Вышла новая версия антивирусной утилиты AVZ - 4.25 + AVZGuard/AVZPM/BootCleaner
Страница загрузки http://www.z-oleg.com/secur/avz/download.php
Система учета ошибок, замечаний и предложений: http://www.z-oleg.com/secur/avz/report.php

Альтернативное зеркало для скачивания:
http://depositfiles.com/ru/files/1376577
дабы уменьшить нагрузку с сервера, попробуйте скачать через эту службу.Hажать на "скачать", напротив кнопки "бесплатно", подождать 100 секунд и сохранить.


Антивирусная утилита AVZ - 4.25 + AVZGuard/AVZPM/BootCleaner
Архив с утилитой содержит базу вирусов от 17.04.2007 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов (Обратите внимание - базы AVZ обновляются ежедневно и могут быть загружены автоматически средствами самого AVZ - меню "Файл\Обновление баз").
Список доработок и модификаций:
[-] Исправлены ошибки, возникающие в работе антикейлоггера на различных ОС
[-] Исправлены ошибки, связанные с AVZPM
[+] В дистрибутив вошли все усовершенствования и доработки, которые были введены в 4.24r1 - 4.24r4
[++] BootCleaner - функция карантина файлов, драйверов и служб, расширенное протоколирование.
[++] Менеджер автозапуска - добавлено более десятка различных экзотических методик автозапуска. Плюс расширены проверки ключей автозапуска, выполняемые скриптами эвристики
[++] Новый менеджер - менеджер Active Setup. Данный менеджер подключен к базе безопасных, исследованию системы и автокарантину.
[++] Расширена и доработана справочная система и документация
[++] Скрипты - команда сканирование реестра и поиск заданного образца с выводом результатов в протокол, имя команды RegSearch
[+] Протокол - цветовое выделение важных событий
[+] Сортировка модулей в диспетчере процессов по всем столбцам (по умолчанию - по имени модуля)
[+] Отчет о открытых порта - добавлен PID процессов
[+] Антируткит - проверка экспортируемых функций ядра
[+] Скрипты - усовершенствована команда карантина файлов, добавлено протоколирование карантина
[+] Скрипты - команда остановки всех процессов с заданным именем
[+] Формирование кода возврата при выходе из AVZ
[+] Добавлена возможность перемещения карантина и папки Infected в отдельную папку для запуска AVZ с BootCD или иного ReadOnly носителя
[+] Добавлена возможность задания произвольной папки в качестве каталога для временных файлов
[+] Протоколирование карантина (успешность, ошибки)
[-] Скрипты, исправлена функция CreateQurantineArchive (она помещала в архив самую старую папку карантина вместо самой новой)
[-] Ключ AG=Y - исправлена ошибка в обработке ключа
[-] В профилях не сохранялась настройка действий для HackTool - исправлено

Кроме того, обновлена версия плагина для TheBat - в нем устранен сбой проверки почты, который возникал при некоторых сочетаниях настроек.
--------
Кроме того, обновился плагин для TheBat.

Начиная с версии 4.24 справка дублируется печатной документацией в PDF формате, текущая имеет размер 165 листов и размещена по адресу http://www.z-oleg.com/avz.pdf, размер файла 2 мб. Однако лучше прользоваться on-line справкой http://www.z-oleg.com/secur/avz_doc/, поскольку она оперативно обновляется и пополняется.

что-то меня зелёный цвет сначало прям напрёг..

Олег, расскажите пожалуйста про новую "подстветку". Что она означает?

Complete scanning result of "avz4.zip", received in VirusTotal at 03.06.2007, 13:02:10 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 03.06.2007 no virus found
Authentium 4.93.8 03.05.2007 no virus found
Avast 4.7.936.0 03.05.2007 no virus found
AVG 7.5.0.447 03.05.2007 no virus found
BitDefender 7.2 03.06.2007 no virus found
CAT-QuickHeal 9.00 03.05.2007 no virus found
ClamAV devel-20060426 03.06.2007 no virus found
DrWeb 4.33 03.06.2007 no virus found
eSafe 7.0.14.0 03.05.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3458 03.06.2007 no virus found
Ewido 4.0 03.06.2007 no virus found
FileAdvisor 1 03.06.2007 no virus found
Fortinet 2.85.0.0 03.06.2007 no virus found
F-Prot 4.3.1.45 03.06.2007 no virus found
F-Secure 6.70.13030.0 03.06.2007 no virus found
Ikarus T3.1.1.3 03.06.2007 no virus found
Kaspersky 4.0.2.24 03.06.2007 no virus found
McAfee 4976 03.05.2007 no virus found
Microsoft 1.2204 03.06.2007 no virus found
NOD32v2 2097 03.05.2007 no virus found
Norman 5.80.02 03.06.2007 no virus found
Panda 9.0.0.4 03.06.2007 no virus found
Prevx1 V2 03.06.2007 no virus found
Sophos 4.15.0 03.06.2007 no virus found
Sunbelt 2.2.907.0 03.05.2007 no virus found
Symantec 10 03.06.2007 no virus found
TheHacker 6.1.6.070 03.06.2007 no virus found
UNA 1.83 03.05.2007 no virus found
VBA32 3.11.2 03.05.2007 no virus found
VirusBuster 4.3.19:9 03.05.2007 no virus found


Недоделанный у esafe эвристик, как файл запакованный , так сразу подозреваемый.Напиши eSafe,в противном случае жди писем от пользователей :)))

Первое что бросилось в глаза - подсветка важных событий в протоколе... это класс! :).

Олег, расскажите пожалуйста про новую "подстветку". Что она означает?
Это то, о чем пишет santy в посте номер 5 - важные с точки зрения анализа события выделяются цветом. Пока все выделяется красным, поскольку AVZ еще преводится на 6-уровневую оценку событий (просто сообщение в логе, обраружен зловред, подозрение на зловред, подозрение анализаторов (например, перехват или внедренная DLL), безопасный объект, ошибка). Каждому событию со временем будет назначен отдельный цвет и будет введено подавление событий любого типа в логе. Сейчас оно уже есть - если указать ключ командной строки MiniLog=Y, то в протокол попадут только важные события.

Первое что бросилось в глаза - подсветка важных событий в протоколе... это класс! :).
Респект.
У меня старая версия 4.23 обновила базы, используя файлы новой версии. По количеству скачиваемых файлов я догадался, что вышла новая версия, потом еще увидел объявление Ego1st. А вообще, это так задумывалось? Раньше более старые версии кричали, что надо скачать версию посвежее.

Респект.
У меня старая версия 4.23 обновила базы, используя файлы новой версии. По количеству скачиваемых файлов я догадался, что вышла новая версия, потом еще увидел объявление Ego1st. А вообще, это так задумывалось? Раньше более старые версии кричали, что надо скачать версию посвежее.
Это сделано специально - базы не изменились по формату, поэтому жесткой блокировки обновления и требования о замене версии нет. Я включу ее недели через две. У блокировки есть минус - дикая нагрузка на сайт из-за тысяч загрузок в день.

Спасибо! Автозапуск, Active Setup, подсветка - хорош.
Зато расширения проводника, и так ограниченно показываемые в последнее время, свелись к нулю.

Небольшое замечание. Есть Trojan.Zonebac / Trojan-Downloader.Win32.Agent.awf. Пришёл в обличии "package" без расширения; есть его расплодившиеся копии-exe под разными именами. Даю на скан. Опции - максимум. Все чисты и все не опознаны как безопасные.
Это - если они лежат прямо. Если в архиве и если папка для временних файлов (не менял - Temp) занесён в исключениях антивируса, - то же самое.
Но если папку Темп предоставить антивирусу - с известными последствиями :) - то в таком случае имеем тот же результат, но первородный "package", несмотря на опцию проверять все файлы, по протоколу находится в базе безопасных.
Понятно, что времени на анализ не осталось, но почему (якобы) в базе?

Олег, хотелось бы ещё несколько Функций в Boot cleaner'e -

1. Copy ("Source","Target") - проcтое копирование файла - нужно, альтернатива есть - Recovery Console, но она не всегда под рукой.

2. Rename ("Source","Target") - переименование файла.
Причём здесь важен порядок выполнения - сначала Rename, потом Copy, и потом всё остальное (Qurantine, Delete ...).

