Просмотр полной версии : AVPTool 7.0.0.195 - теперь совместим с KAV/KIS любой версии.
По адресу http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ выложена 195 сборка AVPTool: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.195_21.11.2007_14-24.exe
Прошу протестировать ее на совместимость с установленным на машине KAV/KIS любой версии и отписаться в этой теме о результатах.
Заранее благодарен!
AVPTool - это бесплатный антивирусный сканер с встроенной утилитой диагностики заражения компьютера. AVPTool не имеет функций постоянной защиты компьютера и обновлений антивирусных баз.
http://i043.radikal.ru/0711/41/5462161c27e3.png
Добавлено через 17 минут
Файл будет лежать в этой папке недолго - до завтра. Постарайтесь успеть скачать, пожалуйста.
Добавлено через 11 минут
Ссылка из строки "Передайте отчет об исследовании системы специалистам и выполните их инструкции" ведут на соответствующие форумы Virusinfo.info.
SuperBrat
21.11.2007, 18:44
Зеркала. (http://www.shareonall.com/setup_7.0.0.195_21.11.2007_14-24_wryr.exe)
Зайцев Олег
21.11.2007, 19:39
Я не поленился выполнить опыт на "полигоне" - KIS 7 в полном развороте + типовой софт, и затем запуск AVPTool. Глюки не замечены, единственное, что нужно помнить - в ходе исследования для ручного лечения AVPTool снимет перехваты KIS, поэтому следует перезагрузиться после сбора информации ... (собственно это аналог в сумме двух скриптов, положенных сейчас по правилам)
Ну как, можно в таком виде пробовать использовать AVPTool как альтернативу связки CureIt+AVZ+HijackThis?
Хелперы готовы фиксить скриптами, а не хайджеком?
Выложена 198 сборка. Забирайте быстрее - она пролежит не дольше суток:
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.180_21.11.2007_19-16.exe
Повторяю свой вопрос: хелперы готовы отказаться от использования хайджека в пользу скриптов AVZ?
Я не готов.
Аргументирую: часто в Хиджаке фиксить бывает удобнее.
1/В AVZ из протокола некоторые команды генерить не удобно (касается удаления BHO).
2/AVZ не показывает мусор в реестре (file missing).
3/Скрипты на удаление сервисов пишутся на основе логов Хиджака. На сайте Касперского приходится использовать и GSI.
SuperBrat
22.11.2007, 20:54
Выложена 198 сборка. Забирайте быстрее - она пролежит не дольше суток
Зеркало 1 (http://www.shareonall.com/setup_7.0.0.180_21.11.2007_19-16_byff.exe)
Зеркало 2 (http://ifolder.ru/4244700)
Поддерживаю Павла, нужно доработать эти моменты как в программе AVZ так и AVPTool .
Кстати, насчет совместимости - ставил AVP Tool себе, выключил антивирус (KAV 7.0.125), вышел из него, провел сканирование - перезагрузил компьютер... Антивирус перестал автоматически запускаться при запуске системы: запустил вручную, галочка в опциях стоит... Обновление так же перестало работать: "Запрещены файловые операции". После удаления AVP Tool и перезагрузки все работает корректно.
PS: Переходить еще не готов, ИМХО еще не до конца программа доработана - свои собственные файлы подозревает на кейлоггер... Да и хелпа нормального по нему не нашел.
PPS: Я про 195 сборку, 198 еще не смотрел
Выложена 198 сборка. Забирайте быстрее - она пролежит не дольше суток:
У меня уже не качается :(
Повторяю свой вопрос: хелперы готовы отказаться от использования хайджека в пользу скриптов AVZ?
Imho недостатки -
1. Файлы AVPTool можно занести в "базу безопасных" AVZ из лога уйдет куча мусора.
2. Лог AVZ, писал уже неоднократно, в нём должно быть всё, что может теоретически запуститься, исключая опознанные по базе безопасных, а не только то, что в текущий момент висит в памяти.
3. Проверка по умолчанию не смогла найти полностью Tibs.bb, нашла только spooldr.exe, остальных только при полной проверке.
4. Попытка вылечить drivers\tcpip.sys вызвала какую-то внутреннююю ошибку в результате файл в логе пометился как вылеченный, а на самом деле так и остался зараженным.
5. Ну и напоследок - удалятся AVPTool не желает, Uninstall не может найти рядом лежащий .DAT.
Система - WinXP pro SP2 engl "виртуалка".
Tool ставил так-же Eng.
SuperBrat
23.11.2007, 10:53
У меня уже не качается :(
А с зеркал?
У меня уже не качается :(
Imho недостатки -
1. Файлы AVPTool можно занести в "базу безопасных" AVZ из лога уйдет куча мусора.
Я бы более строже сказал: не можно, а нужно.:)
Кстати, насчет совместимости - ставил AVP Tool себе, выключил антивирус (KAV 7.0.125), вышел из него, провел сканирование - перезагрузил компьютер... Антивирус перестал автоматически запускаться при запуске системы: запустил вручную, галочка в опциях стоит...
Это бага. Исправлю в 199.
Обновление так же перестало работать: "Запрещены файловые операции". После удаления AVP Tool и перезагрузки все работает корректно.
Должно быть исправлено в 198.
Да и хелпа нормального по нему не нашел.
В принципе, можно было бы туда запихать хелп от КИС7 (слегка его подрезав). Но мне кажется, что для такой утилиты можно обойтись онлайновым хелпом. Как полагаете?
У меня уже не качается :(
Imho недостатки -
1. Файлы AVPTool можно занести в "базу безопасных" AVZ из лога уйдет куча мусора.
Да - как только стабилизируется сборка, я попрошу Олега забросить эти файлы в белый список
2. Лог AVZ, писал уже неоднократно, в нём должно быть всё, что может теоретически запуститься, исключая опознанные по базе безопасных, а не только то, что в текущий момент висит в памяти.
Этот вопрос, скорее, к Олегу, чем к AVPTool. Я могу туда вставить любой скрипт сбора информации о системе, какой пожелаете.
3. Проверка по умолчанию не смогла найти полностью Tibs.bb, нашла только spooldr.exe, остальных только при полной проверке.
В чем отличие настроек проверки по умолчанию и полной проверки? В количестве объектов сканирования (выбранных на главном окне) или в настройках глубины сканирования?
4. Попытка вылечить drivers\tcpip.sys вызвала какую-то внутреннююю ошибку в результате файл в логе пометился как вылеченный, а на самом деле так и остался зараженным.
Проиллюстрируйте, пожалуйста скриншотами. Если я правильно понял, это один из компонентов Tibs.bb? Можете выслать мне его в личку для теста?
5. Ну и напоследок - удалятся AVPTool не желает, Uninstall не может найти рядом лежащий .DAT.
Удаление предполагается по нажатию на ссылку в правом нижнем углу экрана: "Complete antivirus protection"
В принципе, можно было бы туда запихать хелп от КИС7 (слегка его подрезав). Но мне кажется, что для такой утилиты можно обойтись онлайновым хелпом. Как полагаете?
А почему КИС7? Для этой утилиты д.б. свой,собственный хелп. Онлайн-хелп чаще всегда не доступен с больного компьютера (Инет отключен, антивирус отключен, пользователь в изоляции).
В принципе, можно было бы туда запихать хелп от КИС7 (слегка его подрезав). Но мне кажется, что для такой утилиты можно обойтись онлайновым хелпом. Как полагаете?
Не знаю, локальный хелп тоже нужен :) Чтобы если что-то сразу открыть и посмотреть...
Как я понял AVP Tool это будет замена AVZ? Или AVZ так же будет параллельно развиваться?
Зайцев Олег
23.11.2007, 11:48
Не знаю, локальный хелп тоже нужен :) Чтобы если что-то сразу открыть и посмотреть...
Как я понял AVP Tool это будет замена AVZ? Или AVZ так же будет параллельно развиваться?
