Вышла новая версия антивирусной утилиты AVZ - 4.27. Архив с утилитой содержит базу вирусов от 30.08.2007 125002 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 371 микропрограмма эвристики, 9 микропрограмм ИПУ, 62024 подписей безопасных файлов.
Страница загрузки:
http://www.z-oleg.com/secur/avz/download.php
Прямой линк:
http://www.z-oleg.com/avz4.zip


------------------------------------------------------------------------
Список доработок и модификаций:
[+++] Новая подсистема - резервное копирование. Позволяет автоматически создавать резервные копии различных системных настроек (резервные копии выполняются в основном в виде REG файлов, которые могут быть импортированы стандартным редактором реестра)
[+++] Автоматическое резервное копирование настроек SPI перед их исправлением и ряда настроек системы перед их восстановлением. Резервные копии создаются автоматически по мере надобности в папке BackUp в виде стандартных REG файлов, которые в случае необходимости могут быть импортированы в реестр
[+++] Добавлена новая подсистема - ИПУ (Искатель Потенциальных Уязвимостей). Его задача - поиск потенциально уязвимых служб, требующих внимания со стороны пользователя настроек и прочих моментов, влияющих на быстродействие и (или) безопасность ПК. Данная подсистема может вызываться из скриптов. Если уязвимость устранима, то в меню исследования системы автоматически добавляется соответствующая позиция, генерирующая фрагмент скрипта для устранения проблемы
[+++] Новая функция исследования системы - сохранение результатов исследования в формате XML. Данные XML файла дублируют данные протокола исследования системы, предназначено для автоматизированной обработки результатов исследования
[+++] Добавлено множество команд скриптового языка (более 20 штук - экспорт реестра, сканирование реестра, запуск эвристики, работа с INI файлами и т.п.)
[++] BootCleaner - добавлена функция копирования файла, подправлен карантин
[++] В восстановлении новая функция - пересоздание настроек SPI/LSP. Помогает, если зловред повредил системные ключи или подменил своими. Данная функция делает бекап текущих наcтроек и пересоздает их по эталону
[+] Менеджер автозапуска - добавлен контроль ряда экзотических ключей автозапуска, применяемых malware
[+] Добавлена прогресс-индикация в окне "Выполнить скрипт"
[+] Все кнопки главного окна продублированы пунктами меню (для устранения проблем доступа к ним при работе на низких разрешениях экрана в защищенном режиме)
[+] в логе сканирования системы отображаются данные о запуске из консольной сессии и о состоянии восстановления системы, в итоге лога отображаются данные о количестве подозрительных объектов
[+] Скрипты - расширен набор макросов, допустимых в имени файла
[-] Исправлен конфликт между системой AVZGuard и модулем проверки файлов по базе безопасных
[+/-] Сообщения об ошибках разархивации перемещено в раздел отладочной информации ипо умолчанию не выводится в протокол
--------
Важный момент - обновилась только русскоязычная версия. Англоязычная не обновлялась и ее поддержка будет прекращена (базы можно обновлять вручную - совместимость есть). Причина проста - принято решение истребить русскую/английскую версии AVZ и вместо них сделать нормальную единую мультиязычную версию (причем не только русскую-английскую - можно будет добавлять перевод на любой язык). Работы над этим в стадии завершения...

Отдельная ветка для пожеланий, обсуждения и критики системы ИПУ: http://virusinfo.info/showthread.php?p=130660

Вышла новая версия антивиурсной утилиты AVZ - 4.27.

А почему сразу 4.27? Что с 4.26 стряслось? Кошка-Машка съела? :)

А почему сразу 4.27? Что с 4.26 стряслось? Кошка-Машка съела? :)
4.26 давно вышла - просто публичного релиза не было. А пока дело дошло до релиза - изменений набежало столько, что вышла уже следующая версия :)

обратите внимание - версия англоязычной программы не изменилась !
...и баэы не обновляются >:(. А у меня в русской версии - одни ??????.
Беру бессрочный отпуск...:book2:

...и баэы не обновляются >:(. А у меня в русской версии - одни ??????.
Беру бессрочный отпуск...:book2:
Базы можно обновить вручную - скачать ZIP и подсунуть. Я сниму блокировку на обновление через неделю, заменю "мягкой" блокировкой (обновление будет, но с матюгальником про устаревшую версию)

"Внимание !!! База поcледний раз обновлялась 14.08.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 30.08.2007 16:18:36
Загружена база: 136619 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 30.08.2007"

Это я скачал новую версию 5 минут назад и сразу сделал автоматическое обновление... То есть "база от 30.08.2007" а "обновлялась 14.08.2007". Красиво! :)

"C:\BOOT\OLD\NDOS.COM - PE файл с изменненным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\BOOT\OLD\NDOS.COM)"
Ну в слове "изменненным" явно маловато букв "н". Я бы туда ещё 3-4 штуки засадил.. :) А вообще-то это MS-DOS файлы... Ну ладно, попробую со временем отправить его в базу чистых...

Добавлено через 1 минуту


4.26 давно вышла - просто публичного релиза не было.
А можно как-то скачивать непубличные релизы?
Тестировать я умею... Если слышал про T-Mail (FIDO), то должен и обо мне знать. :)

Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\uteznzg0.sys)
AVZ Driver. Нормально?

AVZ Driver. Нормально?
Нормально - так всегда сразу после апдейта бывает. Сейчас должно стабилизироваться (я принудительно перезаписал avz4.zip и сейчас обновленные базы расползлись по серверам). Нужно перезагрузить его - и все будет нормально (или базы обновить)

Олег, спасибо за новую версию, будем тестить.
Первые ласточки:
NOD32 2.70.39 выдал ложняк (http://www.virustotal.com/resultado.html?59b908678c0a86543ce0e4531d24deb9) при загрузке zip-архива AVZ4.27 с сайта. На virustotal.com (я сканировал уже отдельно avz.exe) отличились еще 2 антивируса. ;-). Это из-за новых фич?

Олег, спасибо за новую версию, будем тестить.
Первые ласточки:
NOD32 2.70.39 выдал ложняк (http://www.virustotal.com/resultado.html?59b908678c0a86543ce0e4531d24deb9) при загрузке zip-архива AVZ4.27 с сайта. На virustotal.com (я сканировал уже отдельно avz.exe) отличились еще 2 антивируса. ;-). Это из-за новых фич?
Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32 :( Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.

Спасибо за разъяснения, Олег. Я им отписал посредством самого NOD32. Комментарий к файлу такой: "It's 100% false positive!!! It's an execution file from AVZ 4.27 program made by Oleg Zaicev. Please, update your bases as soon as possible!"

Спасибо за разъяснения, Олег. Я им отписал посредством самого NOD32. Комментарий к файлу такой: "It's 100% false positive!!! It's an execution file from AVZ 4.27 program made by Oleg Zaicev. Please, update your bases as soon as possible!"
Отлично, спасибо. Ситуация нехорошая - они же не просто детектят - удаляют avz.exe. Шквал писем с сообщениями о детекте огромный ...

нада будет в правилах пометочку сделать,о данной проблеме,чтоб пользователи нод32 не пугались.
ЗЫ.только что проверил,эвиристик отработал,удалив файл avz.exe :)

нада будет в правилах пометочку сделать,о данной проблеме,чтоб пользователи нод32 не пугались.
ЗЫ.только что проверил,эвиристик отработал,удалив файл avz.exe :)
Да, именно так. Если не поправят до конца дня, я сдалаю фильтр по слову "NOD" в почте саппорта AVZ и отрулю все это на них :)
Список отличившихся:
eSafe -> suspicious Trojan/Worm
NOD32v2 -> probably a variant of Win32/Genetik
Webwasher-Gateway->Worm.Win32.ModifiedUPX.gen!90 (suspicious)

Cамое главное,сказать о том чтоб не блокировали загрузку,ибо нод32 начинает орать ещё при закачки архива AVZ,а то пользователи его так и не скачают.