3. DelServiceByFile("FileName") - удалить сервис/драйвер по имени файла - антируткит показывает имя файла, но не всегда показывает имя сервиса, в качестве "мины" может всплыть корявая регистрация сервиса. что-нибудь типа %system32%\drivers\aaa.sys :(

Ещё какой порядок выполнения Карантин/Удаление можно ли в одном скрипте мешать и карантин и удаление ?

Небольшое замечание. Есть Trojan.Zonebac / Trojan-Downloader.Win32.Agent.awf. Пришёл в обличии "package" без расширения ....
Понятно, что времени на анализ не осталось, но почему (якобы) в базе?
Если честно - ничего не понял :) Что такое "package", какой антивирус и в чем собственно проблема ?

Олег, хотелось бы ещё несколько Функций в Boot cleaner'e -

1. Copy ("Source","Target") - проcтое копирование файла - нужно, альтернатива есть - Recovery Console, но она не всегда под рукой.

2. Rename ("Source","Target") - переименование файла.
Причём здесь важен порядок выполнения - сначала Rename, потом Copy, и потом всё остальное (Qurantine, Delete ...).

3. DelServiceByFile("FileName") - удалить сервис/драйвер по имени файла - антируткит показывает имя файла, но не всегда показывает имя сервиса, в качестве "мины" может всплыть корявая регистрация сервиса. что-нибудь типа %system32%\drivers\aaa.sys :(

Ещё какой порядок выполнения Карантин/Удаление можно ли в одном скрипте мешать и карантин и удаление ?
1, 2 - однозначно будет к очередной версии
3 - возможно

Карантин в BC имеет жеткий приоритет над удалением - т.е. в одном скрипте их можно и нужно применять, но сначала сработают все операции карантина, затем - все операции удаления (даже если в скритпе команды удаления стоят до команд карантина) . А вот обычные DeleteFile и QuarantineFile срабатывают по месту, в порядке вызова.

Если честно - ничего не понял :) Что такое "package", какой антивирус и в чем собственно проблема ?
Я проблему понял так:
Если антивирус отбирает у AVZ извлекаемые из упомянутого "package" компоненты, то проверяемый макрообъект причисляется к находящимся в базе безопасных.
Непонятно, на основании чего Erekle сделал вывод о причислении. По цвету?

Нерусский я, видимо от этого. :)
Когда антивирус (Симантек) отбирает у AVZ извлечённые из архива файлы (один из них - под именем "package", без расширения), то этот файл в логе классифицируется (а не причисляется, сказал же: "якобы") как находящийся в базе. Хотя когда у антивируса нет такой возможности, тогда этот файл не протоколируется, само собой, как находящийся в базе.
В общем, замечание по протоколу, к тому же не имеющее большой важности, т. к. папку для темп-файлов теперь можно устанавливать; следовательно, она будет всегда исключена для антивируса.
Что же касается расширения, оно к тому, что копии этого файла (под названиями lsasss, svcipa, а также под именами приложений антивируса и файерволла, прописанных в автозагрузку и замещённых трояном), - имеющие расширение *exe и так же находящиеся в архивах, - по протоколу не были "опознаны" как находящиеся в базе безопасных.
(KAV классифицирует и "package", и exe-файлы, как ... //PE_Patch.UPX//UPX )

Видимо, проблема, которую упоминает Erekle, заключается в том, что Симантек антивирус обнуляет размер файла, распакованного AVZ для проверки, если находит в нем вирус. Файл нулевого размера AVZ считает безопасным.

Нерусский я, видимо от этого. :)
Когда антивирус (Симантек) отбирает у AVZ извлечённые из архива файлы ...
Вот теперь понятно ... видимо действительно это особенность Симантека. Фокус в том, что файлы нулевой длинны AVZ действительно считает безопасными. Видимо Симантек или не дает AVZ записать данные в файл, либо усекает его до нулевой длинны.

Похоже, не даёт? - Потому что уведомления об опасности в лице одного и того же файла AVZ появляются снова и снова, пока AVZ не закроется или не приступит к новой задаче.
Если в архиве, раскрытом AVZ, несколько зловредов, - в изоляторе Симантека можно обозреть их побайтные копии, путь и имя файла для них один и тот же темп-файл AVZ.

Из сегодняшнего syscure - текстовая часть, сканирование:

???????? ???????????? ??????? AVZ ?????? 4.24
???????????? ???????? ? 06.03.2007 21:37:02
????????? ????: 92528 ????????, 2 ????????????, 55 ????????????? ???????, ???? ?? 06.03.2007 11:35
Причём знаки вопроса прямо в HTML. Это откуда может произрастать?
http://virusinfo.info/showthread.php?t=8286

не подскажет ли кто нибудь как можно включить эти функции у меня они неактивны никак

не подскажет ли кто нибудь как можно включить эти функции у меня они неактивны никак

файл помощи в самой программе тебе поможет :)

файл помощи в самой программе тебе поможет :).

ну с этого я конечно и начал, но единственно что там написано про это --Инсталляция и включение AVZPM
Для включения AVZPM необходимо выполнить пункт меню "AVZPM/Установить драйвер расширенного мониторинга процессов". Выполнение этого пункта приводит к установке в систему драйвера мониторинга, его регистрации в реестре и загрузке. Драйвер начинает функциони..........

так вот этот пункт меню у меня не доступен(запрещён для выбора)

не подскажет ли кто нибудь как можно включить эти функции у меня они неактивны никак
Если не активны, значит операционка скорее всего Win9x - под ней драйвера AVZ не работают.

Если не активны, значит операционка скорее всего Win9x - под ней драйвера AVZ не работают.

тогда всё понятно, на этом компе у меня МЕ.

Уважаемый Олег!
Впечатлен Вашей программой, особенно тем, что она приспособлена "для анализа ПК, проверка которых другими средствами ничего не дала" – отличное дополнение к другим антиввирусам, которыми я пользуюсь. Очень радует, что AVZ не требует установки.

Хотелось бы уточнить у Вас несколько моментов:

1) При проверке п.1.1. и 1.2. (rootkit’ов и перехватчиков API) выдаются сообщения:
«Функция kernel32.dll:GetProcAddress перехвачена, метод ProcAddressHijack.GetProcAddress
Внимание, таблица KiST перемещена !
Функция NtClose (19) перехвачена, перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemPowerState (F1) перехвачена перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys »
И т.п. Всего около 40.
В архиве обсуждения Вашей программы на данном форуме я прочел, что это, возможно результат работы Антивируса Касперского. Действительно ли это так?

2) «7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "taskmgr.exe" = "C:\Program Files\DMoNsoft\PROWiSe\PROWiSe.exe"»
В чем опасность этой программы? Почему AVZ выдает такое сообщение?

3) «Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll"»
Это связано с работой Outpost’а или сам Outpost не осуществляет скрытую загрузку, и это признак посторонних программ?

4) «C:\Program Files\MediaCoder\codecs\producer\tools\audiofmtcon verter.dll >>> подозрение на Trojan-PSW.Win32.QQPass.dr …»
Ни один из моих антивирусов данный троян не фиксирует. Встречали ли Вы подобное сообщение раньше?

5) При проверке системы иногда (но не всегда), происходит автоматическое переключение раскладки клавиатуры с помощью PuntoSwitcher. Сталкивались ли Вы с подобным эффектом?

6) Загрузил AVZGuard. Но, когда включил его, перестали работать ярлыки на панели быстрого запуска (при нажатии выдается сообщение о том, что отсутствует доступ к устройству или файлу, возможно из-за того, что недостаточно прав). Является ли это неисправностью программы, или естественным результатом работы AVZGuard (к сожалению, еще не успел полностью изучить справку Вашей программы, возможно эта проблема освещается в ней).

С уважением.

Уважаемый Олег!
Впечатлен Вашей программой, особенно тем, что она приспособлена "для анализа ПК, проверка которых другими средствами ничего не дала" – отличное дополнение к другим антиввирусам, которыми я пользуюсь. Очень радует, что AVZ не требует установки.

Хотелось бы уточнить у Вас несколько моментов: ....