Так AVZ и его ядро в AVPTool - это одно и тоже. Т.е. используется идентичный код, одинаковые базы и т.п. AVZ будет развиваться, он является отладочным полигоном - вся откатанное на AVZ автоматом перемещается в AVPTool. Но различие у них концептуальное - AVZ позволяет все поделать руками через меню, у AVPTool возможности такой самодеятельности нет и не будет - предполагается, что лог изучит опытный хелпер и предложит скрипты, которые все сдалают. Причем на 99% решен вопрос о том, что скрипты будут привязываться к его ПК, дабы исключить "самолечение"
AVZ - для virusinfo (относительно независимого).
AVP Tool - helpdesk Kaspersky.com
Поправьте, если я не прав.
Зайцев Олег
23.11.2007, 11:59
AVZ - для virusinfo (относительно независимого).
AVP Tool - helpdesk Kaspersky.com
Поправьте, если я не прав.
На самом деле не обязательно - AVPTool может заменить DrWeb CureIT + AVZ
AVZ - для virusinfo (относительно независимого).
AVP Tool - helpdesk Kaspersky.com
Поправьте, если я не прав.
AVPTool разрабатывается для упрощения процесса лечения. А уж где его использовать - без разницы.
Вот смотрите: сегодня правила Вирусинфо включают в себя один антивирусный сканер 2 две утилиты диагностики. Каждая из этих программ имеет собственный интерфейс и пользователь обязан разобраться в каждой из них.
AVPTool включает в себя и сканер, и диагностику. Мне кажется, что объединение этих функций в одной программе будет более понятно пациентам. И правила форума можно будет сократить до минимума.
AVZ - это самостоятельный продукт, на котором Олег имеет возможность обкатывать все свои идеи (которых у него великое множество).
Добавлено через 48 секунд
На самом деле не обязательно - AVPTool может заменить DrWeb CureIT + AVZ+ хайджек
Зайцев Олег
23.11.2007, 12:08
+ хайджек
Ну да. Если хелперы дадут четкий список того, что нужно ввести в AVZ/AVPTool для ухода от хейджека, то проблем нет, за выходные я все это внесу. Насчет чистки мусора я не совсем согласен - от него особых проблем нет. Удаление BHO из лога я прикрутил.
AVPTool может лечить файловые вирусы? Если нет, то от Куре-Ит отказаться невозможно. Давайте попробуем этот вариант на какой-нибудь теме из "Помогите!".
AVPTool может лечить файловые вирусы?
Ровно с тем же успехом, что и коммерческий KAV.
В принципе, можно было бы туда запихать хелп от КИС7 (слегка его подрезав). Но мне кажется, что для такой утилиты можно обойтись онлайновым хелпом.
Imho не стоит "раздувать" дистрибутив, и так не маленький.
В чем отличие настроек проверки по умолчанию и полной проверки?
По умолчанию - как запустилось, если не ошибаюсь стояло "System memory" "Startup objects" и "Disc boot sectors".
Полная - C:
Глубина сканирования не менялась.
Удаление предполагается по нажатию на ссылку в правом нижнем углу экрана: "Complete antivirus protection"
И так не работает.
Насчет чистки мусора я не совсем согласен - от него особых проблем нет. Удаление BHO из лога я прикрутил.
Вот здесь я не совсем согласен. Иногда только хайджек показывает прошитый в реестре прокси сервер, который не виден в свойствах обозревателя (подключения - настройка LAN) и та же самая хрень бывает с DNS'ами. А это, сами понимаете... Правда, в таких случаях сеть у пациента не работает как правило... Поэтому такие в "помогите" не обращаются, к таким приходится идти домой...
За BHO fixing спасибо! Давно не хватало, я уже говорил ранее, ибо сам практически не пользуюсь хайджеком, а прибегаю к нему только тогда, когда AVZ не приносит должного результата.
И так не работает.
Честно говоря, мне не верится в это. Там простейшая логика: при нажатии на эту ссылку дается команда на снятие самозащиты и запуск анинсталлера. Всё.
Если же Вы запускаете unins000.exe вручную, то работающая самозащита не дает ему открыть файл unins000.dat.
Мое предложение относительно типа исследования ситемы:
1. Установка AVZPM
2. Ребут
3. Снятие юзермодных и кернелмодных хуков
4. Исследование системы со всеми службами и драйверами, а также с полным сканированием моего компьютера по сигнатурам.
В этой ситуации будет нелишним, как уже говорилось ранее многими, отмечать дополнительные особенности неактивных служб и драйверов (наличие файла на диске, возможность доступа к файлу...)
Честно говоря, мне не верится в это.
Сработало со второй попытки, может самозащита не успела отключится, "виртуалка" иногда страдает весьма экзотическими глюками.
Хочу добавить что сервисы как активные так и не активные должны быть в отдельныйх колонках с встроенными ссылками на карантин и удаление, остановку.Если сервис опознан как безопасны- то не нужно показывать в стандартном логе по умолчанию.
Также навеяно многими темами, стандратное удаление не помогает справиться с заразой. Только если пофиксить в hijackthis, то можно удалять.
Например :
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDO WS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
Нужно сделать проверку ключей
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\Curren tVersion\Run
и сделать ссылку для формирования нужного лечащего скрипта.
@Drongo можно воспользоваться RegKeyDel для удаления ключа, а потом использовать скрипт для лечения.
Связкой HJ & AVZ привычней пользоваться.
@PavelA Согласен, но ведь нужно ещё указать в логе линк под нужным файлом .RegKeyDel .
От cureit можно отказаться, а вот от hijakthis я бы не хотел по нескольким причинам:
Во первых,ещё не всё что показывает лог hijakthis видно в логе авз. {этот пункт возможно будет не действителен, пока вы читаете это сообщение ;-) }
Во вторых, никакая программа не застрахована от багов- так что дополнительная эспертизная тулза явлеться в своём роде проверкой, а всё ли мы подчистили?
В третьих, наш форум с не давнего времени стал работать и на международном уровне.hijakthis- знаком многим англоязычным - им будет легче освоиться.
Alex_Goodwin
23.11.2007, 22:10
Совсем отказываться от Найджека нельзя. Он удобен, привычен, иногда, действительно, в нем сразу видно то, что не видно в авз. + у найджека хороший онлайн парсер.
AVPtool может быть заменой АВЗ+Куреит и пока все.
Кстати, по размеру, что тоже важно юзерам, связка авз+доктор предпочтительнее.
@Dvi Рассматривая у себя на машине "Скрытые устройства" обнаружил неск. драйверов от Вашей утилиты. Что-то не совсем корректно удалялось.
Угу, у меня после удаления в автозапуске остался setup_7xxxxxx.exe, при перезагрузке процесс запускался
@Dvi Рассматривая у себя на машине "Скрытые устройства" обнаружил неск. драйверов от Вашей утилиты. Что-то не совсем корректно удалялось.
А после перезагрузки?
Покажите, пожалуйста, скриншот.
Угу, у меня после удаления в автозапуске остался setup_7xxxxxx.exe, при перезагрузке процесс запускался
А точнее? Напишите полное имя файла
См. скрин. Посл. доступная сборка после перезагрузки компьютера.
Угу, примерно такое же... просто уже сказать не могу, т.к. все следы вручную подтер
Угу, у меня после удаления в автозапуске остался setup_7xxxxxx.exe, при перезагрузке процесс запускался
Да, а что Вы понимаете под термином "после удаления"? Если файл остался прописанным в автозагрузке и остался на диске - значит анинсталла не случилось.
Нажал "полная защита", на удаление согласился... потом перезагрузился.
Если программа удаления не чистит все до конца - то это ее проблема ;)
rubin, А не было ли на машине двух проинсталлированных AVPTool?
На счёт перехода на AVPTool, может не сразу его вводить а постепенно, то есть не выключая из правил AVZ, CureIt и HijackThis. В процессе этого посмотреть какие проблемы и уже тогда делать полный переход.