Cамое главное,сказать о том чтоб не блокировали загрузку,ибо нод32 начинает орать ещё при закачки архива AVZ,а то пользователи его так и не скачают.
Я написал им (с ящика ЛК) о проблеме, как AVZ детектится, ссылками на оф-сайт и архив

Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32 :( Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.

Но ведь можно не хранить константы в теле программы целиком? Или хранить их в какой-то кодировке (ХOR $52?)?

Но ведь можно не хранить константы в теле программы целиком? Или хранить их в какой-то кодировке (ХOR $52?)?
Это мое предположение, что детектятся константы ... зашифровать то их можно - тогда будет детект типа trojan.Cripter :)
По поводу поста чуть выше - файл C:\BOOT\OLD\NDOS.COM AVZ обложил правильно, это EXE файл с расширением COM, такие предупреждения выдаются при включении птички "расширенный анализ" (там ловятся пробелы в имени, несколько расширений, несоответствие расширения и содержимого). Очепятки в сообщениях - это святое :) По поводу приватных версий - они доступны хелперам virusinfo, со временем я организую раздел типа "бета-версии" у меня на сайте (сейчас ссылки есть только на стабильный релиз)

Файл успешно помещен в карантин (F:\Software\Internet\FlashGet\fgf140.exe)
F:\Software\Internet\FlashGet\fgf140.exe >>>>> AdvWare.Win32.Cydoor успешно удален

Это не вирус, это исталятор.. БЫЛ.:'-(

Там AdvWare сидит, всё правильно.

Там AdvWare сидит, всё правильно.

Ну когда на тебя комар сядет, я его тоже могу топором убить (с тобой вместе). :) Как там у Ленина было "по форме правильно, а на деле - издевательство". :) Или это не у Ленина?

В общем есть такой класс программ, за которые денег платить не надо, но зато нужно смотреть рекламу. FlashGet - самый известный из них.

Более того, он честно предупреждает, что или плати деньги или смотри рекламу... Одно хорошо, что 1.40 - это старая версия, её не жалко...

Понимаешь разницу между показом рекламы без желания пользователя и по желанию пользователя?

И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.

В общем есть такой класс программ, за которые денег платить не надо, но зато нужно смотреть рекламу. FlashGet - самый известный из них.

Более того, он честно предупреждает, что или плати деньги или смотри рекламу... Одно хорошо, что 1.40 - это старая версия, её не жалк

А галочку тогда слабо убрать? Если они нужны.

А галочку тогда слабо убрать? Если они нужны.

А мне не нужны ADWare, которые привешиваются к каждому окну браузера...

И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.
Все верно - весьма старые версии FG ставили AdvWare.Win32.Cydoor без спросу. Причем если убить Cydoor-а, то FG от казывался работать. Потом они от этой ерунды отказались - последние версии чистые, причем давно уже ...

И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.

Нет, не удаляли. Во всяком случае предыдущий прогон по всем дискам был полгода назад и этот файл тогда уцелел.

Плохо, что нет варианта "Спрашивать перед удалением". Или я его просмотрел...

Нет, не удаляли. Во всяком случае предыдущий прогон по всем дискам был полгода назад и этот файл тогда уцелел.

Плохо, что нет варианта "Спрашивать перед удалением". Или я его просмотрел...
Как нет ? У AVZ по умолчанию только лог, если включить лечение, то можно выбрать действие (только лог, прибить, спросить у пользователя)

F:\Software\Systemautomatic\OMRON CD\SYSWIN\3_0\DISK1.rar - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (F:\Software\Systemautomatic\OMRON CD\SYSWIN\3_0\DISK1.rar)

Это уже придирки пошли... Можно было понять, что это самораспаковывающийся RAR-архив. Просто при передаче по почте их часто из EXE переименовывают в RAR. Чтобы сильно параноидальные системы не удаляли.

Добавлено через 51 секунду


Как нет ? У AVZ по умолчанию только лог, если включить лечение, то можно выбрать действие (только лог, прибить, спросить у пользователя)

Значит это я дурак, что не увидел.... А сейчас ещё сканирование идёт, так что не посмотреть....

Поиск потенциальных уязвимостей
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)

Не боитесь перейти в категорию riskware после таких советов? В корпоративных сетях эти две службы очень часто используются. Теперь придется присматривать за "активными" пользователями и убрать AVZ c ftp. :(

Это уже придирки пошли...
Рассуждаем вслух: Уровень анализа какой ? Предельный. А по умолчанию какой ? Средний ... Птичка "Расширенный анализ" плюс к этому установлена ? Да ... А она по умолчанию включена ? Нет, отключена ... Какое в самораспаковывающегося архива расширение ? *.exe. Возникает последний вопрос - что неправильного в том, что программа пишет в лог о том, о чем ее принудительно попросили ? :) (вообще это описано в разделе 12.2 справки - http://www.z-oleg.com/secur/avz_doc/term_ha.htm)

Рассуждаем вслух: Уровень анализа какой ? Предельный. А по умолчанию какой ? Средний ... Птичка "Расширенный анализ" плюс к этому установлена ? Да ... А она по умолчанию включена ? Нет, отключена ... Какое в самораспаковывающегося архива расширение ? *.exe. Возникает последний вопрос - что неправильного в том, что программа пишет в лог о том, о чем ее принудительно попросили ? :) (вообще это описано в разделе 12.2 справки - http://www.z-oleg.com/secur/avz_doc/term_ha.htm)

А всё просто.... Можно посмотреть, что это не просто EXE, а самораспаковывающийся архив. И не просто архив - а именно RAR. И тип архива с расширением совпадает... Я же говорю - это придирка....

То есть "Неправильного" - НИЧЕГО НЕТ. Но теоретически можно действовать тоньше...

Не боитесь перейти в категорию riskware после таких советов? В корпоративных сетях эти две службы очень часто используются. Теперь придется присматривать за "активными" пользователями и убрать AVZ c ftp. :(
Тут очень важный момент - AVZ не устраняет ничего, найденного ИПУ - просто пишет в лог. А устранение глубоко запрятано и вызывается через скрипт. Именно на случай того, что шустрый юзер нажмет кнопку "Пофиксить", если таковая будет ...

Добавлено через 1 минуту


Я же говорю - это придирка....
Еще раз - http://www.z-oleg.com/secur/avz_doc/term_ha.htm, цитирую сам себя:


"Имя файла >>> PE файл с нестандартным расширением" - это означает,
что обнаружен программный файл, но вместо типичного расширения EXE, DLL, SYS он имеет другое,
нестандартное расширение. Это не опасно, но многие вирусы маскируют свои PE файлы,
давая им расширения PIF, COM. Данное сообщение выводится в любом уровне эвристики для PE
файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики.

Т.е. на среднем уровне (по умолчанию) файл проверится как SFX архив и ничего в лог не запишется (и автокарантина не будет), определение типа архива идет по содержимому файла. А вот если уровень эвристики максимальный - то получим текущую ситуацию, т.е. это уже будет рассматриваться как аномалия

Тут очень важный момент - AVZ не устраняет ничего, найденного ИПУ - просто пишет в лог. А устранение глубоко запрятано и вызывается через скрипт. Именно на случай того, что шустрый юзер нажмет кнопку "Пофиксить", если таковая будет ...
Буду молиться, чтобы "шустрые юзеры" не нашли так же быстро как и я прочитав whatsnew на сайте. ;)

Данное сообщение выводится в любом уровне эвристики для PE
файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики.

Могу только принести свои извинения. Был неправ.

А одна из причин установки максимального уровня эвристики - сообщение "Процесс Имя файла может работать с сетью", оно весьма информативно при анализе неизвестных вирусов. У меня вообще дефоолтные настройки рассчитаны на сканирование памяти. И система такая, что если вирусы и появляются - то в основном неизвестные (примерно 80% неизвестных зверей на 20% известных).

Все верно - весьма старые версии FG ставили AdvWare.Win32.Cydoor без спросу. Причем если убить Cydoor-а, то FG от казывался работать. Потом они от этой ерунды отказались - последние версии чистые, причем давно уже ...Поспорю, в новых уже идёт spyware. Эволюция однако :D


8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROMПо какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска C с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?