1. Да, монитор KAV перемещает KiST и перехватывает массу функций для мониторинга за системой. Перехватчик - klif.sys
2. Windows NT позволяет задавать отладчики для процессов. Если это сделано, то вместо процесса будет запущен его отладчик. В данном случае для стандартного менеджера задач задан отладчик - некий PROWiSe.exe. По всей видимости, это какой-то альтернативный менеджер процессов и таким образом он подменил штатный диспетчер. Похожим образом это далает менеджер процессов Руссиновича, а кроме него - десятки разных зловредов, они применяют данный механизм как разновидность экзотического автозапуска и средство блокировки системных задач.
3. Данный ключ позволяет подгружать указанные библиотеку во все запускаемые процессы. Если библиотека опознана, как в данном случае - то это не опасно. А вот если неизвестна - то это почти наверняка зловред. Самый яркий пример - червяк Warezov
4. судя по имени и местоположению файла это ложное подозрение. Файл я советую прислать мне для анализа, если его безопасность подтвердится, то ложняк будет устранен, а файл - помещен в базу безопасных
5. У меня его нет, но прична эффекта ясна - поведенческий анализатор AVZ эмулирует клавиатурный ввод и мышиные события, PuntoSwitcher на это реагирует - вот и результат
6. Да, эта проблема описана в справке. Работать на ПК при активном AVZGuard нельзя, его нужно включать только после закрытия всех программ и тоолько на время убиения зловредов, защищающихся от удаления (сейчас чуть ли не каждый второй зловред агрессивно восстанавливает свои ключи в реестре, пересоздает файлы, перезапускает процессы и т.п. для самозащиты)

... некий PROWiSe.exe. По всей видимости, это какой-то альтернативный менеджер процессов и таким образом он подменил штатный диспетчер.
Да, это альтернативный менеджер. Файл постараюсь прислать (смотрите ЛС).

Спасибо за Ваши комментарии!

В этой версии у меня появился баг:
[Сервис] -> [Менеджер внедренных DLL]
И получаю красные окошки:

"Access violation at address AE8D5FB5. Read of address AE8D5FB5."

Нажимаю Ок:

"Access violation at address 1332DD03 in module 'avz.exe'. Read of address 000000001."

Нажимаю Ок, и опять появляются подобные окошки, и дальше avz виснет.

--
У меня WinXP pro SP1

В этой версии у меня появился баг:
[Сервис] -> [Менеджер внедренных DLL]
И получаю красные окошки:

"Access violation at address AE8D5FB5. Read of address AE8D5FB5."...

Схожая ситуация. До Access violation не доходит, окно все-таки отображается, но почему-то
до отображения происходит штук 20-30 стандартных Beep, которые сливаются в очередь.

Олег, как насчет "экзотических способов автозапуска":

Выверка диспетчера автозапуска по "45 экзотическим методам автозагрузки" [в процессе, масса мелких доработок]
(до выхода 4.24)

(опять сошлюсь на http://www.xakep.ru//magazine/xa/081/118/1.asp
ведь все равно приведенное там пашет, а в менеджере автозагрузки этого нет, т.е. чтоб понять откуда взялся зверь ([Explorer Shell Extentions]) придется ручником перебирать dll загруженные explorer'om...)

Олег, уже упоминал я о фичреквесте, но вы, вероятно, его не увидели. К нам на форум ЛК последнее время часто обращаются с жалобами на последствия вирей типа Trojan.Win32.VB.als, которые модифицируют настройки открытия дисков для автозапуска себя любимого. Был бы полезен скрипт восстановления системы "Восстановление параметров открытия дисков", который бы удалял:

- раздел HKCU\Software\Microsoft\Windows\CurrentVersion\Win dows\MountPoints2

- и содержимое подраздела

HKCR\Drive\shell.

(т.е. в первом случае в разделе Explorer не должно остаться раздела MountPoints2, а во втором подраздел HKCR\Drive\shell остается, но должен быть пуст).

Олег, спасибо вам за ваши труды. Являюсь поклонником программы с давних пор и постоянно слежу за её развитием.
Я думаю, что если на сайте AVZ ввести Donate-раздел, то вы сможете хотя бы покрыть свои расходы на содержание этого же сайта.

Интерес заставляет меня задать следующий вопросы.

1. Когда процесс сканирования будет переведён из главного потока в отдельный поток, c возможностью менять его приоритет?! По моему это добавит удобств и при работе с программой действия пользователя никак не будут влиять на скорость сканирования.

2. Зачем на закладке "Базы AVZ", в окне TAboutDLG, в таблице список выглядит таким образом, что во второй колонке в каждой строке постоянно дублируется фраза "дата сборки"? Ведь в заголовке колонки это уже написано :D

3. Когда появится нормальное графическое оформление программы? К томуже не мешало бы добавить горячие клавиши для некоторых пунктов меню (Т.к. на 100% не угадаешь для кого какой пункт самый часто используемый, то возможно придётся написать редактор горячих клавиш.)
Может сейчас в меня полетят камни и многие скажут, что это не того рода программа, что бы вешать на неё рюшечки-цветочки. Но грамотное графическое оформление ускоряет работу с программой, способствуя быстрому визуальному запоминанию интерфейса программы. А быстрое освоение программы способствует её популяризации. Заметьте, я говорю именно о грамотном оформлении!

Конечно я не облачил тут супер багов и вопросы мои имеют низкую важностью на пути развития программы, но я думаю любые вопросы и нарекания в сторону AVZ, так или иначе помогают её улучшению! Буду рад ответам на них. Спасибо.

Навеяно предпоследним вопросом от NickGolovko.
Олег, почему бы не перевести комманды из "Восстановление системы", "Стандартные скрипты" в отдельные скрипты которые, возможно, будут располагаться в отдельной папочке Scripts в папке с AVZ. Это повысит удобство расширяемости, т.к. для того что бы добавить исправлялку надо будет просто написать скрипт и добавить в папку.
К тому же написание скриптов автоматизации поможет Вам понять каких подпрограмм не хватает во встроенном скриптовом языке и поможет начинающим разбираться в синтаксисе скриптов посмотреть "живые" примеры.

Навеяно предпоследним вопросом от NickGolovko.
Олег, почему бы не перевести комманды из "Восстановление системы", "Стандартные скрипты" в отдельные скрипты которые, возможно, будут располагаться в отдельной папочке Scripts в папке с AVZ. Это повысит удобство расширяемости, т.к. для того что бы добавить исправлялку надо будет просто написать скрипт и добавить в папку.
К тому же написание скриптов автоматизации поможет Вам понять каких подпрограмм не хватает во встроенном скриптовом языке и поможет начинающим разбираться в синтаксисе скриптов посмотреть "живые" примеры.
"Восстановление системы" и "Стандартные скрипты" основаны на скриптовом движке, но скрипты хранятся в обновляемой базе. Т.е. я в любой момент могу добавить новый скрипт или модернизировать существующие, и за счет автообновления это появится у всех пользователей. Пример - сегодня после обновления баз появится 16й пункт восстановления системы. А "живые примеры" я описываю в справке - там почти на каждую команду есть пример.

Ок. Один из вопросов освещен.

Олег, 14 и 15 пункты восстановления системы чем отличаются?

Олег, спасибо вам за ваши труды. Являюсь поклонником программы с давних пор и постоянно слежу за её развитием.
Я думаю, что если на сайте AVZ ввести Donate-раздел, то вы сможете хотя бы покрыть свои расходы на содержание этого же сайта.
Интерес заставляет меня задать следующий вопросы....

Раздел Donate делать особого резона нет - он принесет копейки. По поводу вопросов:
1. Возможности регулировки приоритета есть - см. в справке, ключи Priority=[-1|0|1] и SleepScanTime=N
2. Ранее у заголовка была шапка "Информация о базе". Возможно, он еще вернется и информация будет расширена
3. Сложный вопрос :) Исходно у AVZ интерфейса не было вообще. Потом я сделал текущий вариант, не сильно задумываясь о дизайне. К примеру, сейчас большинство пользователей с AVZ работаю так - запускают стандартный скрипт, скидываю логи, получают скрипт чистки ... Конечно, можно сделать разноцветный дизайн, с поддержкой скинов и т.п., но нужно ли ? Другое дело что-т ооптимизировать и т.п. - если есть идеи, поделитесь, подделать что-то тривиально

Олег, 14 и 15 пункты восстановления системы чем отличаются?
Реализацией. 14 - достигается средствами AVZ, 15 - стандартными средствами операционной системы. Соответственно если 14 не помогает, то стоит пробовать 15.

to Mad Scientist, NickGolovko
Это будет в очередной версии, в виде отдельного менеджера. Там не все однозначно, я насчитал уже штук 5 похожих методов автозапуска подобным образом.