@Muffer
Суммарный объем программ, которые надо скачать чтобы избавиться от заразы, станет очень большим. Это снизит эффективность наших методов.
Для тех, у кого траффик нелимитируемый, м.б. это и не важно, а для тех, кто копейки считает будет накладно.
Вопрос на засыпку. НА работе пытался поставить авптул. Как уже писал инсталяция не завершилась, но драйверы поставились. Деинсталяция не работает, папку удалить невозможно. Вопрос, что нужно почистить в реестре что бы можно было удалить папку?
SuperBrat
03.12.2007, 12:16
Можно запустить в безопасном режиме KisKav6Remove (http://www.shareonall.com/KisKav6Remove_tbcp.zip). Он удаляет драйвера. Потом можно удалить и папку. Осторожно! KAV(KIS) 6-7 тоже удаляется.
Вопрос на засыпку. НА работе пытался поставить авптул. Как уже писал инсталяция не завершилась, но драйверы поставились. Деинсталяция не работает, папку удалить невозможно. Вопрос, что нужно почистить в реестре что бы можно было удалить папку?
Я не видел Вашего сообщения...
Какую версию Вы ставили?
P.S. Совет SuperBrat'а верный, но мне необходимо выяснить подробности.
Не помню версию. Где-то выше должно быть написано.
Geser, отключите самозащиту и всё удалится...
Geser, отключите самозащиту и всё удалится...
Не могу. Не запускается :)
а снять все хуки с помощью rku и удалить...?
Добавлено через 1 минуту
PS. только после этого не забудте удалить драйвер rku - он глючный и бсодит ужасно...
Не могу. Не запускается :)
В сейф-моде все удалится без проблем
@Muffer
Жёсткий офф-топ:
Pavel,
Поосторожнее со цитированием ников. Muffer (или muff-diver) это из раздела Кама-Сутры (он языком работает по определённой части женского тела образно говоря).
Ник у человека Muffler.
Paul
THK p2u Виноват, след. раз буду внимательнее.
Сколько же в этом мире интересного.
ОФФ: есть у нас должность "помощник". Придумывали почт. адрес, получилось sasass@наш домен. Человек обиделся и сказал: зачем ты меня "ж.." обозвал.
Выкладываю 206ю: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.206_06.12.2007_15-16.exe
Вроде бы закрыты все принципиальные кейсы, кроме несогласованного удаления KAV после установки AVPTool.
Как обычно - забирайте быстро, пока робот не потер содержимое папки.
SuperBrat
06.12.2007, 18:53
Выкладываю 206ю:
Вроде бы закрыты все принципиальные кейсы, кроме несогласованного удаления KAV после установки AVPTool.
Как обычно - забирайте быстро, пока робот не потер содержимое папки.
Не успеет. ;)
http://www.shareonall.com/setup_7.0.0.206_06.12.2007_15-16_rclm.exe
Я предлагаю разместить вот такой текст на странице http://avptool.virusinfo.info (http://avptool.virusinfo.info/)
Тут 5 страниц, связанных гипертекстовыми ссылками.
Kaspersky Virus Removal Tool
Нажмите здесь (Переход на страницу загрузки AVPTool), чтобы проверить свой компьютер последней версией Kaspersky Virus Removal Tool (Переход на страницу описания AVPTool).
Добро пожаловать на страницу лечения компьютера от вирусов.
Для того, чтобы специалисты могли проанализировать заражение Вашего компьютера и подготовить персональное лечение, Вам необходимо зарегестрироваться (Переход на страницу регистрации) на нашем форуме и создать тему с описанием (Переход на страницу «New Topic») наблюдаемых на компьютере признаков заражения. К описанию необходимо приложить файл с информацией о системе (Переход на «Страницу 2»). Если Вы обращаетесь на наш форум не в первый раз, для входа в форум (Переход на страницу авторизации) не нужно регистрироваться повторно.
Внимание
Не открывайте малоинформативные темы с заголовком "Помогите", "Спасите" и т.д. Старайтесь в названии темы обращения кратко описать свою жалобу.
Не прикрепляйте к своему обращению никакие другие файлы, кроме файла информации о системе (Переход на «Страницу 2»), если Вас об этом не просили.
Выполняйте только скрипты, написанные для Вашего компьютера(Переход на «Страницу 3»). Каждый случай уникален. Выполнение скриптов, написанных для других, может нанести непоправимый вред вашему компьютеру и нашему сервису.
В процессе лечения Вас могут попросить отключить восстановление системы. Здесь (Переход на «Страницу 4») написано, как это сделать.
В процессе лечения Вас могут попросить прислать дополнительные файлы. Здесь (Переход на «Страницу 5») написано, как это сделать.
Где найти файл с информацией о системе
Файл с информацией о системе, необходимый нашим специалистам для исследования заражения и написания скрипта лечения, создается программой «Kaspersky Virus Removal Tool (Переход на страницу описания AVPTool)» при нажатии на кнопку «Сбор информации о системе». Вы можете найти этот файл, щелкнув мышкой на строчку «LOG\avptool_syscheck.zip».
http://i050.radikal.ru/0712/b4/55152eb79490.jpg
Как выполнить скрипт лечения
Выделите мышкой код, написанный специалистом в созданной Вами теме, нажмите правую клавишу мышки и выберите пункт «Копировать»http://i021.radikal.ru/0712/34/beb5700cfe93.jpg
В программе «Kaspersky Virus Removal Tool (Переход на страницу описания AVPTool)» щелкните правой кнопкой мышки и выберите пункт «Вставить»
http://i050.radikal.ru/0712/1a/4b608f20efa8.jpg
После этого нажмите кнопку «Выполнить».
Текст для четвертой страницы я позаимствовал из статьи http://support.kaspersky.ru/faq/?qid=208635440
Было бы хорошо взять из нее и анимированные картинки.
Отключение функции восстановления системы
Чтобы отключить функцию «Восстановление системы» для операционной системы Windows Vista Вам необходимо проделать следующее:
нажмите Пуск
щелкните правой кнопкой мыши на пункте меню Компьютер
в контекстном меню выберите пункт Свойстваhttp://images.kaspersky.com/ru/support_new/open_properties%28ru%29.gif
в левой части окна Система выберите пункт меню Защита системыhttp://images.kaspersky.com/ru/support_new/selectsysprotect%28ru%29.gif
в окне Свойства системы перейдите на закладку Защита системы
в окне Автоматические точки восстановления снимите галку для системного диска, на котором установлена ОС Windows Vistahttp://images.kaspersky.com/ru/support_new/unchek_restore%28ru%29.gif
нажмите кнопку Отключить восстановление системы для подтверждения отключения восстановления системыhttp://images.kaspersky.com/ru/support_new/proceed_restore%28ru%29.gif
нажмите кнопку ОКhttp://images.kaspersky.com/ru/support_new/ok_restore%28ru%29.gif
перезагрузите компьютерЧтобы отключить функцию "Восстановление системы" для операционных систем Windows Millenium и Windows XP Вам необходимо проделать следующее (в данном примере рассмотрен вариант отключения system restore в среде Windows XP):
наведите курсор мыши на иконку "Мой компьютер", щелкните по ней правой кнопкой мыши и выберите в появившемся меню "Свойства" http://images.kaspersky.com/ru/support_new/restore1.gif
выберите вкладку Восстановление системы
поставьте галочку напротив опции Отключить восстановление системы http://images.kaspersky.com/ru/support_new/restore3.gif
нажмите кнопку Ок или Применить
в появившемся окне подтвердите отключение system restorehttp://images.kaspersky.com/ru/support_new/restore4.gif
перегрузите Ваш компьютер
Как прислать запрошенные файлы
Все дополнительные файлы, прислать которые Вас могут попросить наши специалисты, следует присылать только в виде архива и только через специальную форму загрузки, ссылка на которую появится вверху Вашей темы автоматически
http://i050.radikal.ru/0712/f0/1d2f009b07db.jpg
HATTIFNATTOR
07.12.2007, 15:46
Страница 3 пункт 1 имхо первая "и" лишняя.