По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска C с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?
Вот этого "кроме" и хватило, имхо.

Буду молиться, чтобы "шустрые юзеры" не нашли так же быстро как и я прочитав whatsnew на сайте. ;)
Все в наших руках :)
Завтра я планирую завести отдельную тему "что должен искать ИПУ", пообсуждаем, что и когда считать опасным ... я составлю сегодня описание, что ищет AVZ в ИПУ, и пообсуждаем - тема серьезная, есть что обсудить

Добавлено через 3 минуты


Поспорю, в новых уже идёт spyware. Эволюция однако :D

По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска C с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?
Автозапуск на диске C: нужно отключить в первую очередь ... Это же автозапуск файлов типа autorun.inf, а не системы ! А файлу autorun.inf в корне системного диска делать точно нечего. Автозапуск с CDROM отключается в двух местах, PowerToys явно правит одно из их (где задается маска дисков), а AVZ смотрит на глобальный флаг. Про описание ИПУ (что проверяет и где) будет отдельная ветка обсуждения и отдельное описание

Автозапуск на диске C: нужно отключить в первую очередь ... Это же автозапуск файлов типа autorun.inf, а не системы !А как же будет запускаться Касперской? Или я чего-то не понимаю?
PowerToys явно правит одно из их (где задается маска дисков)Не только :)

8. Поиск потенциальных уязвимостей
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)

Повторение - мать учения? :)

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
F:\WINNT\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
F:\WINNT\system32\RICHED20.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиш
F:\WINNT\system32\RICHED20.dll>>> Нейросеть: файл с вероятностью 0.53% похож на типовой перехватчик событий клавиатуры/мыши

Всё бы хорошо, но этот RichEdit используется самим AVZ. Просто из того, что запущено, никто его сейчас больше не использует... Странно, что AVZ его не знает и зелёным не пометил. Впрочем у меня Win2k, а не XP.

Вот именно для таких вещей и хотелось бы локальный список чистых файлов. Ну и для проверки уязвимостей - тоже. Можно - под пяток подтверждений юзера, что он понимает, что делает, включая файл в чистые.

Добавлено через 51 секунду

Вдогонку... Интересно, а почему он не нашёлся по базе чистых Microsoft?

Поспорю, в новых уже идёт spyware. Эволюция однако
Если он ничего шпионского в систему не устанавливает, и крутит рекламу / собирает данные о загруженные файлах только в рамках своего процесса - то его классификация в качестве spyware спорная. А вот если вылезет за пределы - другое дело. Кстати популярный в многих качалках сбор статистики о загружаемых файлах анонимный и его можно очень просто отключить небольшим хакерским приемом

Добавлено через 3 минуты


8. Поиск потенциальных уязвимостей
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)

Повторение - мать учения? :)

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
F:\WINNT\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
F:\WINNT\system32\RICHED20.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиш
F:\WINNT\system32\RICHED20.dll>>> Нейросеть: файл с вероятностью 0.53% похож на типовой перехватчик событий клавиатуры/мыши

Всё бы хорошо, но этот RichEdit используется самим AVZ. Просто из того, что запущено, никто его сейчас больше не использует... Странно, что AVZ его не знает и зелёным не пометил. Впрочем у меня Win2k, а не XP.

Вот именно для таких вещей и хотелось бы локальный список чистых файлов. Ну и для проверки уязвимостей - тоже. Можно - под пяток подтверждений юзера, что он понимает, что делает, включая файл в чистые.

Добавлено через 51 секунду

Вдогонку... Интересно, а почему он не нашёлся по базе чистых Microsoft?
Повтор в логе - глюк, ИПУ будет отстраиваться и обсуждаться ... с RICHED20.dll странно, нужно проверить. С локальной базой подумаю, в принципе можно и привернуть.

Если он ничего шпионского в систему не устанавливает, и крутит рекламу / собирает данные о загруженные файлах только в рамках своего процесса - то его классификация в качестве spyware спорная. А вот если вылезет за пределы - другое дело.В настройках программы это не отключается и пользователя ни кто не предупреждает.

и его можно очень просто отключить небольшим хакерским приемомШаманство с HOST? :)

А как же будет запускаться Касперской? Или я чего-то не понимаю?
А какая взаимосвязь между запуском файлов autorun.inf и KAV ?!

F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader удаление запрещено настройкой
7. Эвристичеcкая проверка системы
>>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Гм, какое тут подозрение, если AVZ его ЯВНО распознал? :)

Но я сам понимаю, что придираюсь,ибо эти блоки программы между собой мало связаны..

В настройках программы это не отключается и пользователя ни кто не предупреждает.
Шаманство с HOST? :)
И не только. Любой продвинутый Firewall позволяет отфильтровать обмен с заданным хостом, а статистика идет на четко известный статический адрес. Кроме того, он или в настройках хранится, или в EXE файле - можно немножко подправить и все :)

Добавлено через 2 минуты


F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader удаление запрещено настройкой
7. Эвристичеcкая проверка системы
>>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Гм, какое тут подозрение, если AVZ его ЯВНО распознал? :)

Но я сам понимаю, что придираюсь,ибо эти блоки программы между собой мало связаны..
Совершенно верно - в первом случае идет сигнатурный детект, во втором - анализ ЭПС. Это две независимые системы (т.е. можно отрубить ЭПС и оставить файловый сканер и наоборот), отсюда и дублирование. Со временем я думаю совместить это как-то (например, в ЭПС приделать проверку по базе зверей или наоборот, блокировать для ЭПС файлы, которые уже продетектились сигнатурным сканером). Аналогичное дублирование кстати будет в случае перехват+ЭПС, подозрение+ЭПС

А какая взаимосвязь между запуском файлов autorun.inf и KAV ?!Мы же говорим об автозапуске? KAV автоматом стартует с Windows...

с RICHED20.dll странно, нужно проверить.

В списке внедрённых dll он чёрный. Видимо потому. что у меня win2k, а не XP.


С локальной базой подумаю, в принципе можно и привернуть.

А вот это ОЧЕНЬ хочется. Потому как процесс с присылкой чистых идёт МЕДЛЕННО. Запоминать, кто там старый чистый, а кто новый подозрительный - лень. А вот выделить ОДИН РАЗ всех старых чистых - вполне можно. А потом уже каждый "не зелёный" становится подозрительным ВТРОЙНЕ.

Мы же говорим об автозапуске? KAV автоматом стартует с Windows...
Мы говорим об "Автозапуске с CDROM", т.е. обработке файлов autorun.inf на дисках. Это с другими видами автозапуска совершенно никаким образом не связано

Мы говорим об "Автозапуске с CDROM"Тогда причём диск C? Это HDD...

переложите плиз прогу на другой файлоотстойник.
rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло

Тогда причём диск C? Это HDD...
А вот системе до этого не всегда есть дело. И зловреды этим пользуются (причем HDD еще не мобилен особенно, а вот флешка - мобильна и является отличным транспортом). Ближайший пример с autorun.inf: http://forum.kaspersky.com/index.php?showtopic=26907&st=40, у нас тут "слушались дела" с его наличием в корне HDD

Так как отключить автозапуск, чтобы не задеть Касперского?

Так как отключить автозапуск, чтобы не задеть Касперского?
Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронет

* Очень здорово, что в новой версии в "ПРосмотр протокола" всякие klif.sys-ы пишутся только ОДИН раз. Респект!
* В справке нет описания "Поиск потенциальных уязвимостей". Например, пишет ">>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX". В "Свойствах обозревателя" ActiveX отключен во всех пунктах. А как отключить это? Может, нужна возможность отключения данных уязвимостей из окна AVZ?

переложите плиз прогу на другой файлоотстойник.
rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло
http://slil.ru/24796770

Олег
посмотри этот топик пожалуйста: чего-то он безопасные файлы в карантин кидает?
http://virusinfo.info/showpost.php?p=130470&postcount=9

Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронетКак это сделать?