Автозапуск там не страшен - вопрос в чистке следов :)

Здравствуй Олег, вот на праздники хотел наехать - не получилось ;)
Суть такова: после установки новой версии (субжа) сделал первый запуск и был немного удивлён: на недокачаном архиве вывело красным - не ПкЗип архив и повисло- минут 10 нагрузка первого проца ~75%, ни пауза, ни стоп не реагировали. Никакие изменения в настройках тоже не помогли. Немного поразмыслив мозгами прикинул что сначала нужно УДАЛИТЬ "старый" АВЗПР и установить новый - прокатило без проблем.

Второй вопрос: есть такая мулька - ПроцессЛассо, которая автоматически задаёт приоритеты процессам и их тредам (потокам) зависимо от настроек или же автоматически завершает запрещённые. Довольно часто АВЗ просто закрывался без сообщений, а теперь возникают тормоза и ошибки. Я понимаю что это "конфликт" софтов, но раз его нельзя решить по хорошему, то можно ли хотя бы реализовать автоконтроль приоритета прямо в АВЗ? (а то в Диспетчере Задач-- Процессы-- Задать приоритет коряво работает)
Конечно, имеется в виду контроль себя, а там - как руки дотянуться ;)

Хотел новой версией проверить диск С, но AVZ повисла (также как и описанно выше)

Хотел новой версией проверить диск С, но AVZ повисла (также как и описанно выше)
Есть подозрение, что это глюк с обработкой архивов - сейчас идет отработка этой версии, мне прислали сегодня утром архив, на котором наблюдается такой заскок.

Олег, я тут на досуге захотел почитать документацию в качестве ликбеза (то что ты и предложил в ПДФ), но кажется либо шрифт не встроен, либо у меня такого нету, короче -крякозяблики с картинками...
Это лечится?

Олег, я тут на досуге захотел почитать документацию в качестве ликбеза (то что ты и предложил в ПДФ), но кажется либо шрифт не встроен, либо у меня такого нету, короче -крякозяблики с картинками...
Это лечится?
А акробат свежий ? В старых версиях какой-то косяк с отображением шрифтов, в 6.0 CE все должно работать (а теории конечно :) )

А акробат свежий...
Используйте FoxItReader и не мучайтесь...

у меня всё нормально, кроме пункта 5.3 . В нём одни закорючки :)))
версия 8 :)

"C:\Program Files\Borland\Delphi7\Demos\Corba\Idl2Pas\EJB\euro converter\Java\CurrencyConverter.jar Invalid file - not a PKZip file"
- это к чему?

Если придавить слайдер полосы прокрутки во время скана, то скан повиснет и не продолжится, пока не отпустишь. Я видел такую же фичу и в других прогах, по крайней мере Application.ProcessMessage при зажатом слайдере не проходит. А вообще как-нибудь можно от этого избавиться?(спрашиваю больше для понимания). Разве процесс сканирования запускается не в отдельном потоке?

у меня всё нормально, кроме пункта 5.3 . В нём одни закорючки :)))
версия 8 :)
Подтверждаю - п. 5.3 "Модули пространства ядра" - крякозябры - видимо перед экспортом слетел русский шрифт...
Смотрел через FoxItReader.

еще фишка - у меня два диска. Раздел второго я подмонтировал на первый как папку. АВЗ ругается. Не то что бы ругается,но грит что то типа "ахтунг, имя файла такое, а на самом деле - такое" (и подставляет другой, "истинный" путь).
Это баг или фича? :)
Может стоит как-то отрабатывать такие ситуации, что бы лишний раз не "нервировать" пользователя?

и вдогонку - нельзя ли сделать модуль просмотра содержимого памяти, в хекс- и асм- (эт было бы вообще супер) виде.
Если нельзя, то хотя бы сохранения указанных кусков РАМа в файл на диск (уж на крайняк можно и хиев-ом потом посмотреть)

еще фишка - у меня два диска. Раздел второго я подмонтировал на первый как папку. АВЗ ругается. Не то что бы ругается,но грит что то типа "ахтунг, имя файла такое, а на самом деле - такое" (и подставляет другой, "истинный" путь).
Это баг или фича? :)
Может стоит как-то отрабатывать такие ситуации, что бы лишний раз не "нервировать" пользователя?

и вдогонку - нельзя ли сделать модуль просмотра содержимого памяти, в хекс- и асм- (эт было бы вообще супер) виде.
Если нельзя, то хотя бы сохранения указанных кусков РАМа в файл на диск (уж на крайняк можно и хиев-ом потом посмотреть)
По поводу имен файла - это фича. Связано с тем, что зловред в теории может так маскироваться от обнаружения, вот AVZ и показывает реальный путь к объекту.
Просмотр памяти и файлов в HEX - планируется, так как часто у юзера FAR на ПК нет и посмотреть файл нечем ... насчет ASM - видимо нет смысла, так как тупое дизассемблирование памяти с произвольной точки даст бред. Сохранение образа EXE файла, DLL и есть - функция дампирования в соответствующих менеджерах.

Думаю для "лентяев", тоесть пости для всех :) пригодились бы 2е такие фичи:

1) встроенная кнопка "Хел ми! Сос ми!.." и т.д в случае не(?) обнаружения коников, грызунчиков и прочих неваляшек;
или как вариант - аналогичный пункт в меню файл "Отправить протокол"

2) на работе на Хрю стоит вышеупомянутый ПроцессЛассо Про и среди его возможностей есть "Завершать все НЕ доверенные процессы", просто удивительно, но машинка работает уже 4 года без проблем. Для винды это что-то, но суть не в том:
*Олег, насколько реально в АВЗ сделать "драйвер" контроля "не/доверенных" процессов (+служб?) и будет ли это полезно?

Не понятки с работой BootCleaner-а в теме http://virusinfo.info/showthread.php?t=8313
Скрипт:


ClearQuarantine;
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\npptdpnm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\System32\npptdpnm.dll');
BC_DeleteFile('C:\WINDOWS\System32\npptdpnm.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(True);

лог:


Quarantine path: \??\D:\Install\Antivir\avz4\avz4\Quarantine\2007-03-12\
QuarantineFile \??\C:\WINDOWS\System32\npptdpnm.dll - succeeded
DeleteFile \??\C:\WINDOWS\System32\npptdpnm.exe - failed (0xC0000034)
-- End --

В логе нет упоминания о попытке удалить npptdpnm.dll, и файл не удален на самом деле.

Не понятки с работой BootCleaner-а в теме http://virusinfo.info/showthread.php?t=8313

В логе нет упоминания о попытке удалить npptdpnm.dll, и файл не удален на самом деле.
Ошибка 0xC0000034 - это "Объект не найден". А вот с файлом npptdpnm.dll - это глюк. Он пойман, завтра выйдет апдейт баз, в котором будет исправление это ошибки.

Олег, а плагин для TheBat какой сейчас версии ? внутри http://z-oleg.com/avz4thebat.zip лежит avz_thebat.bav вер. 4.23.0.0, md5 ee7855d64ddebb9d6760ee57a3a71349

Видимый процесс с PID=2188, имя = "\Device\HarddiskVolume1\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"
>> обнаружена подмена имени, новое имя = "c:\progra~1\foxits~1\foxitr~1\foxitr~1.exe"
(это скорее "старое", ипользовавшееся в DOS;))

Здравствуй Олег, вот на праздники хотел наехать - не получилось ;)
Суть такова: после установки новой версии (субжа) сделал первый запуск и был немного удивлён: на недокачаном архиве вывело красным - не ПкЗип архив и повисло- минут 10 нагрузка первого проца ~75%, ни пауза, ни стоп не реагировали. Никакие изменения в настройках тоже не помогли. Немного поразмыслив мозгами прикинул что сначала нужно УДАЛИТЬ "старый" АВЗПР и установить новый - прокатило без проблем.


Скорей всего архив большой на этом AVZ споткнулся, но если в диспетчере задач отображается, что приложенье не работает это не факт что оно намертво висит!Проверено временем!