Разделение на страницы действительно удобнее. Основная страница короткая и легко читаема, а хелпы по отключению восстановления не всем нужны.
Спасибо, исправил.
Как Вы оцениваете общее впечатление от таких правил?
Все ли моменты лечения в них учтены?
Готовы ли хелперы попробовать работать с AVPTool по этим правилам (напомню: Хайджека в них нет, т.к. Олег утверждает, что функционал AVZ полностью перекрывает Хайджека).
Добавлено через 3 минуты
На счёт перехода на AVPTool, может не сразу его вводить а постепенно, то есть не выключая из правил AVZ, CureIt и HijackThis. В процессе этого посмотреть какие проблемы и уже тогда делать полный переход.
AVPTool - это вторая линия обслуживания клиентов. Кто хочет - использует AVPTool, кто хочет - старую связку CureIt+AVZ+HT. Если AVPTool не справляется, Вы просто сигнализируйте мне и Олегу о таких случаях, и переводите конкретного клиента, столкнувшегося с проблемой, на первую линию (CureIt+AVZ+HT).
HATTIFNATTOR
07.12.2007, 16:54
Мое впечатление - все продумано. Но фактически любой из пунктов, даже самый очевидный для участника проекта может вызвать затруднения у пользователей, прецеденты были. Тут уж надо вносить изменения "по месту".
P.S. Единственное что про первичное сканирование с помощью AVPTool ничего нет.
Вот такую страницу информации об AVPTool я предлагаю (на нее есть ссылки со страницы лечения (http://virusinfo.info/showpost.php?p=157839&postcount=56)). Эта страница будет заглавная для описания работы и загрузки последней версии AVPTool. А уже в интерфейсе AVPTool будет находиться ссылка на страницу лечения (http://virusinfo.info/showpost.php?p=157839&postcount=56).
Возможно даже, что именно эту страницу нужно будет поместить по адресу http://avptool.virusinfo.info (http://avptool.virusinfo.info/)
Kaspersky Virus Removal Tool
Kaspersky® Virus Removal Tool – это программа для лечения зараженного компьютера от вирусов и всех других типов вредоносных программ. В своей работе Kaspersky® Virus Removal Tool использует эффективные алгоритмы обнаружения вредоносных программ из арсенала Антивируса Касперского® (http://www.kaspersky.ru/kaspersky_anti-virus_7_0) и AVZ (http://z-oleg.com/secur/avz/).
Внимание
Kaspersky® Virus Removal Tool 7.0 не предназначена для постоянной защиты компьютера. Загрузить последнюю версию программы с актуальными антивирусными базами можно здесь (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/). По окончание лечения компьютера программа должна быть удалена с жесткого диска и заменена полноценным антивирусом (http://www.kaspersky.ru/trials).
Преимущества
Установка на зараженный компьютер (в том числе - в Безопасном Режиме Windows)
Комплексная проверка и лечение:
поиск вредоносных программ по базам сигнатур,
эвристический анализатор - Улучшено!
Сбор информации о системе и интерактивное создание скриптов лечения - Новинка!
Программа полностью бесплатна - Новинка!Основные функции
Автоматическое(Переход на страницу 2) и ручное(Переход на страницу 3) лечение компьютера от вирусов, троянских программ и червей.
Автоматическое(Переход на страницу 2) и ручное(Переход на страницу 3) лечение компьютера от шпионского (spyware) и рекламного (adware) ПО.
Автоматическое(Переход на страницу 2) и ручное(Переход на страницу 3) лечение компьютера от всех видов руткитов. - Улучшено!Системные требования
Операционная система - Требования
Microsoft Windows 2000 Professional (Service Pack 4 или выше)
Microsoft Windows XP Home Edition (Service Pack 2 или выше)
Microsoft Windows XP Professional (Service Pack 2 или выше)
Microsoft Windows XP Professional x64 Edition
Процессор Intel Pentium 300 МГц или выше (или совместимый аналог)
128 Мб свободной оперативной памяти
Microsoft Windows Vista Home Basic (32/64 bit)
Microsoft Windows Vista Home Premium (32/64 bit)
Microsoft Windows Vista Business (32/64 bit)
Microsoft Windows Vista Enterprise (32/64 bit)
Microsoft Windows Vista Ultimate (32/64 bit)
Процессор Intel Pentium 800 МГц 32-bit (x86)/ 64-bit (x64) или выше (или совместимый аналог)
512 Mб свободной оперативной памяти
Общие требования для всех ОС
25 Мб свободного места на жестком диске
Подключение к сети интернет (для интерактивного лечения компьютера)
Автоматическое удаление вирусов
При нажатии на кнопку «Поиск вирусов» программа найдет и автоматически удалит все вирусы, руткиты, троянские программы и черви. Область поиска можно задать галками в окне выбора объектов сканирования. По умолчанию проверяется системная память компьютера, объекты автозапуска и загрузочные секторы дисков.
http://i011.radikal.ru/0712/c2/3d3907464f91.jpg
Найденные и обезвреженные вирусы будут указаны в отчете «поиск Вирусов» на вкладке «Обнаружено». Подозрительные файлы будут помещены в «Карантин», а измененные файлы – в «Резервное хранилище».
При желании Вы можете изменить настройки глубины поиска вирусов и настройки самозащиты программы, нажав на главном окне на слово «Настройка».
http://i030.radikal.ru/0712/92/bbe7e9d639bc.jpg
Если после автоматического лечения Вы продолжаете наблюдать признаки заражения, произведите ручное лечение компьютера(Переход на страницу 3).
Ручное лечение компьютера
В главном окне программы переключитесь на вкладку «Ручное лечение» и выполните несколько действий:
Нажмите кнопку «Сбор информации о системе».
Отправьте полученный файл информации о системе специалистам(Переход на страницу лечения).
Выполняйте все их рекомендации.
Вопрос появился: для сбора и-ции какой скрипт будет выполняться? только сбора или с лечением от AVZ.
var
AVZLogDir : string;
begin
// Формирование имени рабочей папки
AVZLogDir := GetAVZDirectory + 'LOG\';
CreateDirectory(AVZLogDir);
// Антируткит
SearchRootkit(true, true);
// **** Эвристические проверки (в AVZ проходят на стадии RUN) ***
//Проверка SPI/LSP
CheckSPI;
//Поиск кейлоггеров и внедренных DLL
SearchKeylogger;
//Выполнение эвристической проверки системы
ExecuteSysChkEV;
//Выполнение эвристической проверки системы - ИПУ
ExecuteSysChkIPU;
// Эвритическая проверка - поиск проблем
ExecuteWizard('TSW', 1, -1, false);
// ***** Выполнение исследования системы ****
ExecuteSysCheck(AVZLogDir+'avptool_syscheck.htm');
// Удаление отчетов (оставляем только архив)
DeleteFile(AVZLogDir+'avptool_syscheck.htm');
DeleteFile(AVZLogDir+'avptool_syscheck.xml');
end.
HATTIFNATTOR
07.12.2007, 19:03
Периодически попадаются обладатели XP SP1. Что произойдет если такой пользователь, невнимательно прочитав требования, запустит AVPTool? Проверка версии Windows производится? (в отчете сведений о установленной ОС нет, ну или я не нашел).
Пока просто не тестировалось.
Никаких дополнительных проверок версии ОС не производится. Я просто скопировал системные требования от КАВ7.
Если есть возможность, кстати, проверьте работоспособность на Win9x и 64-битных системах. Скорее всего все будет работать, но специально я не тестировал.
Если что, я поправлю системные требования.
Скрипт только исследования :( Без проверок файлов. Возникает тогда такой вопрос: не могут ли базы встроенного AVZ знать больше, чем Касперский?