Олег, не забудь пожалуйста изменить на своём сайте в правом верхнем углу данные версии, там до сих пор 4.25.

Поставил, из интересного :)

>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему

Поподробнее можно по каждому пункту ? :)
Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.

Как это сделать?
У тебя утилита была. С помощью ее или новыми командами AVZ.

Добавлено через 1 минуту



Поподробнее можно по каждому пункту ? :)
Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.
Олег обещал чуть позже это сделать.

P.S. Список служб в Windows XP (http://ifolder.ru/3171071)

А кто подскажет, как в висте отключить планировщик?


>> разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Через консоль управления службами не выходит, т.к. нужные поля по изменению типа запуска или по остановке сервиса попросту неактивны.

UPD: сам догадался. Autoruns Русиновича выручила ;)

Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.

Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32 :( Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.

Добрый день!

Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем? Пока, проблема решается внесением папки \AVZ в список исключений монитора AMON. Но кто знает, как в дальнейшем "уживутся" на одной системе NOD32 и AVZ.
---
кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?
---
Олег, что это может значить:

Функция NtBuildNumber (8046CCDC) - модификация машинного кода.

Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)

При закачке последней версии программы, NOD32 находит в ней троян Genetick.

При закачке последней версии программы, NOD32 находит в ней троян Genetick.

А всю тему прочитать слабо?

Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...

У тебя утилита была. С помощью ее или новыми командами AVZ.Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.

потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...
Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...

Добавлено через 1 минуту


Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.
А их там и нет - модификации настроек сводятся в основном к правке реестра, а команды для этого в скрипт-языке есть от рождения. Если после скана сделать исследование, то в логе будут ссылоски для автогенерации скрипта, меняющего настройки.

Добавлено через 5 минут


Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем?
Вопрос только в том, как это сделать ? Я вежливо написал им о существующей проблеме, письмо гарантировано дошло, и тишина. Вот текст моего письма:


Добрый день !

Ваш антивирус детектирует и удаляет исполняемый файл антивирусной
утилиты AVZ версии 4.27 (детектируется как probably a variant of Win32
/Genetik).
Просьба исправить базу для устранения детекта.
Адрес страницы загрузки - http://www.z-oleg.com/secur/avz/download.php,
прямой URL загрузки - http://z-oleg.com/avz4.zip.

С уважением,
Зайцев Олег

писал я на [email protected] с ящика @kaspersky.com.

Добавлено через 1 минуту



кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?

Не обязательно, но очень желательно. В стандартных скриптах (Файл\Стандартные скрипты) есть скрипт для зачистки всего, что AVZ устанавливает в систему - можно его прогнать и перезагрузиться.


Олег, что это может значить:
Функция NtBuildNumber (8046CCDC) - модификация машинного кода.
Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)
Попробуйте посканировать сегодня после обеда, предварительно обновив базы - это сообщение должно исчезнуть

Добавлено через 3 минуты


Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.
Проблема решена:
1. В логе пишется о том, что AVZ запущен из консольной сессии
2. Исправление SPI/LSP сначала делает автоматический бекап настроек в виде REG файла, поэтому если в результате действий AVZ что-то запортится, то можно откатить настройки SPI на исходные

Олег, написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.

Олег, написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.
Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.

Мне не ответили напримерА ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили :).

Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.

Ругается он все-таки на avz.exe, который находит в архиве и проверяет после скачивания. Также ругается, но не удаляет при сканировании файлов, если при этом загружен АВЗ.

Cкaниpoвaниe выпoлнeнo зa: 31.08.2007 12:58:05
Лог сканирования
Версия NOD32 2493 (20070831) NT
Командная строка: C:\Arhives\avz4.zip
Оперативная память - вероятно модифицированный Win32/Genetik троян

Дата: 31.8.2007 Время: 12:59:21
Технология Anti-Stealth включена.
Проверены диски, папки и файлы: C:\Arhives\avz4.zip
C:\Arhives\avz4.zip »ZIP »avz4/avz.exe - вероятно модифицированный Win32/Genetik троян
Количество проверенных файлов: 58
Количество найденных вирусов: 1
Время завершения: 12:59:23 Общее время сканирования: 2 сек (00:00:02)

Добавлено через 8 минут


А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили :).

На некоторые образцы вирусов отвечал их вируслаб, единственно что просят прислать регистрационные данные, но потом все-таки переадресовали в российский филиал.
-----
Hello,

please download and install NOD32 2.50.25 from http://www.eset.com/download/download.htm, update the virus signature database to the actual version 1.1248 and carry out an in-depth scan of your disk(s). If a suspicious file is found, let NOD32 submit it via the integrated ThreatSense.Net Early Warning System for further analysis (the Submit for analysis option in the alert window should remain ticked).


If you are not a registered user, you can download a trial version from http://www.eset.com/download/trial.htm


Best regards,

Mark

Eset
NOD32 Technical Support
Slovakia

Web: www.eset.com
Email: [email protected]

=========================================
NOD32 ... protecting digital worlds!
=========================================

На некоторые образцы вирусов отвечал их вируслаб
поскольку я всегда посылаю файлы через интерфейс НОДа, ответа ни разу не удостоился :)

Ситуация с ложным детектом на сегодня:

File avz.exe received on 08.31.2007 09:17:41 (CET)
Antivirus Version Last Update Result
AVG 7.5.0.484 2007.08.30 Generic7.CNE
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2493 2007.08.31 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)

Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX

AVG 7.5.0.484 2007.08.30 Generic7.CNE
у них детека не было, появился с утра ... вывод о принципе наполнения сигнатурной базы "если это детектят конкуренты, то будем детектить и мы как Generic" :) Их саппорт правда ответил немедленно (ответил правда робот, но заявке присвоили номер G#0702153258, стало быть идет регистрация обращений и обработка)

Добавлено через 54 минуты

Я завел отдельную ветку для пожеланий, обсуждения и критики системы ИПУ: http://virusinfo.info/showthread.php?p=130660, там же краткая дока по тому, что проверяется и что при этом сообщается в логе

Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.

Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.
От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?

От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?
Утром жаловались на AVG. (http://virusinfo.info/showthread.php?t=12046)

Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...

1. Я так понимаю, что другого способа хранения базы, кроме как в файлике, ты не представляешь? Ещё как минимум реестр есть. Да и файлик можно не в папке AVZ держать.
2. Ну и что в этом плохого в таком сценарии? Ты думаешь, сейчас иначе???? Просто списочек этот НА ЛИСТОЧКЕ клиенту пишется. Мол проверяй себе систему, но на вот на эту вот ругань не смотри, это у тебя не вирус, это firewall.
3. В выкладывание распакованного AVZ на FTP вместо ссылки на авторский архив - НЕ ВЕРЮ.

Добавлено через 9 минут


Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...

А что, база чистых на листочке сильно полезней? Почти у каждого юзера что-то находится - антивируc, FireWall, русификатор, какая-нибудь программка для запуска игрушек без CD..... Так что всё равно приходится "на листочке" базу чистых записывать...

Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...

От Eset Russia пришло письмо в ответ на информацию о детекте АВЗ...

"Спасибо за информацию, будет передана в центр разработки."

Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.

Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.
Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"
--------
Пришел ответ от саппорта AVG:
The file that you sent us is a false detection. This detection willl be removed in the next AVG update. Please keep your AVG updated to be safe against the newest threats.
Thank you for your cooperation. It is highly appreciated.

А какой тогда смысл? Файлы юзера всё равно будут в логе.

Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.

Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.

Насчёт добавления всего подряд - вряд ли... Что сейчас происходит? Юзер шлют мне лог AVZ. После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что... То есть та же самая база передаётся, просто не файликом, а описанием (через агент или телефон).

Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить. И сильно дурные вирусы тоже могут в неё залезть. А обычные юзеры - не лезут.

Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус. А сечас что? Сейчас я говорю, что мол сравни список красных строчек с ЛИСТОЧКОМ, и если что-то новенькое - тогда зови. То есть явно менее надёжная процедура.