Второй вопрос: есть такая мулька - ПроцессЛассо, которая автоматически задаёт приоритеты процессам и их тредам (потокам) зависимо от настроек или же автоматически завершает запрещённые. Довольно часто АВЗ просто закрывался без сообщений, а теперь возникают тормоза и ошибки. Я понимаю что это "конфликт" софтов, но раз его нельзя решить по хорошему, то можно ли хотя бы реализовать автоконтроль приоритета прямо в АВЗ? (а то в Диспетчере Задач-- Процессы-- Задать приоритет коряво работает)
Конечно, имеется в виду контроль себя, а там - как руки дотянуться ;)
А идея в принципе не плохая!


Хотел новой версией проверить диск С, но AVZ повисла (также как и описанно выше)

Честно сказать за 3 года активного юзанья AVZ подобного практически не наблюдалось.
А насчет дизайна лично мне все равно, меня AVZ устроит и в режиме коммандной строки. :)

Честно сказать за 3 года активного юзанья AVZ подобного практически не наблюдалось.
А насчет дизайна лично мне все равно, меня AVZ устроит и в режиме коммандной строки.


он многих людей устроит, но вот обычного пользователя.. да ещё удалленно приведёт просто в шок..

Олег посмотри пожалуйста
http://forum.kaspersky.com/index.php?showtopic=33853&st=0
второй раз встречаю данного зловреда, и второй раз лечение неудачное SPI\LSP не востанавливаеться..


[чёрт совместите 2 моих последних поста]

он многих людей устроит, но вот обычного пользователя.. да ещё удалленно приведёт просто в шок..

Олег посмотри пожалуйста
http://forum.kaspersky.com/index.php?showtopic=33853&st=0
второй раз встречаю данного зловреда, и второй раз лечение неудачное SPI\LSP не востанавливаеться..


[чёрт совместите 2 моих последних поста]
В таком случае стоит выполнить скрипт номер 15 отдельно. Если не поможет - значит, зловред удалил из настроек одного или нескольких системных провайдеров.

скрипт номер 15 отдельно
а если вместе 14 и 15 непрокатит?


Если не поможет - значит, зловред удалил из настроек одного или нескольких системных провайдеров.

это чтож востанавливать систему надо будет? жесть..

мде теперь уже и не скажешь человеку, пропал он..

Ничего более лучшего в плане антивируных программ я еще не встречал
Недостатки канешна то же есть но в паре Авастом эта программа наконец то удалила всю гадость с одной постоянно больной машины

Забежал сюда на пару секунд - написать СПАСИБО Отличная программа

Еще как нибудь загляну :)

Олег, можно сделать, чтобы имелась возможность прямо из протокола кидать имя файла (не путь!) в Google?

Jolly Rojer, как раз архив вроде то и небольшой - 4,2Мб, но битый (недокачаный мп3-файл- отмена на 72%), в винраре открывает и сразу предупреждает про битость.
А виндовзскому диспетчеру задач мало кто доверяет, тем более сразу, но когда так продолжается около 10 минут, то это немного напрягает.
Jolly Rojer, может для релакса например, как в ДрВебе напротив файла крутёлочку поставить [\|/-] или другой индикатор типа "работаю-не работаю".
Разумеется, при условии что он тоже не зацикливается ;)
Для страховки я бы предпочёл какой-то таймаут на каждый файл учитывая размер - не успел - вывелось "таймаут" и следующий. Вроде того

При выборе в меню "Injected dll-s" AVZ дает AV, после чего повисает, съедая все процессорное время. Запуск с debug=Y не дает никакой инфрмации
Нюанс: Французская Windows XP SP1 корпоративная + все заплатки

При выборе в меню "Injected dll-s" AVZ дает AV, после чего повисает, съедая все процессорное время. Запуск с debug=Y не дает никакой инфрмации
Нюанс: Французская Windows XP SP1 корпоративная + все заплатки
К концу недели выйдет обновленная 4.24, там этот глюк будет устарнен, равно как еще несколько мелких багов.

а если вместе 14 и 15 непрокатит?
Ещё такой вариант есть - http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml

да уж поздно человека нету, я кстати об этой программке знаю..
другое дело я надеялся авз справиться..

Хорошо что версия 4.23 обновляет базы, а то новая версия пока что-то уж слишком глючная и висучая

Jolly Rojer, может для релакса например, как в ДрВебе напротив файла крутёлочку поставить [\|/-] или другой индикатор типа "работаю-не работаю".
Разумеется, при условии что он тоже не зацикливается ;)
Для страховки я бы предпочёл какой-то таймаут на каждый файл учитывая размер - не успел - вывелось "таймаут" и следующий. Вроде того

Ну это я думаю не ко мне ;) а к Олегу! Олег народ просит крутилочку...!
Хотя насколько мне известно что шкала прогресса у AVZ есть хоть и не совсем точная, а что поделать прогноз дело не благодарное.

Хорошо что версия 4.23 обновляет базы, а то новая версия пока что-то уж слишком глючная и висучая

Не более, чем прежняя версия. А учитывая как оперативно Олег все поправляет, сидеть на старой версии смерти подобно. Имхо. Лучше помогать ему ее тестировать и вовремя сообщать о глюках здесь. Надеюсь, никого не обидел? ;)

Ну это я думаю не ко мне ;) а к Олегу! Олег народ просит крутилочку...!
Хотя насколько мне известно что шкала прогресса у AVZ есть хоть и не совсем точная, а что поделать прогноз дело не благодарное.
Крутилку можно сделать - но получается парадокс: на перерисовку крутилки может уходить примерно столько-же ресурсов, сколько на скан файла :) А шкала прогресса статистическая (есть как известно три вида неправды - ложь, гнусная ложь и статистика :) ). Пример: если AVZ наталкивается на архив, то статистика количества файлов и времени сканирования начинает уточняться, в результате я неоднократно видел, как прогресс замирает и даже назад отползает в ходе сканирования.
По поводу зависания на архиве - я ограничил уровень вложенности архивов до 50-70 уровней, иначе могут быть глюки, особенно в распаковщике RAR, который я беру "как есть" ввиду того, что он постоянно обновляется.

Олег, такой вот вопрос: почему AVZ "давится" при сканировании файлoв с расширением chm? В новой версии это ощущается меньше, но в прошлых это был ахтунг:( . Как только скан доходил до такого файла, AVZ вешался и перестовал отвечать. Я поначалу прерывал сканирование, потом выяснилось что всё-таки AVZ их просканит, надо просто подождать, но только долго( мин15 вроде или > , точно уже не помню).
И ещё: при начале сканирования AVZ помечает красным перeхватчики sptd.sys и cmdmon.sys. С sptd понятно (Daemon лезет глубоко :D ), но cmdmon почему красный, чем Comodo не понравился? Если б выделился обычным чёрным всё нормал, но красным...
Сканирование всегда провожу на максимальном уровне эвристики ;)

cmdmon почему красный, чем Comodo не понравился
тем же самым что и даймон тулз...

тем же самым что и даймон тулз...
Верно... Только вместо красного был бы уместнее чёрный или зелёный...
Посмотрим, что скажет Олег :)

Верно... Только вместо красного был бы уместнее чёрный или зелёный...
Посмотрим, что скажет Олег :)
Выделение строки красным происходит из-за того, что AVZ фиксирует перехват, т.е. вмешательство в работы системы. Возможно, если перехватчик будет опознан как безопасный, то я сделаю его отображение черным.

Прописал в "HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon"
в параметр "UserInit" вместо "С:\WINDOWS\system32\userinit.exe,"
"С:\WINDOWS\system32\userinit.exe,C:\test.exe"
Получилось - в менеджере автозапуска эта строка выделена зелёным.
Т.е. как бы все в порядке.

В отчете:
{C:\WINDOWS\system32\userinit.exe,C:\test.exe, -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit } (тоже зелёное)

Т.е. надо для ключей, допускающих мультизагрузку разбивать их, отдельно анализировать по базе безопасных и для каждого создавать отдельную строку в отчете(менеджере автозапуска).

Неплохо бы сделать возможность автозагрузки профиля настоек при запуске программы

Неплохо бы сделать возможность автозагрузки профиля настоек при запуске программы
Уже сделано - в момент старта AVZ изет профиль с именем avz.prf в том-же каталоге, что и avz.exe. Если провифиль с таким именем обнаруживается, то он считается профилем по умолчанию и загружается автоматически.