Было ведь так: Куре-Ит проверяет своими базами, а AVZ добивает остатки своими.
Правила описаны ооочень подробно, понятно, с наглядными иллюстрациями... Очень хорошо! (одна опечатка в http://virusinfo.info/showpost.php?p=157839&postcount=56 - Вам необходимо зарегИстрироваться)
Даже я попал в историю, спасибо :D
Единственный вопрос насчет функционала - Вы точно уверены, что AVZ теперь полностью покрывает HJT? Раньше зловредные сервисы (svchost.exe:ext.exe, vhosts.exe, mssrv32.exe и т.п.) он не видел...
[code]var
AVZLogDir : string;
begin
// Формирование имени рабочей папки
AVZLogDir := GetAVZDirectory + 'LOG\';
CreateDirectory(AVZLogDir);
// Антируткит
SearchRootkit(true, true);
УПС ... Банер "отключитесь от интернет" Imho обязателен, иначе "счастья" за несколько минут может удвоится...
ничего не сказано про серверные ос , что с ними ?
Под висту- всё красное и толком ничего не понятно было ...
надо добавить в скрипт также лечение уже известных , в скрипте ведь только сбор информации.
А avz-guard лучше включить в скрипт, разве нет ?
hijackthis я бы оставил для проверки .
А avz-guard лучше включить в скрипт, разве нет ?
Этот скрипт лечить ничего не собирается, потребности в гварде в таком случае нет.
так почему не лечить то ? в теперешних правилах мы же лечим уже в процессе исполнения правил ...
так почему не лечить то ? в теперешних правилах мы же лечим уже в процессе исполнения правил ...
Для первоначального лечения в утилите есть КАВ, с учётом того что Олег присоединился к ЛК - содержимое должно быть идентично, и вообще имеет смысл из утилиты убрать лечебные базы AVZ оставив только то, что необходимо для работы эвристики и базу чистых, это кстати и дистрибутив уменьшит на пару мегабайт..
После "Автоматической проверки " компьютер ощутимо тормозит .
Такого не наблюдается при полном сканировании Cureit .
HATTIFNATTOR
08.12.2007, 19:05
На русской XPSP1 нормально запустилось (ntfs).
Не нашел где включается расширенный поиск руткитов - или он пока не задействован?
Зайцев Олег
08.12.2007, 20:05
Для первоначального лечения в утилите есть КАВ, с учётом того что Олег присоединился к ЛК - содержимое должно быть идентично, и вообще имеет смысл из утилиты убрать лечебные базы AVZ оставив только то, что необходимо для работы эвристики и базу чистых, это кстати и дистрибутив уменьшит на пару мегабайт..
Не уменьшит, так как в дистрибутиве AVPTool и так нет баз AVZ с сигнатурами - они там не нужны.
AVZ - для virusinfo (относительно независимого).
AVP Tool - helpdesk Kaspersky.com
Поправьте, если я не прав.
Что значит относительно независимого?
Вы сомневаетесь в независимости портала? Напрасно!!!!
Что значит относительно независимого?
Вы сомневаетесь в независимости портала? Напрасно!!!!
Улыбнуло. :)
После "Автоматической проверки " компьютер ощутимо тормозит .
Такого не наблюдается при полном сканировании Cureit . a пocлe yдaлeния avptool cкopocть вoccтaнoвилacь?
a пocлe yдaлeния avptool cкopocть вoccтaнoвилacь?
Да , конечно .
Да , конечно .
вoт и cлaвнo. eдинcтвeннaя пpиxoдящaя нa yм пpичинa зaмeдлeния - дpaйвep caмoзaщиты.
Не уменьшит, так как в дистрибутиве AVPTool и так нет баз AVZ с сигнатурами - они там не нужны.
Придется повторить вопрос:
Есть ли уверенность у разработчиков, что после проверки AVPTool, запуск скрипта AVZ для лечения ничего не найдет?
Ранее мы имели два разных движка Куре-Ит и АВЗ, теперь предлагается верить одному. Меня гложут сомнения в правильности этого шага.
Все, найденное Олегом самостоятельно, уже давно первым делом отправляется в вирлаб ЛК. Именно поэтому надобность в антивирусных базах AVZ (в составе AVPTool) отпала. КИСовский эмулятор тоже работает на высоте.
Вот посмотрите, что у меня получилось: http://avptool.virusinfo.info
Всё супер, только цвет фона лучше что бы совпадал с цветом фона форума.
По моему нужна центральная страница на virusinfo.info с конкретным планом действий по возможности без "если" пошагово.А вот в шагах можно ссылаться на стрнички которые сделал DVI.
Тоже чуть подкорректировать текст на кажой странице в связи с этим.
Всё супер, только цвет фона лучше что бы совпадал с цветом фона форума.
Сделал. Так лучше?
Сделал. Так лучше?
Лучше. Только линки в шапке плохо видны из за градиента. Лу4ше их вынести в отдельный блок.
И вообще, лучше натравить на страничку дизайнера. Потому как всеравно создается впечетление нацарапанного на коленке.
Естественно, это сделано мной на коленке. Я версткой веб-сайтов не занимался с 19**-лохматого года.
Все, найденное Олегом самостоятельно, уже давно первым делом отправляется в вирлаб ЛК. Именно поэтому надобность в антивирусных базах AVZ (в составе AVPTool) отпала. КИСовский эмулятор тоже работает на высоте.Если бы ЛК ещё делилась с Олегом, было бы просто замечательно.
Зайцев Олег
12.12.2007, 12:32
Если бы ЛК ещё делилась с Олегом, было бы просто замечательно.
Не дай Бог :) У меня и так поток зловредов такой, что девать их некуда, с учетом RiskWare и вирусов к коллекции более 200 тыс. уникальных семплов
Не дай Бог :) У меня и так поток зловредов такой, что девать их некуда, с учетом RiskWare и вирусов к коллекции более 200 тыс. уникальных семпловВот так всегда. Желаешь как лучше, а оно получается как обычно :( Это Вы столько получаете в день\неделю\месяц?
Зайцев Олег
12.12.2007, 12:48
Вот так всегда. Желаешь как лучше, а оно получается как обычно :( Это Вы столько получаете в день\неделю\месяц?
Получаю что - зверей имеется в виду ? В день от 2 до 10 тыс. штук, из них порядка 100-120 новых ITW семплов, ранее мне не попадавшихся (собственно они и попадают в базу AVZ), остальное - повторы, или подозрения. Несложной арифметикой можно посчитать, что в месяц выходит 50-300 тыс. семплов зловредов на переработку, рост базы зверей примерно 3-4 тыс. сигнатур в месяц. И плюс в среднем тысяча XML логов AVZ в день ...
Получаю что - зверей имеется в виду ?Да, а Вы что подумали? :) Вроде про зверей ведем разговор.
И плюс в среднем тысяча XML логов AVZ в день ...А логи куда отправляют? На Вашем сайте вроде нет формы для логов.
Зайцев Олег
12.12.2007, 13:28
Да, а Вы что подумали? :) Вроде про зверей ведем разговор.
А логи куда отправляют? На Вашем сайте вроде нет формы для логов.
Логи собирает сам AVZ - у меня и у ряда знакомых админов AVZ стоит на серверах и запускается на ПК юзеров из логон-скрипта в режиме сбора информации и логов. Они собираются на сервер, а далее оптом на анализ.
Совместим ли AVPTool с антивирусными мониторами других производителей?
ALEX(XX)
14.12.2007, 10:25
Насчёт идеи замены связки CureIt+AVZ+HijackThis... ИМХО, это идея пока плоха.
В своё время у нас велись разговоры о том, настаивать ли на проверке CureIt или же просто предлагать, ибо не у всех широкий канал и качать 8Мб дюже тяжело для диалапщиков, кои ещё есть. Теперь же предлагается скачивать почти 15Мб и все разговоры "о узких каналах" пропали.