Кстати, насчёт расковырять формат базы чистых AVZ - это мысль. Надо будет попробовать. По крайней мере свою локальную проблему я этим решу. Просто это не красиво по отношению к Автору. Да и показ жёлтым (найдено в локальной базе) лучше, чем показ зелёным (найдено в хакнутой базе чистых AVZ).

Я понимаю, что AVZ - бесплатная утилита. Поэтому наладить БЫСТРОЕ добавление в базу чистых и не прошу. Тем более, что у меня версии FireWall скоро раз в неделю начнут меняться...

Гм... Ещё одна идея - платное оперативное добавление в базу чистых. С платой через WebMoney. Тоже устраивает.

Ещё идея в жанре полного бреда - добавление в базу чистых с контролем через VirusTotal.....

И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит. Просить, чтобы не детектил - глупо. А вот в локальную базу запихать - вполне...

Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (248)
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0

вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.

Сорри за оффтоп, но ситуация с нодом повторяется из раза в раз, пока ситуация не приобретёт массовый характер(как в этом случае) они и пальцем не пошевелят.
Делаем выводы.

Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (248)
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0
Я пофиксил баг... после обновления баз он пропадет.

платное оперативное добавление в базу чистых

А трояны будут добавлять по каким расценкам? :P

Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут!

После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что...Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.

Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить.Очень сомневаюсь...

Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус.То что нужно Вам, не слишком безопасно для остальных.

И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит.Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?

вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.
В теории - можно. Но только по команде скрипта ... я думал сделать автоматическую зачистку (по принципу - ссылка битая, значит удалить. Но оказывается масса ссылок на CD, отключенный в текущий момент диск и т.п.), но пока воздержался от этого. В слудующей версии думаю добавить ее

А я вот тоже не получил ответа от нод .Странная политика компании. Авг прислала ответ, что исправят ;)


Dear Sir/Madam,

Thank you for your email.

Please let us inform you, that this false positive will be fixed in the upcoming virus update.

We are sorry for the inconvenience.

Best regards,

Daniel Urminsky
AVG Technical Support

website: http://www.grisoft.com
mailto: [email protected]

А я вот тоже не получил ответа от нодА чем ты лучше остальных :D? SCNR

Попросите Синауридзе Александра, ему отвечают.

Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут!
Отчёт для хелпера - это "исследование системы". В нём много дополнительной информации. В том числе, можно туда добавить и список чистых файлов. Он отличается от обычного протокола.

Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.
И причина этого в том, что Олегу ВСЕ варианты драйверов Касперского в базу чистых не включить. Я бы тоже прелдпочёл чтобы мои юзеры понаковали при виде руткита, а не лезли бы смотреть по бумашке, какой "рутки" безопасен, а какой - нет.

То что нужно Вам, не слишком безопасно для остальных.
Ну самое БЕЗОПАСНОЕ поведение сейчас демонстрирует NOD32. Оно настолько БЕЗОПАСНОЕ, что даже не даёт закачать AVZ на комп. Ты представляешь, какая анархия бы получилась, если бы NOD32 имел эту самую локальную базу?! Это же каждый юзер мог себе поставить тот антивирус, какой хочется ему, а не авторам NOD32. И даже страшно сказать - могу бы сменить FireWall. Представляешь, как это было бы ужасно? :) А сейчас всё ПРАВИЛЬНО и БЕЗОПАСНО, что авторы NOD32 не разрешают, то юзеры и не ставят. И чего это вы письма-то им пишете? :)


Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?
У меню детёнышей за компом полно бывает. И я могу объяснить ребёнку (даже шестилетнему) "ткни сюда, если будет красное - ничего не трогай и зови меня". А вот проверять по списку... Это даже взрослых сложно обучить...

На самом деле есть компромис под названием "фиксация чистого состояния". Выдаётся команда "фиксировать чистое состояние". Все драйвера, "руткиты" (то есть антивирус и FireWall), автозапуск, внедрённые dll, расширения IE и так далее, работающие в этот момент считаются чистыми. В логах они отмечаются жёлтым цветом и только при максимальном уровне анализа. Дополнительно в логе пишется дата фиксации чистого состояния.

Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.

Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.

Добавлено через 13 минут


А трояны будут добавлять по каким расценкам? :P

Так... Для тормозов - медленно и подробно.... Оплачивается АНАЛИЗ присланного файла в оговоренные сроки. Не "Когда руки дойдут, а рак на горе свиснет", а в течение 5 рабочих дней (например).

А уж если он не чистый - гарантированный ответ, что файл не может быть включён в базу чистых по таким-то основаниям.

Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.

Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.

Мне представляется это наиболее верным вариантом, но возможны трудности реализации..
Напр. номер HDD не так просто считать (вроде как только из r0), серийник тома //в противоположность// - доступен всем и каждому.

То, что локальная база "безопасных" нужна, подтверждается (в том числе) .net-программами.
Сборок библиотек для нэт-фреймворк оч. много
и далеко не все из них занесены в баэу безопасных.

Мне представляется это наиболее верным вариантом, но возможны трудности реализации..
Видишь ли, если привязывать этот слепок к "МАШИНЕ", то его можно храниь не в папке AVZ, а в %WINNT%\system32 или реестре. Тогда можно вообще никаких привязок не делать.
Смысл всех этих привязок - не допустить копирование вместе с папкой AVZ в случае, если AVZ работает с флэшки.

Так... Для тормозов - медленно и подробно....
Jef239, шутки тоже надо понимать (не в обиду..)

в %WINNT%\system32 или реестре.
В "идеологии" AVZ - быть _утилитой_, т.е. не оставлять после себя в машине ничего лишнего, ни в реестре ни в сис. директориях..
Где гарантия, что тот-же юзер не будет распространять вместе с AVZ файл-экспорт реестра с исключениями или файл исключений со скриптом атвокопирования в %system32% (если захочет, к примеру).

Добавлено через 9 минут

Если-бы все так просто было с защитой от копирования, не появился-бы старфорс, алкоголь, деймон-тулс и т.д...

В идеале каждая копия Windows должна иметь уникальный идентификатор, но и здесь встречаются 2 проблемы:
1. Пиратство. Сколько копий проинсталено с одного _оригинального_ диска..
2. Образы установленной системы.

Добавлено через 50 минут

Зайцев Олег, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?

Зайцев Олег, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?
Можно - добавлю.
--------
Не знаю, что с NOD32 делать - детект до сих пор идет, я получил более 500 рапортов - видимо, придется вешать объявление на сайте ...

Добавлено через 26 минут

Я повесил у меня на сайте объявление следующего содержания:
Уважаемые пользователи AVZ! С момента выхода новой версии AVZ 4.27 антивирус NOD32 детектирует исполняемый файл avz.exe как "вероятно модифицированный Win32/Genetik" (в англоязычном варианте "probably a variant of Win32/Genetik trojan") и уничтожает его. В техподдержку NOD32 отправлено сообщение о данном ложном срабатывании (по почте и средствами самого NOD), однако накакой реакции за прошедшие два дня не последовало и ложное срабатывание сохраняется до сих пор.
Поскольку отвечать на шквал сообщений о ложняке NOD32 уже нет физической возможности

Не знаю, что с NOD32 делать - детект до сих пор идет
Я тоже пнул суппорт. Кстати, помимо NOD32 детект также у eSafe и Webwasher-Gateway

Добавлено через 19 минут

Также отписался на тамошнем форуме. Нюхом чую, что скоро меня там забанят :) Немного не вписываюсь я в тамошнюю политику :)

Изменения в ложном детекте на сегодня:

File avz.exe received on 09.01.2007 10:55:13 (CET)
Antivirus Version Last Update Result
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2495 2007.09.01 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)

Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX
Сравните с этим (http://virusinfo.info/showpost.php?p=130643&postcount=73). AVG исправил.

Сравните с этим. AVG исправил.
Да, я от них получил письмо и ложняк они оперативно исправили.

Странная ситуация...
Ну, AVG принимает avz.exe за вирус и предлагает удалить, об этом уже писалось.

Но и при выключенном AVG файл не исполняется с сообщением "Error executing program". В нормальном режиме. А в "защищённом" (W2K) всё в порядке.
Непонятно...

Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"
Как вариант - не прятать в исследовании системы, но прятать в обычном протоколе при отключённом расширенном детекте.
А как тебе вариант со слепком чистой системы?
Просто для меня вся история с NOD32 - это зеркало того, что может происходить с AVZ без локального списка чистых. Ну с тем отличием, что AVZ не удаляет. Кстати, реакция Agnitum (outpost firewall) на детект одной из dll AVZ была примерно такая же, как наша на NOD32. :)

Ну, AVG принимает avz.exe за вирус и предлагает удалить, об этом уже писалось.
Писалось, что уже не принимает. Обновите базы антивируса.

Похоже Nod32 тоже исправил ситуацию. По крайней мере, я смог скопировать avz.exe в неигнорируемые Нодом папки. Версия базы 2497 от 01.09.2007

Да исправили, вот скан с вирустотал:


Antivirus Version Last Update Result
AhnLab-V3 2007.9.1.0 2007.09.01 -
AntiVir 7.4.1.66 2007.09.01 -
Authentium 4.93.8 2007.09.01 -
Avast 4.7.1029.0 2007.09.01 -
AVG 7.5.0.484 2007.09.01 -
BitDefender 7.2 2007.09.01 -
CAT-QuickHeal 9.00 2007.09.01 -
ClamAV 0.91.2 2007.09.01 -
DrWeb 4.33 2007.09.01 -
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
eTrust-Vet 31.1.5100 2007.08.31 -
Ewido 4.0 2007.09.01 -
FileAdvisor 1 2007.09.01 -
Fortinet 3.11.0.0 2007.09.01 -
F-Prot 4.3.2.48 2007.09.01 -
F-Secure 6.70.13030.0 2007.08.31 -
Ikarus T3.1.1.12 2007.09.01 -
Kaspersky 4.0.2.24 2007.09.01 -
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.01 -
NOD32v2 2497 2007.09.01 -
Norman 5.80.02 2007.08.31 -
Panda 9.0.0.4 2007.09.01 -
Prevx1 V2 2007.09.01 -
Rising 19.38.52.00 2007.09.01 -
Sophos 4.21.0 2007.09.01 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.01 -
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.09.01 -
VirusBuster 4.3.26:9 2007.09.01 -
Webwasher-Gateway 6.0.1 2007.09.01 Worm.Win32.ModifiedUPX.gen!90 (suspicious)

Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX

Вот что ответили на форуме ESET

Win32/Genetik and Win32/Pacex are the names that ESET uses for packer-based detection

Вот что ответили на форуме ESET
Странно - AVZ упакован обычным UPX ...

Странно - AVZ упакован обычным UPX
Но, насколько я понял 3 раза?

Но, насколько я понял 3 раза?
Нет, обычная упаковка, upx 2.03.

Нет, обычная упаковка, upx 2.03.
Что ж поделать, эвристика...

Осталось остальным отписать.

Олег, одно сообщение, не соответствующее действительности, все же вылезло:

http://virusinfo.info/images/51.jpg

Очепятка в интерфейсе главного окна. Лишняя буква "v" в слове "AdWare".

http://img62.imageshack.us/img62/9422/capture02092007143242tb2.th.png (http://img62.imageshack.us/my.php?image=capture02092007143242tb2.png)

Очепятка в интерфейсе главного окна. Лишняя буква "v" в слове "AdWare".
Нет, там написано правильно ... Просто исторически сложилось, что рекламные программы я называл "AdvWare", а не "AdWare" (по английский "рекламный" звучить как "Advertising").

...рекламные программы я называл "AdvWare", а не "AdWare" (по английский "рекламный" звучить как "Advertising").
С другой стороны, в английском языке прослеживается довольно устойчивое употребление сокращения ad вместо advertisement (реклама, объявление) - отсюда, собственно, и adware. Употребление AdvWare выглядит несколько надуманным (к примеру, слово adware вы найдете в wikipedia.org, а вот advware - нет).

С другой стороны, в английском языке прослеживается довольно устойчивое употребление сокращения ad вместо advertisement (реклама, объявление) - отсюда, собственно, и adware. Употребление AdvWare выглядит несколько надуманным (к примеру, слово adware вы найдете в wikipedia.org, а вот advware - нет).
Я знаю ... просто это исторический пережиток, со временем от него можно уйти и перейти к общепринятому термину "adware".

День добрый.

При сканировании (4.27, параметры по умолчанию, база от 03.09.2007 10:31) не проходит пункт 7 (эвристическая проверка) :

...
Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
...

7. Эвристичеcкая проверка системы
Ошибка скрипта: Not enough actual parameters, позиция [29:18]
Ошибка микропрограммы 366
Проверка завершена

Привет,
сделал небезынтересное открытие: оказывается русский интерфейс АВЗ может быть использован на не-русском ПК (см. Картинку). А нельзя ли сделать всю кодировку интерфейса так, чтобы заменить все вопросительные знаки на понимаемый текст? :?

Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 03.09.2007 14:45:13
Загружена база: 125645 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.09.2007 10:31
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 62402
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
...
7. Эвристичеcкая проверка системы
Ошибка скрипта: Not enough actual parameters, позиция [29:18]
Ошибка микропрограммы 366
Проверка завершена
На XP SP2+фиксы тоже такое вылезло.

На XP SP2+фиксы тоже такое вылезло.

Ошибка микропрограммы 366
Это моя промашка, сейчас поправлю (там в 366 МП запятая пропущена, я сообщение компилятора при сборке базы я прозевал).

Привет,
сделал небезынтересное открытие: оказывается русский интерфейс АВЗ может быть использован на не-русском ПК (см. Картинку). А нельзя ли сделать всю кодировку интерфейса так, чтобы заменить все вопросительные знаки на понимаемый текст? :?
Давай я тебе отвечу, я тоже на Delphi пишу. :)
Сделать можно - в каждой форме Font.Charset русским поставить. Но скорее всего получим проблемы с длинными путями из национальных символов. Переделывать всё на Unicode - довольно трудоёмко даже с пакетом TNT (этот путь я проходил).
А ты уверен, что у тебя во всех шрифтах есть русская страница? Проверил бы при помощи "таблицы символов" шрифты, указанные в "оформлении" в "свойствах экрана".

Сделать можно - в каждой форме Font.Charset русским поставить
Он именно такой там и есть ... Font.Charset = RUSSIAN_CHARSET

Он именно такой там и есть ... Font.Charset = RUSSIAN_CHARSET
Значит у него часть шрифтов без русской кодовой страницы... У тебя шрифты какие? Просто установка Font.Charset сбрасывает ParentFont в FALSE и имена шрифтов берутся из DFM.

А вывод имён файлов с умляутами не работает? Или там Unicode?

Могу дать код, как примирить установку русских шрифтов с ParentFont.... Но там тоже не всё гладко - меняется для всего компа, а не для приложения.

А ты уверен, что у тебя во всех шрифтах есть русская страница? не уверен, но судя по тому, что программой a-squared HiJackFree 2.0 я могу пользоваться в русском варианте - да ;). И мой вопрос был собственно: если в интерфейсе часть программы написана так, а часть - эдак, то почему бы не написать все эдак, а не так ?

А вывод имён файлов с умляутами не работает
работает, но криво: например ä выдается, как д.

Но там тоже не всё гладко - меняется для всего компа, а не для приложения.
я уже так тоже пробовал - еле вернул обратно :)

не уверен, но судя по тому, что программой a-squared HiJackFree 2.0 я могу пользоваться в русском варианте - да ;).
А я думаю, что - нет. То есть часть шрифтов русских страниц не имеет. Ты проверь, не так уж сложно запустить "таблицу символов". Собственно знак вопроса покаызвает, что в твоих шрифтах такого символа нет. Потому как если бы была неверная кодировка, то были бы кракозябры (умляуты всякие).