У меня возникла проблема. Во время сканирования AVZ выдает ошибку: external exception C000001D. То же самое, только сразу же, при запуске менеджера внедренных dll. Что это и как с этим бороться?

У меня возникла проблема. Во время сканирования AVZ выдает ошибку: external exception C000001D. То же самое, только сразу же, при запуске менеджера внедренных dll. Что это и как с этим бороться?
Нужно подождать до понедельника - новый релиз готов, в нем эта ошибка устранена.

Нужно подождать до понедельника - новый релиз готов, в нем эта ошибка устранена.
Попробуйте, до выхода релиза, сразу включать AVZGuard. Мне помогало.

Попробуйте, до выхода релиза, сразу включать AVZGuard. Мне помогало.
Спасибо за совет, попробую. Да и до понедельника ждать уже не долго.

Опять с Батом началось:

!17.03.2007, 18:40:18: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
Даже отправить письмо не могу...

Как бы точно продиагностировать причину возникновения проблемы?
Лог АВЗ нормальный вроде.

Менеджер Active Setup даёт суховатую информацию... Например:
D:\WINDOWS\system32\regsvr32.exe Microsoft(C) Register Server

В некоторых других программах:
Autoruns
Windows Desktop Update Microsoft(C) Register Server d:\windows\system32\regsvr32.exe

Browser Sentinel
Windows Desktop Update
Описание Windows Shell Common Dll
Команда regsvr32.exe /s /n /i:U shell32.dll
Файл D:\WINDOWS\system32\shell32.dll
Размещение HKLM Software\Microsoft\Active Setup\Installed Components\{898...

A2HijackFree
{89820200-ECBD-11cf-8B85-00AA005B4340} regsvr32.exe /s /n /i:U shell32.dll

Остальные тоже ограничиваются командой и CLSID-ом (HijackThis - не смотрел).

Windows Desktop Update вроде не должно быть в XP и IE6. На оффсайте упоминается загружаемый Update.exe. Недавно какой-то Update.exe (TR/Crypt.XPACK.Gen // Generic.Dialer. К сожалению, немногие на Вирустотале его опознали) захаживал (лежал на десктопе и не было видно его, прописал себя в исключениях Файерволла Виндоуса.). Если пункт в реестре оставил он, то я буду думать, нужен ли мне Windows Desktop Update. :) Но менеджер указывает лишь на regsvr32...

Олег, а когда AVZ в полную силу заработает на 64 разрядной операционке?

Обновилась русскоязычная версия AVZ - пофиксен ряд багов, которые вылезли в ходе тестирования.

Обновилась русскоязычная версия AVZ - пофиксен ряд багов, которые вылезли в ходе тестирования.
А номер версии не будет меняться? (типа: 4.24.1)

А номер версии не будет меняться? (типа: 4.24.1)
Нет, многозначную версию я не делаю - она в скриптах применяется для контроля версии. Но в окне "О программе" выводится "4.24 r2" - где r - Release, цифра - номер релиза

Только что скачал свежий архив AVZ, запустил, и вот что получил

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасныхВ чём тут дело?

Олег, просьба на http://www.z-oleg.com/secur/avz/download.php писать данные (размер, md5) и для Bat plugin.

Олег, просьба на http://www.z-oleg.com/secur/avz/download.php писать данные (размер, md5) и для Bat plugin.
ОК, завтра сделаю. Я еще и по архиву AVZ.ZIP данные поправлю.
----
Как баг в антикейлоггере, исчез ?

@Олег Вопросик возник: BootCleaner добавляет в карантин файлы с расширением dat, а обычный dta. Это баг, или фича :-)

См. карантин к теме 8481.

Олег, почему бы не сделать отдельную утилиту для обновления самой программы, а не только AV баз.

Прописал в "HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon"...
"С:\WINDOWS\system32\userinit.exe,C:\test.exe"
...
-> C:\test.exe не опознан как безопасный (черный цвет), но удалить/отключить этот параметр невозможно

Здорово! Только, похоже, т.к. userinit.exe был опознан как безопасный системный процесс и уделение/отключение его было невозможным, то это свойство было унаследовано и C:\test.exe.
Также при запуске v4.24 r2 почему-то не загружается автоматически avz_profile.prf (ждем до 4.25?, хотя автозагрузка параметров не так уж и необходима)

пожелание: многие зловреды при запуске правят реестр на предмет отключения некоторых ф-ций - возможности запуска регедита, показа скрытых файлов и т.д.
Нельзя ли сделать фичу, восстанавливающую "нормальное" состояние этих параметров?

ЗЫ: Если это уже реализованно, просьба ногами не пинать, а подсказать хде это :)

наблюдаю вылет из программы при вызове Менеджера внедренных DLL под w2k/sp4 ws - проверил на 4-х машинах :( Под winxp все нормально.

пожелание: многие зловреды при запуске правят реестр на предмет отключения некоторых ф-ций - возможности запуска регедита, показа скрытых файлов и т.д.
Нельзя ли сделать фичу, восстанавливающую "нормальное" состояние этих параметров?

ЗЫ: Если это уже реализованно, просьба ногами не пинать, а подсказать хде это :)
Эта функция есть - Файл/Восстановление системы. Там есть микропрограмма для удаления Policies.

пожелание: многие зловреды при запуске правят реестр на предмет отключения некоторых ф-ций - возможности запуска регедита, показа скрытых файлов и т.д.
Нельзя ли сделать фичу, восстанавливающую "нормальное" состояние этих параметров?

ЗЫ: Если это уже реализованно, просьба ногами не пинать, а подсказать хде это

AVZ - файл- востановление системы

наблюдаю вылет из программы при вызове Менеджера внедренных DLL под w2k/sp4 ws - проверил на 4-х машинах :( Под winxp все нормально.
На W2K проверю - нужно только будет найти W2K SP4.

-> C:\test.exe не опознан как безопасный (черный цвет), но удалить/отключить этот параметр невозможно

Здорово! Только, похоже, т.к. userinit.exe был опознан как безопасный системный процесс и уделение/отключение его было невозможным, то это свойство было унаследовано и C:\test.exe.
Также при запуске v4.24 r2 почему-то не загружается автоматически avz_profile.prf (ждем до 4.25?, хотя автозагрузка параметров не так уж и необходима)
1. Удалить/отключить параметр невозможно, так как он описан как "системный" и для него действует тольк опция "восстановить". Это свойство распространяется на все элементы, найденные из ключа (в данном случая это C:\test.exe и userinit.exe, и у обоих одентичная опция - восстановить, восстанавливающая ключ запуска userinit.exe
2. Профиль по умолчанию должен называться avz.prf, а не avz_profile.prf - поэтому он и не грузится.

Олег, почему бы не сделать отдельную утилиту для обновления самой программы, а не только AV баз.
Сделать можно, оно уже сделано в текущей версии апдейтера - но тогда трафик моего сайта возрастет с 400 ГБ до 2-4 терабайт в месяц, и он "ляжет" окончательно. Сейчас в миру гуляет несколько миллионов копий AVZ, из них около 80-100 тыс активных (т.е. в месяц хотя-бы одно обновление баз). Только одно обновление баз порождает непрерывный шквал запросов, я уже думаю сделать еще 1-2 зеркала для баз и avz.zip

@Олег Вопросик возник: BootCleaner добавляет в карантин файлы с расширением dat, а обычный dta. Это баг, или фича :-)

См. карантин к теме 8481.
Это баг, исправлю - расширение должно быть одинаковое

На W2K проверю - нужно только будет найти W2K SP4

Да, к сожалению Аксесс бла-бла-бла - при попытке запуска Менеджера внедрённых ДЛЛ три раза выскакивает окно об ошибке и АВЗ подвисает намертво...
Скриншот прилагается.
Система именно такая, как указано.

На W2K проверю - нужно только будет найти W2K SP4.

можно и на w2k/w3k server проверить - есть access violation...
на одной w2k/ws тоже, а на 4-х просто закрытие окна AVZ

можно и на w2k/w3k server проверить - есть access violation...
на одной w2k/ws тоже, а на 4-х просто закрытие окна AVZ
В том то и проблема - я тестировал на W2K SP3 rus и W2K3 SP1 Ent Server en - все рабатает. Т.е. у меня проблема в том, что я не могу воспроизвести ситуацию.