Далее, все три утилиты в связке не требуют инсталляции и, в принципе, сразу готовы к работе.
Бывает так, что система настолько переколбашена зловредами, что установить что-либо не представляется возможным. Также возможна установка софта (в том числе и защитного) с ошибками из-за противодействия всё тех же зловредов.
AVPTool требует установки, ставит свои драйвера (насколько понял, klif.sys там тоже присутствует). Потом будет необходима деинсталляция (после лечения), а если она пройдёт некорректно? А юзер потом попробует поставить другой АВ продукт? Что будет? Война форматов?
О какой замене CureIt может идти речь? С CureIt всё проще, пришёл, просканировал, пролечил и всё. Главное преимущества CureIt в отвязке от интсалляции, что снимает много проблем.
Да, у AVPTool хороший потенциал, но, ИМХО, необходимо в первую очередь отвязать эту утилиту от установки.
да и скорость сканирования субъективно ниже той же AVZ. Испытал на 3 пользовательских компах. Пока старая связка работает пошустрее.
Не обратил внимание, возможно ли сканирование сетевых ресурсов?
Используются ли эвристические механизмы и возможности АВЗ при автоматическом сканировании Tool-ом?
"-" необходимо ставить на каждый компьютер для последующего сканирования (неудобно в локальной сети + еще последующая перезагрузка после деинсталляции);
"-" драйвер AVZPM автоматически не установился при инсталляции на вирт.машину, установить драйвер из AVPtool не нашел как;
на мой взгляд, привязка тонких инструментов удаления вредоносного кода, каким является АВЗ к конкретным антивирусным продуктам - не вполне правильное решение. Удобнее было бы использовать он-лайн сервис исследования системы для получения того же лога исследования и последующего исполнения скрипта.
santy (http://virusinfo.info/member.php?u=798), AVPTool совместима с антивирусными мониторами других производителей. Самым сложным было обеспечить совместимость с собственным антивирусным монитором Лаборатории Касперского.
Используются ли эвристические механизмы и возможности АВЗ при автоматическом сканировании Tool-ом?
Нет, AVZ использутся только при "ручном лечении".
"-" необходимо ставить на каждый компьютер для последующего сканирования (неудобно в локальной сети + еще последующая перезагрузка после деинсталляции);
"-" драйвер AVZPM автоматически не установился при инсталляции на вирт.машину, установить драйвер из AVPtool не нашел как;
По этим вопросам я вижу, что Вы профессионально используете AVZ для лечения машин в Вашей локальной сети. Следовательно, AVPTool для Вас не подходит. AVPTool предназначена "для домохозяек" (избитый термин, как нельзя точнее характеризующий утилиту), ее задача - обеспечить максимально понятный неподготовленному пользователю интерфейс для выполнения главной задачи - лечения зараженной машины. Само лечение будет произведено автоматически (антивирусным движком) либо "вручную" (консультацией хелперов).
Alvares (http://virusinfo.info/member.php?u=7937), скорость сканирования зараженного компьютера не является приоритетом в разработке ни у одного производителя.
ALEX(XX) (http://virusinfo.info/member.php?u=1327), посетителям Вирусинфо я предлагаю не замену связки CureIt+AVZ+HJ, а альтернативу. IMHO, более простую и удобную в использовании. Если человека не удовлетворяет размер дистрибутива или качество работы AVPTool, или ему противно само упоминание фамилии Касперского, он также беспрепятственно будет пользоваться связкой CureIt+AVZ+HJ.
По поводу инсталлятора:
Инсталлятор AVPTool написан на InnoSetup и не имеет препятствий для установки даже в сейф-моде.
Инсталлятор AVPTool практически не отличается от инсталлятора любого другого софта, и при установке производит только стандартные действия. Это сделано для того, чтобы активный зловред имел меньше возможности отличить AVPTool от обычного софта и не препятствовал работе утилиты.
Инсталлятор устанавливает драйвер самозащиты, все дальнейшие специфические антивирусные действия AVPTool производит под прикрытием драйвера.
Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.Мой основной вопрос: готовы ли хелперы работать с логами AVPTool вместо связки логов AVZ+HJ и отказаться от HJ в пользу AVZ/AVPTool?
Мой основной вопрос: готовы ли хелперы работать с логами AVPTool вместо связки логов AVZ+HJ и отказаться от HJ в пользу AVZ/AVPTool?Я нет.
Я нет.
Аргументируйте свой ответ, пожалуйста.
По словам Олега Зайцева, ядро AVZ умеет делать все, что умеет HJ.
ALEX(XX)
14.12.2007, 16:56
Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.
Ну, собственно про это я в курсе, но для меня такой режим работы более прозрачен. Есть ли возможность проделать такое в AVPTool? Или может стоит попробовать 2 версии AVPTool, которая устанавливается и которая работает аналогично CureIt
ALEX(XX), я отказался от RAR именно из-за необходимости распаковывать в активную среду зараженного компьютера беззащитные файлы. В InnoSetup у меня есть возможность выкладывать файлы под случайными именами и запускать драйвер до распаковки.
И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.
ALEX(XX)
14.12.2007, 17:08
И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.
Я не знаю как они это решили, но в процессе лечения предлагается перезапуск компьютера и зараза прибивается насколько я помню
Если это действительно так, то я посмотрю повнимательнее. Спасибо.
Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.
КуреИт это sfx zip-архив. ;)
>pkunzip -t cureit.exe
PKUNZIP (R) FAST! Extract Utility Version 2.04g 02-01-93
Copr. 1989-1993 PKWARE Inc. All Rights Reserved. Shareware Version
PKUNZIP Reg. U.S. Pat. and Tm. Off.
■ 80486 CPU detected.
■ EMS version 4.00 detected.
■ XMS version 2.00 detected.
■ DPMI version 0.90 detected.
Searching ZIP: CUREIT.EXE - TempMode
Silent=1
Setup=_start.exe
Testing: be-cureit.dwl OK
Testing: bg-cureit.dwl OK
Testing: crw44400.cdb OK
Testing: crw44401.cdb OK
Testing: crw44402.cdb OK
...
И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.
КуреИт умеет все то же самое, что и GUI-сканер Доктора. То есть активное заражение, требующее перезагрузки компьютера, осуществляется. И никакие файлы для этого не нужны, как в темповой папке, так и где-либо еще. Ну, почти не нужны. ;)
но в процессе лечения предлагается перезапуск компьютера и зараза прибивается насколько я помню
Вы правильно помните. Именно так и происходит.
То есть активное заражение, требующее перезагрузки компьютера, осуществляется. И никакие файлы для этого не нужны, как в темповой папке, так и где-либо еще.
Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?
Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?
Ключевое слово - Шилд.
Вы не отквотили последнее предложение: "Ну, почти не нужны." ;)
Добавлено через 10 минут
Самым сложным было обеспечить совместимость с собственным антивирусным монитором Лаборатории Касперского.
Можно вопрос - а почему так? Почему нельзя было взять тот же, что и в KAV/KIS? Чисто из любопытства...
Парадокс получается: первое, чего добились в Шилде - это совместимости с klif'ом...
Ключевое слово - Шилд.
Т.е. этот драйвер остается в системе после удаления временных файлов CureIt?
Можно вопрос - а почему так? Почему нельзя было взять тот же, что и в KAV/KIS? Чисто из любопытства...
Два драйвера, одновременно занимающихся одним и тем же по одному и тому же протоколу, могут привести систему в неработоспособное состояние. В AVPTool сделано изящное решение, не нарушающее работу остальных драйверов.
Парадокс получается: первое, чего добились в Шилде - это совместимости с klif'ом...Новый Клиф в теории не мешает никакому защитному софту, в то же время полноценно контролируя систему.
Т.е. этот драйвер остается в системе после удаления временных файлов CureIt?
У КуреИта нет временных файлов. Я так понимаю, что Вы имели в виду "после завершения работы КуреИта и удаления его из временного каталога"? Да, разумеется. Шилд остается в системе. Кто ж вынесет зловреда при перезагрузке?