И мой вопрос был собственно: если в интерфейсе часть программы написана так, а часть - эдак, то почему бы не написать все эдак, а не так ?
Ты хочешь, чтобы всё было один и тем же шрифтом? Ну вот как-то принято в виндах что меню идёт одним шрифтом, тексты в окнах - другим....

И потом, наверное проще тебе русифицировать комп при помощи чем Олегу менять шрифты во всех формах. Не говоря уже об именах файлов с умляутами (европейцы тоже могут файлы и папки на родных языках называть).

Добавлено через 1 минуту


работает, но криво: например ä выдается, как д.
Это как раз следствие бездумной установки RUSSIAN_CHARSET

И потом, наверное проще тебе русифицировать комп при помощи чем Олегу менять шрифты во всех формах.
1. Я могу и далее спокойно пользоваться английской версией, хотя и в ней есть парочка вопросительных знаков вместо букв, и это наблюдается и на англоязычных компах.
2. Русификация ПК не стоит у меня на повестке дня, хотя может для Олега это было бы и проще ;). А речь идет просто о возможности создания универсального языкового интерфейса, как напр. в уже упомянутой a-squared HiJackFree 2.0 или Spybot Search and Destroy. Если говорить о распространении программы в мире, где подавляющее большинство машин работают с латиноязычным интерфейсом, и, м.б. даже выпуска платной версии АВЗ, то без этого не обойтись. Если же применение программы по задумке ограничивается только Россией - то не стоїть шкурка вичинки.Ну и подстраивать кобылу под подкову ИМО в любом случае не логично.

Это как раз следствие бездумной установки RUSSIAN_CHARSETя тут ничего не устанавливал, виноват, как всегда он (http://thomashawk.com/hello/209/1017/1024/hdtv%20gates.jpg) ;)

1. Я могу и далее спокойно пользоваться английской версией,
Особенно с учётом того, что английская 4.27 не вышла.

2. Русификация ПК не стоит у меня на повестке дня,
Гм... Ну либо играем, либо не играем... Либо у тебя в шрифтах ЕСТЬ русские буквы, либо ты видишь вместо них вопросы.


хотя может для Олега это было бы и проще ;). А речь идет просто о возможности создания универсального языкового интерфейса, как напр. в уже упомянутой a-squared HiJackFree 2.0 или Spybot Search and Destroy.

В переводе это означает, что часть шрифтов у тебя с русскими буквами. Посмотреть, какие именно тебе лень. :) И ты предлагаешь Олегу сыграть в угадайку.

Давай ты вначале посмотришь, какие у тебя шрифты с русскими буквами.. А уж потом - заменишь оставшиеся (или Олег что-то поменяет, если у него где-то неюникодные шрифты выбраны).


Если говорить о распространении программы в мире, где подавляющее большинство машин работают с латиноязычным интерфейсом, и, м.б. даже выпуска платной версии АВЗ, то без этого не обойтись.

Для этого полезнее была бы аглийская версия. А ещё лучше - версии на всех языках. Как я понял, шаги в эту сторону есть.


я тут ничего не устанавливал, виноват, как всегда он (http://thomashawk.com/hello/209/1017/1024/hdtv%20gates.jpg) ;) Нет, это Олег поставил принудительный русский язык там, где нужно было оставить национальный (это я об умляутах в именах файлов).

Особенно с учётом того, что английская 4.27 не вышлаОК, сказал не точно: я вообще не пользуюсь программой, чтобы лечить мой ПК :). Кроме того - пока не появилась английская версия, а это случилось только 3-4 месяца назад (special tnx @NickGolovko;)), я вообще не имел возможности прочитать, что я собсно делаю - ориентировался на расположение команд в меню.

В переводе это означает, что часть шрифтов у тебя с русскими буквами. Посмотреть, какие именно тебе лень. И ты предлагаешь Олегу сыграть в угадайку.
Я не предлагаю Олегу, подогнать АВЗ к моему компьютеру . Набор руссифицированных шрифтов в стандартной версии немецкого Винда достаточный, чтобы писать или читать по-русски: почтовые клиенты, браузеры, оффис-программы etc. справляются. Я как избалованный потребитель только того хочу, чтобы интерфейс был мне удобен и ничего не нужно было бы фундаментально переставлять в системе, т.к. это может повлиять на работу других программ.

Для этого полезнее была бы аглийская версия. А ещё лучше - версии на всех языках.
именно так.

Я не предлагаю Олегу, подогнать АВЗ к моему компьютеру . Набор руссифицированных шрифтов в стандартной версии немецкого Винда достаточный, чтобы писать или читать по-русски: почтовые клиенты, браузеры, оффис-программы etc. справляются.
Видишь ли, есть два варианта... Или Олегу ставить немецкие винды, или тебе прислать список русифицрованных шрифтов. Угадай, что проще? Ещё раз - вызываешь таблицу символов (Пуск-стандартные) и смотришь. А потом правой мышкой на десктопе, вызываешь свойства, закладка оформление и проверяешь, что во все используемые шрифты имеют русскую страницу.
Вот после этого Олегу поправить будет довольно просто. Был бы AVZ не запакован - и сам мог бы исправить в EXE.

99% - со знаками вопроса экранные шрифты (MS Sans Serif), а по-русски выскочила строка, где [по недосмотру] оказался Arial.

Видишь ли, есть два варианта... Или Олегу ставить немецкие винды, или тебе прислать список русифицрованных шрифтов. Угадай, что проще?
мдя, у меня 448 ttf-файлов, если я сегодня вечером начну их просматривать, то к пенсии м.б. закончу. Или ты хочешь, чтобы я их тебе прислал? ;) Нет уж, пусть Олег спокойно работает над русской версией.
edit: Спасибо pig
Задача упростилась до противного. Sans Serif всего 4 типа. Подвесил.

мдя, у меня 448 ttf-файлов, если я сегодня вечером начну их просматривать, то к пенсии м.б. закончу. Или ты хочешь, чтобы я их тебе прислал? ;) Нет уж, пусть Олег спокойно работает над русской версией.
edit: Спасибо pig
Задача упростилась до противного. Sans Serif всего 4 типа. Подвесил.
Эта строка изменилась не по недостмотру, в потому, что я с ней ставил опыты с отображением русского языка на нелокализованной Windows :) Подняв записи я вспомнил об этом ... далее нужен опыт, подробности см. PM

...далее нужен опыт...
А что, неужели нигде не написано, как правильно писать программы на Делфи для многоязычных интерфейсов? Неужели эта среда программирования не содержит нескольких простых правил для достижения необходимого результата? В других более-менее распространенных языках все это делается довольно просто (при использовании поставляемых с ОС true type шрифтов), что здесь-то не так? Зачем нужно каждому конкретному пользователю ОС, отличной от русской, подстраивать свой системный интерфейс и набор шрифтов под AVZ? Просто эта проблема так долго уже тянется, постоянно всплывая то здесь, то там (например, не так давно в редакторе скриптов), что создается ощущение непонимания, как это можно (и нужно) сделать...

Делфийцы, соберитесь с силами и придумайте (или поищите) уж какое-либо приемлемое решение! =)

PS. Кстати, шрифты, что прислал Rene-gad, довольно старые (1996 года издания) и, полагаю, вряд ли системные. Вероятно, они были поставлены в систему с какой-то программой от всеми любимой Adobe.

Делфийцы, соберитесь с силами и придумайте (или поищите) уж какое-либо приемлемое решение! =)
Беда вся в том, что у меня под рукой есть W2K и W2K3 (сервер и клиенсткая операционка), обе английские. В обоих есть AVZ и все аналогичные программы там работают без проблем, все отображается как положено. Там применяется обычный "MS Sans Serif" с кодировкой RUSSIAN_CHARSET и нечего более. Поэтому я просто не могу пронаблюдать проблему ... да и в свете создания нормальной многоязычной версии в ближайшее время причины искать нет особого смысла ... Хотя с дургой стороны если под рукой у меня появится скажем немецкая Windows и я свогу воспроизвести проблему на моем полигоне, то она будет решена за десяток минут. Только стоит ли - лучше нормальный многоязычный GUI сделать, там вообще проблема исчезнет как класс

ждём мультиязычную ;)

и я свогу воспроизвести проблему на моем полигоне, то она будет решена за десяток минут.