при попытке запуска Менеджера внедрённых ДЛЛ три раза выскакивает окно об ошибке и АВЗ подвисает намертво...

На WinServer 2000 SP4 rus то же самое. Процесс AVZ зависает и грузит процессор на полную.
Запускал через терминал.

@Олег
Что это?? тема 8545
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Просьба заценить записи файла HOSTS.

Протокол живой, лечим Brontok на форуме ЛК.

Просьба заценить записи файла HOSTS.

Протокол живой, лечим Brontok на форуме ЛК.
Ага - надо будет пару тегов воткнуть, чтобы HTML воспринималься как текст :) Кстати, причина этого интересно - часто бывает так, что зловред загружает файл hosts с некоторого сайта и тупо заменяет им системный. Если сайт зловредописателей прикроют, вместо Hosts вернется html страничка, обычно напичканная рекламой - вот и получается казус в логе :)

Handl'ы dll (диспетчер процессов)в HEX, а в отчетах(html) в integer

У меня на W2K3R SP2 Ent Server х64 eng работает,ошибок вроде пока нет.

Вот выдало вдруг в самом конце:

---------------------------
Антивирусная утилита AVZ.Идет проверка, 100%
---------------------------
Access violation at address 1330ECE3 in module 'avz.exe'. Read of address FFFFFFFF.
---------------------------
OK
Кто спровоцировал?

На Win2k AS sp4 и WinXP Prof SP1 вылезает три раза Access Violation при запуске "Менеджер внедренных DLL";
На WinXP SP2 такая ошибка появляется при проверке (не всегда), как только выводится строка
"5. Поиск перехватчиков событий..."

На Win2k AS sp4 и WinXP Prof SP1 вылезает три раза Access Violation при запуске "Менеджер внедренных DLL";
На WinXP SP2 такая ошибка появляется при проверке (не всегда), как только выводится строка
"5. Поиск перехватчиков событий..."

Это известный баг, проявился в 4.24, к вторнику-среде планируется его окончательно пофиксить (он проявляется хитро - не на всех системах и не всегда).

Вопрос, он же предложение:
Нельзя ли как-то упростить внесение файлов в список безопасных - например, ввести понятие "локально безопасных" файлов - которые сам юзер помечает как безопасные и они заносятся в локальную базу безопасных файлов - потом АВЗ автоматически берёт эти файлы, их MD5, названия программ, сайты, откуда они взяты - и отправляет Вам, где эти файлы проверяются. Затем они уже вносятся в общую базу безопасных.

Просто масса программ, явно безопасных, мозолит глаза в анализаторах и логах: Ява, Аваст, КламВин, Тотал Коммандер, Бат, Миранда и прочее...

Или есть простой путь пометки файлов как безопасных, я просто о нём не знаю? :)

Или есть простой путь пометки файлов как безопасных, я просто о нём не знаю?
Есть. Выполните процедуру описанную здесь (http://www.virusinfo.info/showthread.php?t=3519).

Спасибо, залил :)

Спасибо, залил :)
Спасибо, я потихоньку скачиваю эти архивы и помещаю в базу чистых.
------
Сегодня кстати знаменательное событие - утром был пойман и прописан в базу 100.000-й зловред :)

Спасибо, я потихоньку скачиваю эти архивы и помещаю в базу чистых.
------
Сегодня кстати знаменательное событие - утром был пойман и прописан в базу 100.000-й зловред :)

Поздравляю!

Кажется, совсем недавно было 10-15тыс. Хотя это и сомнительный повод для нас. Такими темпами растет количество вредоносных программ!

потихоньку скачиваю эти архивы и помещаю в базу чистых

Надеюсь, с предварительной проверкой - мало ли чего юзера накачают... ;)

Поздравляю!

Кажется, совсем недавно было 10-15тыс. Хотя это и сомнительный повод для нас. Такими темпами растет количество вредоносных программ!
В том то и беда - количество разновидностей и модификаций зловредов растет со страшной силой. К примеру только одних Hoax программ за последние полгода лично мной зафиксировано 224 разновидности, пинчей более 700 ...

Интересно, что фактически Интернет уже давно походит на имунную систему живого организма - с примерно теми же реакциями и агентами - а участники Сети как составляющие этой системы :)

пинчей более 700 ...

дамрай трудится не покладая рук. Для каждого клиента у него индивидуальный пинч. :)

Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003

Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003
Должен. Я советую:
0. Удалить AVZPM и перезагрузиться. Обновить базы. После обновления на всякий случай перезапустить AVZ.
1. Включить AVZPM, провести сканирование и убедиться, что в логе есть отметка о его использовании и нет ошибок
2. Перезагрузиться и повторить опыт. После перезагрузки PM должен работать

В системе XPhome рецепт помог, win2003 проверю позже..
Обновляюсь ежедневно, где была проблема не понял.
А удаление avz - это только удаление каталога avz?
При попытке ручного удаления в реестре ссылок с AVZRK - система не позволяет..???..AVZPM при этом не работает...
Может в AVZ добавить ключ - чистка реестра(uninstall avz)?

Uninstall AVZ нашел в стандартных скриптах - не разу не интересовался этим пунктом...попробовал его - работает.

Опять вылез глюк с AVZPM на системе с XPhome.
Удалял, обновлял, чистил - не помогло.
Ставлю v.4.24(не r2) - avzpm работает.......

Привет


Спасибо, я потихоньку скачиваю эти архивы и помещаю в базу чистых.


Олег. у нас на проксе стоит ограничение на размер выгружаемых от нас файлов ~250к

Я разбивал большие файлы на части раром и ли 7зипом
Они собирались? (имен файлов уже к сожалению не помню давненько было)

Привет



Олег. у нас на проксе стоит ограничение на размер выгружаемых от нас файлов ~250к

Я разбивал большие файлы на части раром и ли 7зипом
Они собирались? (имен файлов уже к сожалению не помню давненько было)
Пара архивов RAR у меня открылись нормально, еще 1-2 многотомных не открылись - ругался на повреждение одной из частей архива. Вообще лучше делать не многотомный архив, а именно несколько независимых архивов.

Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003

У меня такая же проблема была - в AVZ устанавливаю AZVPM, просит перезагрузку. В меню AZVPM сообщается, что он не установлен. щелкаем установить и все ок. Глюк программы, т.к. драйвер на самом деле встал и работает.

Вообще лучше делать не многотомный архив, а именно несколько независимых архивов.
Стараюсь, но не всегда выходит - бывают файлы (незаархивированные) по 1-2 Мб

Win XP Home Edition -> Access Violation
Когда сканирование доходит до <поиска клавирных перехватчиков>
AVZ 4.24 r2 впадает в Access Violation.
AVZPM не установлен, винда была замучена разными вирями, в том числе и каким-то уродцем, который после копирования текста в буффер заменял его на "Hello".

У меня такая же проблема была - в AVZ устанавливаю AZVPM, просит перезагрузку. В меню AZVPM сообщается, что он не установлен. щелкаем установить и все ок. Глюк программы, т.к. драйвер на самом деле встал и работает.
Аналогично. Глюк интерфейса.
Однако, когда после выполнял скрипт "Скрипт сбора неопознанных и подозрительных файлов"
получил:"1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM"

Действительно, AVZPM работает после перезагрузки, но AVZ его не видит. Это проблема релиза r2.

Действительно, AVZPM работает после перезагрузки, но AVZ его не видит. Это проблема релиза r2.
Да - проблема поймалась, причина - внеочередная замена версии. Я видимо выпущу r3, чтобы убрать эту проблему

Да - проблема поймалась, причина - внеочередная замена версии. Я видимо выпущу r3, чтобы убрать эту проблему
Олег, сделай потом объявление на главной странице z-oleg.com, пожалуйста. Не все приходят на этот форум.

Олег, сделай потом объявление на главной странице z-oleg.com, пожалуйста. Не все приходят на этот форум.
ОК, сделаю. Я положил на прежнее место обновленный архив, там 4.24 r4, в ней устранены глюки в антикейлоггере, AVZPM и еще ряд мелочей.

Странности..

Attention !!! The database was last updated 3/6/2007 - it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.24
Scanning started at 4/3/2007 7:36:22 PM
Database loaded: 92528 signatures, 2 NN profile(s), 55 microprograms of healing, signature database released 06.03.2007 11:35
Heuristic microprograms loaded : 367
Digital signatures of system files loaded: 56711
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
1. Searching for rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section: .text
Analysis: ntdll.dll, export table found in section: .text
Analysis: user32.dll, export table found in section: .text
Analysis: advapi32.dll, export table found in section: .text
Analysis: ws2_32.dll, export table found in section: .text
Analysis: wininet.dll, export table found in section: .text
Analysis: rasapi32.dll, export table found in section: .text
Analysis: urlmon.dll, export table found in section: .text
Analysis: netapi32.dll, export table found in section: .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=0846E0)
Kernel ntkrnlpa.exe found in the memory at the address 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Function NtCreateKey (29) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2DF
>>> Function recovered successfully !
Function NtDeleteKey (3F) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2F3
>>> Function recovered successfully !
Function NtDeleteValueKey (41) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B31F
>>> Function recovered successfully !
Function NtOpenKey (77) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2CB
>>> Function recovered successfully !
Function NtRenameKey (C0) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B309
>>> Function recovered successfully !
Function NtSetValueKey (F7) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B335
>>> Function recovered successfully !
Function NtTerminateProcess (101) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B34B
>>> Function recovered successfully !
Functions checked: 284, intercepted: 0, restored: 7
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
>>>> Suspicion for Rootkit McAfeeFramework "C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart
1.4 Searching for masking processes and drivers
The extended monitoring driver (AVZPM) is not installed, examination is not performed
2. Scanning memory
Number of processes found: 44
Number of modules loaded: 395
Memory checking - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Program Files\HPQ\IAM\bin\ItMsg.dll --> Suspicion for a Keylogger or Trojan DLL
C:\Program Files\HPQ\IAM\bin\ItMsg.dll>>> Behavioral analysis:
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
checking disabled by user
7. Heuristic system check
Checking complete
Files scanned: 439, extracted from archives: 0, malicious programs found 0
Scanning finished at 4/3/2007 7:36:36 PM
!!! Attention !!! Recovered 7 KiST functions during Anti-Rootkit operation
This may affect execution of several programs, so it is strongly recommended to reboot
Time of scanning: 00:00:14
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Quarantine file error ""C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
File "C:\Program Files\HPQ\IAM\bin\ItMsg.dll" quarantined succesfully

Олег, возможно вопрос не в тему, но что будет если AVZ просканирует папку с глубиной пути больше MAX_PATH? Или очееень глубоко вложенный файл, папку с запущенным оттуда процессом? Мне интересно, поскольку мы сейчас занимаемся "исследованием" на тему эксплоитостойкости security софта. Первый этап - внутренние буферы. Пока результаты неутешительные. http://forum.rootkits.ru/viewtopic.php?id=95

Олег, возможно вопрос не в тему, но что будет если AVZ просканирует папку с глубиной пути больше MAX_PATH? Или очееень глубоко вложенный файл, папку с запущенным оттуда процессом? Мне интересно, поскольку мы сейчас занимаемся "исследованием" на тему эксплоитостойкости security софта. Первый этап - внутренние буферы. Пока результаты неутешительные. http://forum.rootkits.ru/viewtopic.php?id=95
Я не проверял, но глюк вполне возможен - надо будет завтра поэкспериментировать, весьма интересно. Аналогично кстати с проверкой архивов-матрешек - я недавно поставил контроль глубины в AVZ, так как стали появляться "бомбы" в виде 200-300 архивов внутри друг друга, их рекурсивная раскрутка в частности в RAR архиве однозначно приводила к падению.

Олег рюшечка конечно но всё таки, можно в логах поменять местами
"Нейтрализация перехватов функций при помощи антируткита"
"Включить AVZGuard"

просто начинаешь нажимать поочереди получаеться не очень хорошо "Нейтрализация перехватов функций при помощи антируткита" получаеться после "Включить AVZGuard", я уже так пару раз ошибиться успел..

Ещё маленькое предложение в логах для нашего форума, в тексте было бы сказано в каком режиме загружена система, как в бетке hi jack this (Normal mode/ safe mode..)

Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате сообщила (http://forum.oszone.net/post-570404-17.html), что

Происшествие: зашла в "файл", запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось
И почему вообще запустила его - не пойму. :) Но в принципе такое может быть? Автокарантин ведь только с копированием, или ошибаюсь?

Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате
Erekle, молодец! :) Выражение "с больной головы посоветовал AVZ пользователю" я записал. Один знакомый хирург говорил: "Я по телефону диагноз не ставлю!" Хороший девиз, ему лучше следовать и делать все самому. Автокарантин не страшен, пользователь просто собрал все подозрительные файлы в одной папке (без удаления).

Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате сообщила (http://forum.oszone.net/post-570404-17.html), что

И почему вообще запустила его - не пойму. :) Но в принципе такое может быть? Автокарантин ведь только с копированием, или ошибаюсь?
AVZ в руках такого шустрого пользователя страшнее обезьяны с гранатой :) Именно поэтому в AVZ и появились скрипты - чтобы самодеятельность пользователя свести к нулю. Я почитал указанное обсуждение, логов там не видно, но судя повсему на ПК каша из пары антивирусов, Firewall и парочки троянов. Если в такой ситуации включить автокарантин AVZ, то возможен конфликт AVZ и действующего антивирусного монитора. Вообще автокарантин - это просто сбор файлов, которые не опознаны по базе безопасных.

Олег
В теме 8846 Windows ME не правильно отображается раздел лога Active Setup. Взгляни при случае.

Выражение "с больной головы посоветовал AVZ пользователю" я записал.
"Я по телефону диагноз не ставлю!"
:) Конечно...
Точнее, советовали другие и она уже "проводила лечение" (каким образом, можно только гадать), я подвиг на повтороное сканирование, потому что она спрашивала, как его настроить. Но она отклонилась от советов. И я так и не добился лога за всю ночь (http://forum.oszone.net/thread-82011-1.html), несмотря на неоднократные увещевания. Единственное - обрывок лога, интересный по её мнению, да ещё удалённый потом из сообщения из "осторожности". :) У неё два ПК, каша из бывших и нынешних антивирусов-антиспай и активная самодеятельность "для профилактики", да ещё в спешке, что было ясно видно и из других её сообщений на форуме. Только поэтому не отослал её сразу сюда.

Что-то случилось с AVZPM.. Не могу понять.. Стало происходить (скорее всего) с апреля месяца.. Устанавливаю AVZRK, перезагружаю систему, запускаю AVZ, а драйвер типа не установлен.. В Диспетчере служб и драйверов AVZRK висит, а приложение его не воспринимает..
Вопрос:
Со мной все нормально?

Что-то случилось с AVZPM.. Не могу понять.. Стало происходить (скорее всего) с апреля месяца.. Устанавливаю AVZRK, перезагружаю систему, запускаю AVZ, а драйвер типа не установлен.. В Диспетчере служб и драйверов AVZRK висит, а приложение его не воспринимает..
Вопрос:
Со мной все нормально?
Нужно обновить AVZ - это баг, проявился в конце марта - начале апреля. Он уже пофиксен, но официально версия AVZ не менялась (в "О программе" отображается дата сборки и релиз после буквы R).

Олег! Просто напомню. посмотри тему 8846, что-то там нето АВЗ отображает.

Всем привет!
Я достаточно давно наблюдаю и анализирую отечественные и зарубежные
разработки, как в области защиты, так и в области нападения.
Когда я "открыл" для себя AVZ я отнесся к нему не очень серьезно, но решил активно поганять. С тех пор не расстаюсь с Вашей прогой!
Огромное спасибо за качественный и бесплатный продукт!
Но в связи с переходом на Vista64 по понятным аричинам от AVZ пришлось отказаться. А жаль!
Так вот, мне интересно, планируется ли в принципе переход на Vista/Vista64 и как долго его ждать?
Желаю вам успехов!

@Олег Зайцев

Есть предложение сделать в логе исследования ссылочку на начало протокола. Было бы, думаю, удобно. Сначала сходил вниз, посмотрел протокол, потом вернулся, проанализировал лог.