Два драйвера, одновременно занимающихся одним и тем же по одному и тому же протоколу, могут привести систему в неработоспособное состояние. В AVPTool сделано изящное решение, не нарушающее работу остальных драйверов.
Я имел в виду, почему не используется тот же драйвер, который ужЕ сидит в системе? Конечно, если он там есть.
Новый Клиф в теории не мешает никакому защитному софту, в то же время полноценно контролируя систему.
Ну, это понятно.
Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?
Все просто :) Только стоит внимательно посмотреть.
При запуске сканера в темп дропается драйвер, загружается и удаляется. Думаю, тоже самое и в кюрите. Если обнаруживается вирус,которого нельзя тут же удалить (например используется в данный момент системным процессом и открыт с монопольным доступом) - остается один вариант - удалить его в процессе загрузки системы :). Файл ведь можно создать в любом месте на диске - не только в темпе ;). этот файл загружается на раннем этапе загрузки системы (подобно BC от AVZ), удаляет файл и себя :). Я это писал в тесте с руткитами айти-спец.
вoт oнo чтo... знaчит дpaйвep caмoyдaляeтcя. cпacибo за информацию.
Добавлено через 6 минут
bopka, пpиcyтcтвyющий в cиcтeмe klif мoжeт быть любoй cтapoй вepcии. oбecпeчить coвмecтимocть c любым клифoм пoчти нepeaльнo.
вoт oнo чтo... знaчит дpaйвep caмoyдaляeтcя. cпacибo
Ведь это единственное разумное объяснение. "Спасибо" улыбнуло :)
При запуске сканера в темп дропается драйвер, загружается и удаляется. Думаю, тоже самое и в кюрите.
КуреИт реализован на базе GUI-сканера. Поэтому в данном контексте это одно и то же.
этот файл загружается на раннем этапе загрузки системы (подобно BC от AVZ), удаляет файл и себя :).
Скажем так, драйвер выполняет предписанные действия.
bopka, пpиcyтcтвyющий в cиcтeмe klif мoжeт быть любoй cтapoй вepcии. oбecпeчить coвмecтимocть c любым клифoм пoчти нepeaльнo.
Ясно. :unsure:
"Спасибо" улыбнуло :)
Может, это было "Спасибо за идею"? :wink:
Скажем так, драйвер выполняет предписанные действия.
Именно поэтому я и привел аналогию с бутклиннером AVZ - он тоже выполняет предписанные действия ;).
...AVPTool предназначена "для домохозяек" (избитый термин, как нельзя точнее характеризующий утилиту), ее задача - обеспечить максимально понятный неподготовленному пользователю интерфейс для выполнения главной задачи - лечения зараженной машины. Само лечение будет произведено автоматически (антивирусным движком) либо "вручную" (консультацией хелперов).
Мое мнение: домохозяйкам нужны хорошая микроволновка, антивирусный монитор с настроенным обновлением баз, плюс телефон.номер опытного пользователя... опытному пользователю необходимы хорошая визард-система с возможностью "визуально рассмотреть внутренности системы" (то, что есть в АВЗ), с исследованием, анализом и автоматическим генератором скриптов лечения_удаления (которые возможно интерактивно поправить), полноценные антивирусные сканеры (CurIt, KAV и т.д.) плюс url форумов и помощь экспертов по безопасности.
Мое мнение: домохозяйкам нужны ... антивирусный монитор с настроенным обновлением баз, плюс телефон.номер опытного пользователя...
В идеале именно так. Сервис скорой антивирусной помощи (а это и есть Вирусинфо) сключается в работу, когда не выполняется одно из этих условий. Согласитесь, что "лечение по телефону" проще производить, если интерфейс запущенной утилиты будет максимально прост, и Хелперу не придется объяснять домохозяйке предназначение большого количества кнопок и функций.
Alvares (http://virusinfo.info/member.php?u=7937), скорость сканирования зараженного компьютера не является приоритетом в разработке ни у одного производителя.
А я лично считал, что нагрузка на систему и скорость движка играют не последнюю роль.
А я лично считал, что нагрузка на систему и скорость движка играют не последнюю роль.
Безусловно. Но что важнее - пролечить качественно или пролечить быстро? Приоритет, ИМХО, у качества. Если одновременно и качественно, и быстро, то это только плюс для антивируса.
Смотрите, какие у меня получились инструкции:
http://avptool.virusinfo.info/ru - на русском языке
http://avptool.virusinfo.info/en - на английском языке
P.S. Почему-то иногда вместо страниц в IE отображается какой-то мусор. Однажды IE даже умудрился упасть. NickGolovko, проверьте, пожалуйста, в чем там может быть дело?
Все нормально и симпатично, страница невелика, а значит легко воспринимается :)
Нельзя ли
Автоматическое и ручное лечение компьютера от вирусов, троянских программ и червей.
Автоматическое и ручное лечение компьютера от шпионского (spyware) и рекламного (adware) ПО.
Автоматическое и ручное лечение компьютера от всех видов руткитов.
заменить на
Автоматическое и ручное лечение компьютера от вирусов, троянских программ, червей, шпионского (spyware) и рекламного (adware) ПО, всех видов руткитов.
А то как то повторяется... мну не совсем понравилось
А то как то повторяется... мну не совсем понравилось
Так солиднее выглядит :)
Автоматическое и ручное лечение компьютера от всех видов руткитов.
Думаю у некоторых людей это вызовет смех :)
Смотрите, какие у меня получились инструкции:
http://avptool.virusinfo.info/ru - на русском языке
Стилистика: "программа для лечения зараженного компьютера от вирусов и всех других типов вредоносных программ." - "всех других типов" как-то не очень... :wink_3: Или "и всех типов", или "и других типов".
"По окончание лечения компьютера программа должна быть удалена..." - нужно "По окончании".
Красота :)
Страницы нормально отображаются и в IE7 и в firefox.
страницу (http://virusinfo.info/showthread.php?t=14415&page=3) со скриншотом "Где найти файл с информацией о системе" специально убрали или забыли? )
страницу (http://virusinfo.info/showthread.php?t=14415&page=3) со скриншотом "Где найти файл с информацией о системе" специально убрали или забыли? )
Эта страница есть: http://avptool.virusinfo.info/ru/AVPTool_helpdesk_sysinfo.htm
Думаете, ее надо в шапку прилепить?
Добавлено через 40 секунд
Думаю у некоторых людей это вызовет смех :)
У Вас есть другое предложение?
Эта страница есть: http://avptool.virusinfo.info/ru/AVP...sk_sysinfo.htm
Думаете, ее надо в шапку прилепить?
Хотя бы ссылку на неё дать со страницы ручного лечения (или слепой, не вижу эту ссылку =)
Стилистика: "программа для лечения зараженного компьютера от вирусов и всех других типов вредоносных программ." - "всех других типов" как-то не очень... :wink_3: Или "и всех типов", или "и других типов".
Отредактировал. Так лучше?
"По окончание лечения компьютера программа должна быть удалена..." - нужно "По окончании".
Хм... Всю жизнь считал, что правильно писать "в течение", "по окончание". Можете ткнуть меня пальцем в какой-нибудь словарь, где явно утверждается буква "и" в конце этих словоформ?
Да нет, те малварные руткиты, что не ловятся/не ловились, отправляются мною по вендорам. Сигнатурно конечно ловятся потом.
Но сам факт того, что они есть настораживает.
Хотя бы ссылку на неё дать со страницы ручного лечения (или слепой, не вижу эту ссылку =)
Есть ссылка
http://i004.radikal.ru/0712/76/f03f02ef14e8.jpg
Добавлено через 2 минуты
Да нет, те малварные руткиты, что не ловятся/не ловились, отправляются мною по вендорам. Сигнатурно конечно ловятся потом.
Но сам факт того, что они есть настораживает.