Олег, рассказываю как воспроизвести проблему:

- Ставим английскую Win XP PRO SP2
- Control Panel -> Regional and Language Options ->
--->http://img48.imageshack.us/img48/310/langset1ra7.th.gif (http://img48.imageshack.us/my.php?image=langset1ra7.gif)
--->http://img411.imageshack.us/img411/999/langset2ak2.th.gif (http://img411.imageshack.us/my.php?image=langset2ak2.gif)

- Перегружаем машину.

После этого получаем то что у Rene-gad на скриншоте.

Никак не получается провести проверку версией 4.27 со стандартными настройками стандартным скриптом сбора информации и карантина. Просто вылетает программа.. иногда вот с таким экраном...
что делать? предыдущая версия работала без проблем :(

А что, неужели нигде не написано, как правильно писать программы на Делфи для многоязычных интерфейсов?
Написано. Все тексты выводятся в dll, для каждого языка - своя dll. И редактор для синхронного изменения текстов во всех языках. Удобно для больших проектов, которые изначально заточены под многоязыковость.

Неужели эта среда программирования не содержит нескольких простых правил для достижения необходимого результата?
А вот тут ты делаешь подмену понятий. В первом абзаце ты говорил о многоязыковом интерфейсе. А тут уже речь идёт о показе русского языка на машинах, которые для этого не предназначены.

В других более-менее распространенных языках все это делается довольно просто (при использовании поставляемых с ОС true type шрифтов), что здесь-то не так?
Да, НЕ ТАК. У Renegad использует не те шрифты, что поставляются с ОС. Во всяком случае, в его шрифтах русских букв нет.
Реально в дельфи есть два стандартных пути:
1) В куче мест задать, что используется русский шрифт. Но при этом сам шрифт фиксируется, то есть он такой, как на машине разработчика.
2) Использовать шрифты, заданные пользователем на вкладке "оформление" в свойствах дисплея. Тогда кодовая страница (язык) берётся из региональных настроек.
А вот брать заданные пользователем шрифты и менять в них кодовую страницу действительно неудобно. У меня есть код для этого, могу запостить.... Но там нужно будет подрихтовать, потому как я заодно ещё и всю машину русифицирую...

Зачем нужно каждому конкретному пользователю ОС, отличной от русской, подстраивать свой системный интерфейс и набор шрифтов под AVZ?
Не под AVZ, а под большой набор русскоязычных программ. В частности у ReneGad будут проблемы с ЛЮБЫМИ неюникодными программами, использующими MS San Seirif (или просто San Serif).

Просто эта проблема так долго уже тянется, постоянно всплывая то здесь, то там (например, не так давно в редакторе скриптов), что создается ощущение непонимания, как это можно (и нужно) сделать...
Глобально это решается использование пакета TNT и переводом всего на юникод. Морока большая. Мы это делали для заказчиков в Казахстане. Зато проблем с умяутами в именах файлов не будет.

Делфийцы, соберитесь с силами и придумайте (или поищите) уж какое-либо приемлемое решение! =)
Ну если Олег попросит - я свой код вышлю. В принципе дельфи вообще позволяют сразу после открытия формы изменять её шрифт. Просто стоит ли овчинка выделки? То есть много ли таких страдальцев?

PS. Кстати, шрифты, что прислал Rene-gad, довольно старые (1996 года издания) и, полагаю, вряд ли системные. Вероятно, они были поставлены в систему с какой-то программой от всеми любимой Adobe.
Это к вопросу о "каждому конкретному пользователю ОС, отличной от русской". :)

Добавлено через 4 минуты


мдя, у меня 448 ttf-файлов, если я сегодня вечером начну их просматривать, то к пенсии м.б. закончу. Или ты хочешь, чтобы я их тебе прислал? ;)
Нет, я хочу чтобы ты проверил только те, что упомянуты в оформлении. Их максимум 8 штук, а скорее всего 5 - Times New Roman, Tahoma, Arial, SanSerif....
Дело в том, что в НЕКОТОРЫХ стандартных темах там стоят шрифты без русских букв. По крайней мере так была на гиганской стандартной схеме в русской Windows NT 4.0.
Думаю, что тебе всё равно придётся 10 минут на это потратить...

Всем доброго времени суток.
Слышал что новый AVZ не дружит с NOD32, а счем это связано?

Всем доброго времени суток.
Слышал что новый AVZ не дружит с NOD32, а счем это связано?
Уже дружит :) Связано это было с тем, что NOD32 и несколько других антивирусов из-за эвристики приняли исполняемый файл AVZ как вредоносный. Ложные срабатывания были исправлены

Всем доброго времени суток.
Беда такая

Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 04.09.2007 0:30:42
Загружена база: 125645 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.09.2007 10:31
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 62402
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: отключено
1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 000B4881], шаг [9]
2. Проверка памяти
Количество найденных процессов: 30
А вчем может быть проблема, проблема исчезла после перезагрузки но появилась другая:

Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1005DD0A]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Ошибка в работе антируткита [Range check error], шаг [11]

Nikollay, сделай логи по правилам, посмотрим ;)

А вот тут ты делаешь подмену понятий. В первом абзаце ты говорил о многоязыковом интерфейсе. А тут уже речь идёт о показе русского языка на машинах, которые для этого не предназначены.
Да ну? =) Я как начал в первом предложении говорить о многоязычном интерфейсе, так и продолжил говорить только о нем. То, как сейчас написан AVZ в русскоязычном варианте и почему в различных локализованных ОС происходит то, о чем упоминает Rene-gad, мне, собственно, малоинтересно (у меня все работает замечательно как в русскоязычной версии, так и во всех англоязычных - Windows 2k, Windows XP, Windows 2003, Windows Vista - что у меня есть под рукой). Я вообще не вижу тут особой проблемы - точнее, я предполагаю, как бы я для себя ее разрешил, если бы с ней столкнулся - однако бросаться решать ее для данного конкретного случая я не вижу особого смысла, и особенно в свете того, что Олег говорит о работе над полноценной многоязычной версией. Просто мне бы очень хотелось, чтобы и с новой версией не было тех проблем, с которыми Олег периодически сталкивался при написании существующей версии.

Олег, Я бы хотел напомнить о моей просьбе, если уж пишешь с чистого листа мультиязычный интерфейс, чтобы была поддержка иврита (стало быть письмо справа налево ;) )

Олег, Я бы хотел напомнить о моей просьбе, если уж пишешь с чистого листа мультиязычный интерфейс, чтобы была поддержка иврита (стало быть письмо справа налево ;) )
А зачем??? У нас английский более менее все знают

Небольшая ошибка в 'Менеджере автозапуска' (AVZ 4.27.0.1), раздел 'TerminalServer'.
В следующих ключах должен быть пробел между 'Terminal' и 'Server':


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...

...Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run
...Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Runonce
...Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\RunonceExAVZ ищет их без пробела, из-за чего не выводит файлы, которые пытаются запускаться оттуда.

Небольшая ошибка в 'Менеджере автозапуска' (AVZ 4.27.0.1), раздел 'TerminalServer'.
В следующих ключах должен быть пробел между 'Terminal' и 'Server':


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\...

...Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Run
...Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\Runonce
...Terminal Server\Install\Software\Microsoft\Windows\CurrentV ersion\RunonceExAVZ ищет их без пробела, из-за чего не выводит файлы, которые пытаются запускаться оттуда.
Спасибо - баг подтверждается, там проверяется 4 ключа - один с пробелом как нужно, остальные три без пробела. Баг пофигсен, видимо скоро выйдет исправленный билд 4.27

Вопрос. Как будет вести себя и работать AVZ с Win NT... и как потом будет себя вести NT после сканирования?

Вопрос. Как будет вести себя и работать AVZ с Win NT... и как потом будет себя вести NT после сканирования?
NT точно ничего не станет, а вот в AVZ часть функций просто заблокируется, т.е. на NT4 не поддерживается