хакер. В базе AVZ этот прт проходит как "Dameware Remote Admin" с пометкой "Riskware", что дает красный цвет в протоколе
*to Попробовал AVZ* 
Запуск производится из терминальной сессии, надо полагать ? В этой ситуации автоматическое лечение блокируется, а вот нажатие кнопки - нет ...

----------


## Зайцев Олег

Данная тема закрыта в связи с выходом 4.22 - http://virusinfo.info/showthread.php?t=7110

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