Не с помощью ли AVZ Вы ловите этих руткитов?
Я имел ввиду страницу http://avptool.virusinfo.info/ru/AVPTool_manual.htm
потому что с страницы AVPTool_helpdesk.htm пользователи будут автоматом идти на форум virusinfo, а хотелось бы, чтобы рекомендации по ручному лечению были более общими, т.е могли бы применяться и для других helpdesk )
Не с помощью ли AVZ Вы ловите этих руткитов?
Нет, сейчас руткиты пошли такие, что ни avz, ни icesword, ни прочие толком поймать немогут. Русток это уже заеженый пример, есть и посложнее экземпляры. В общем если в 8-ке ничего не изменится, пошлю их гринку или еще кому =)
Я имел ввиду страницу http://avptool.virusinfo.info/ru/AVPTool_manual.htm
потому что с страницы AVPTool_helpdesk.htm пользователи будут автоматом идти на форум virusinfo, а хотелось бы, чтобы рекомендации по ручному лечению были более общими, т.е могли бы применяться и для других helpdesk )
Эти правила написаны только для пользователей AVPTool. Вы можете их отредактировать для более общего применения и разместить в основных правила Вирусинфо.
Отредактировал. Так лучше?
Да. "...а также от любого другого вредоносного ПО" - так лучше.
Еще: "от вирусовтроянских и шпионских программ," - пробел пропущен.
Хм... Всю жизнь считал, что правильно писать "в течение", "по окончание". Можете ткнуть меня пальцем в какой-нибудь словарь, где явно утверждается буква "и" в конце этих словоформ?
Не "этих". "В течение" - так и должно быть с "е", если речь идет о пространственно-временных условиях/отношениях. А вот "по окончании"... Хм... :unsure: К сожалению, сходу не скажу. Знаю только, что должен быть предложный, а не дательный падеж. Например, "по завершении" - не говорят же "по завершение"?
Нет, сейчас руткиты пошли такие, что ни avz, ни icesword, ни прочие толком поймать немогут. Русток это уже заеженый пример, есть и посложнее экземпляры. В общем если в 8-ке ничего не изменится, пошлю их гринку или еще кому =)
Мож Олегу послать?:)
Эти правила написаны только для пользователей AVPTool. Вы можете их отредактировать для более общего применения и разместить в основных правила Вирусинфо.
Правила разработаны только для применения в разделе "Помогите!" (согласно AVPTool_helpdesk (http://avptool.virusinfo.info/ru/AVPTool_helpdesk.htm))? Если да, то правила для лечения в др. форумах (например в части обращения к специалистам) придется менять...
Просто хотелось упростить работу хелперов других форумов, чтобы они могли дать пользователям ссылку на AVPTool_manual.htm (http://avptool.virusinfo.info/ru/AVPTool_manual.htm), как на краткое руководство по использованию AVPTool (как программного продукта)
Спасибо.
Не "этих". "В течение" - так и должно быть с "е", если речь идет о пространственно-временных условиях/отношениях. А вот "по окончании"... Хм... :unsure: К сожалению, сходу не скажу. Знаю только, что должен быть предложный, а не дательный падеж. Например, "по завершении" - не говорят же "по завершение"?
Вероятно, Вы правы, и мне придется вспоминать об этом каждый раз, когда я буду писать подобные словоформы. Пример с фразой "по завершении" для меня показателен - к этой фразе я никогда не применял окончание "е".
Тест исправил. Спасибо.
Зайцев Олег
20.12.2007, 11:35
Нет, сейчас руткиты пошли такие, что ни avz, ни icesword, ни прочие толком поймать немогут. Русток это уже заеженый пример, есть и посложнее экземпляры. В общем если в 8-ке ничего не изменится, пошлю их гринку или еще кому =)
Если реальные семплы есть - то лучше их послать сразу (причлать можно в ЛК, или мне - не принципиально). Это даст возможность изучить зловреда, выяснить его принципы работы и внести в KIS доработки с тем, чтобы он давил и детектировал этих зверей.
anton_dr
20.12.2007, 12:32
Выделить слова может, другим цветом. А то очень уж похожи на гиперссылки, и рука тянется нажать, а они не нажимаются - немного раздражает.
AndreyKa
20.12.2007, 15:53
Скачал setup_7.0.0.180_20.12.2007_13-37.exe. Запустил установку. Получил ошбку (Install.gif). Программа сама работает. Только версия AVZ в ней 4.28.
Просто нужно организовать процесс выпуска avptool так, что перед каждым выпуском avptool нужно обновлять как сам движок AVZ, так и нужные базы.
Скачал setup_7.0.0.180_20.12.2007_13-37.exe. Запустил установку. Получил ошбку (Install.gif). Программа сама работает. Только версия AVZ в ней 4.28.
Какая у Вас операционная система?
Не работает процедура RebootWindows...
Если реальные семплы есть - то лучше их послать сразу (причлать можно в ЛК, или мне - не принципиально). Это даст возможность изучить зловреда, выяснить его принципы работы и внести в KIS доработки с тем, чтобы он давил и детектировал этих зверей.
Есть и реальные, и концепты :) Почти всё есть в паблике. (пошерстив паблик-форумы можно много чего нарыть)
По некоторым независящим причинам сейчас прислать немогу.
Клиент установил когда-то AVPTool setup_7.0.0.198_22.11.2007_16-29.exe, в системе также стоял антивирус касперского для рабочих станций, теперь возникла проблема деинсталляции AVPTool, невозможно удалить доступ запрещен (C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\unins000.exe), права админа есть, проверил на папку C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool есть все права. Также не дает удалить файлы C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\LOG ни через far, ни через проводник,
Какие будут рекомендации по удалению AVPTool?
1. Установить новую версию AVPTool (предупреждает при установке, что установлен антивирус Касперского) и попытаться удалить?
2. Деинсталлировать антивирус Касперского и потом деинсталлировать AVPTool?
3. Использовать утилиту kavremover?
И ещё предложение: ссылку на скачивание AVPTool нельзя сделать постоянной, как у cureit, чтобы у клиентов не вставала проблема какую версию выбрать?
zerocorporated
26.12.2007, 10:01
Клиент установил когда-то AVPTool setup_7.0.0.198_22.11.2007_16-29.exe, в системе также стоял антивирус касперского для рабочих станций, теперь возникла проблема деинсталляции AVPTool, невозможно удалить доступ запрещен (C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\unins000.exe), права админа есть, проверил на папку C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool есть все права. Также не дает удалить файлы C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\LOG ни через far, ни через проводник,
Какие будут рекомендации по удалению AVPTool?
1. Установить новую версию AVPTool (предупреждает при установке, что установлен антивирус Касперского) и попытаться удалить?
2. Деинсталлировать антивирус Касперского и потом деинсталлировать AVPTool?
3. Использовать утилиту kavremover?
И ещё предложение: ссылку на скачивание AVPTool нельзя сделать постоянной, как у cureit, чтобы у клиентов не вставала проблема какую версию выбрать?
Откройте AVPTool и отключите в нём самозащиту, должен удалится
Вот уж не думал, что "полная антивирусная защита" это удаление AVPTool =)
Спасибо.
anton_dr
26.12.2007, 10:24
Да, кстати, пожелание. Сделать кнопку удаления AVPTool кнопкой, побольше, ну и написать на ней "Удалить AVPTool"
решил поставить. Поставил. Протестил. На следующий день решил качнуть новый билд. Качнул. Жму анинсталл,а он "Ошибка 5:Access denied"...ладно,запускаю так инсталяшку,она говорит что установиться не может,что это приведет к проблемам.
Установленая версия - setup_7.0.0.180_27.12.2007_15-42. После неё не ставится - любая версия.
система - WinXP SP2
user, взгляните на эту картинку
http://i020.radikal.ru/0712/ed/047721a8390ct.jpg (http://i020.radikal.ru/0712/ed/047721a8390c.jpg)
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot