Вышла новая версия антивирусной утилиты AVZ - 4.43. Архив с утилитой содержит базу вирусов от 23.02.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов.

Основные модификации:
[++] Новый функционал - диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
[++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
[++] Редактор скриптов - подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
[++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
[++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
[+] Вывод MD5 по процессам в HTML отчет
[+] Вывод полного названия версии ОС в протокол и XML
[+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
[+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
[+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
[+/-] В XML версия файлов выведена в формате x.x.x.x
[+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
[-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
[-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
[-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
[-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)

Страница загрузки на обычном месте: http://www.z-oleg.com/secur/avz/download.php

http://s020.radikal.ru/i719/1402/2a/811a90260fb9t.jpg (http://radikal.ru/fp/e55f3478465a4ab2a16c4ec406a8f8f4)

Нужно обновить базы или архив, и все будет как положено

да, теперь нормально

После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально.

463393

После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально.

463393
Примерно понятно, в чем дело. Такого быть не должно, можно с указанного ПК получить лог, образовавшийся после завершения скрипта 2 ?

Вот. После окончания выполнения 3 стандартного скрипта компьютер спустя минуту-две упал в BSOD.

Вот. После окончания выполнения 3 стандартного скрипта компьютер спустя минуту-две упал в BSOD.
Спасибо. Обновил базы AVZ, в теории падение в BSOD должно пропасть.

Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?

Браузер самостоятельно открывает влкадки через опрделенное время с рекламой (заявка № 155426) (http://virusinfo.info/showthread.php?t=155426) - зловред с MD5="B0766BC92DC9444730CC38912981E5A4" почему-то попал в базу проверенных.

Подмена стартовой страницы (заявка № 155766) (http://virusinfo.info/showthread.php?t=155766) - обьект в автозапуске:
C:\Program Files (x86)\Norton Security\MUI\18.7.0.13\19\01\rcSvcHst.dllопять раздуплило.

Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?
Подписки - это же сотовый телефон и услуги оператора, тут AVZ не поможет.

Добавлено через 3 минуты



1. Браузер самостоятельно открывает влкадки через опрделенное время с рекламой (заявка № 155426) (http://virusinfo.info/showthread.php?t=155426) - зловред с MD5="B0766BC92DC9444730CC38912981E5A4" почему-то попал в базу проверенных.


2. Подмена стартовой страницы (заявка № 155766) (http://virusinfo.info/showthread.php?t=155766) - обьект в автозапуске:
C:\Program Files (x86)\Norton Security\MUI\18.7.0.13\19\01\rcSvcHst.dllопять раздуплило.
1. Это легитимная в общем-то программа, ставится с легальным софтом - а по сути адварь. Я выкинул ее из БД чистых AVZ, она будет появляться в логах...
2. Это нормально - сложный путь с кучей точек, вот парсер и перестарался. Я совершенствую его, чтобы свести к минимуму подобные эффекты

По багам из этого поста. (http://virusinfo.info/showthread.php?t=141836&p=1092410&viewfull=1#post1092410)

1) Баг с тем, что не экранируется <local> не исправлен.

<Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings" Name="ProxyOverride" VAL="<local>" />

вот лог AVZ сделанный версией 4.43 (http://rghost.ru/52683145)

2) Баг, что не всегда экранируются кавычки, остался http://rghost.ru/52684645

<ITEM File=".dll" CheckResult="-1" Enabled="-1" Type="?" X1="HKEY_LOCAL_MACHINE" X2="System\CurrentControlSet\Control\Lsa" X3="Security Packages" X4="""" Is64="0"
По прежнему не понятно, откуда в этом логе берётся File=".dll" экспорт этого ключа есть здесь (http://virusinfo.info/showthread.php?t=141836&p=1092410&viewfull=1#post1092410) (в пункте №5).
Если это поможет вот ещё лог (http://rghost.ru/52684615) сделанный версий 4.42.152 private build

PROCESS>
<ITEM PID="1916" File="d:\Мои документы\autologger.exe" CheckResult="-1" Descr="Автоматический сборщик логов" LegalCopyright="Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013" Hidden="0" CmdLine=""D:\Мои документы\AutoLogger.exe" " Size="19618869" Attr="rsAh" CreateDate="21.02.2014 20:07:47" ChangeDate="21.02.2014 01:00:04" MD5="DE9B6D47DB2C6C8214CF6A5E442319AD" Vendor="Company © regist & Drongo" Product="AutoLogger" OFN="AutoLogger.exe" Ver="1.0.0.1" NationalName="Y" IsPE="1"/>
<ITEM PID="4428" File="d:\Мои документы\autologger\avz\avz.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""D:\Мои документы\AutoLogger\AVZ\avz.exe" Script=AVZ\Script2.txt HiddenMode=0" Size="9316352" Attr="rsAh" CreateDate="21.02.2014 20:09:11" ChangeDate="17.02.2014 22:31:05" MD5="F3D80ED906772BB0574720DB65C8A43C" NationalName="Y" IsPE="1"/>
<ITEM PID="4028" File="c:\program files\common files\doctor web\scanning engine\dwarkdaemon.exe" CheckResult="-1" Descr="Dr.Web Anti-Rootkit Server" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine=""C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe" -arkpipe:\pipe\ARServer" Size="774448" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:12" MD5="0E677D60EF39CEA96983BB1573EC5628" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwarkdaemon.exe" Ver="9.0.8.2070" IsPE="1"/>
<ITEM PID="4208" File="c:\program files\common files\doctor web\scanning engine\dwengine.exe" CheckResult="-1" Descr="Dr.Web Scanning Engine" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine="watcher 3468 524 dwe-spider-d8c-1cf2f18c1e9ddee-watch" Size="2665008" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:11" MD5="3093F7A2509892170B99C261ACA331D2" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwengine.exe" Ver="9.0.8.2070" IsPE="1"/>
<ITEM PID="3468" File="c:\program files\common files\doctor web\scanning engine\dwengine.exe" CheckResult="-1" Descr="Dr.Web Scanning Engine" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine=""C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe"" Size="2665008" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:11" MD5="3093F7A2509892170B99C261ACA331D2" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwengine.exe" Ver="9.0.8.2070" IsPE="1"/>
<ITEM PID="2016" File="C:\Program Files\DrWeb\dwservice.exe" CheckResult="-1" Descr="Dr.Web Control Service" LegalCopyright="Copyright © Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="8880896" Attr="rsAh" CreateDate="19.02.2014 22:23:32" ChangeDate="19.02.2014 22:33:18" MD5="C71868013CDD08EA503E560C4FCC6D4E" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="dwservice.exe" Ver="9.0.6.1271" IsPE="1" IsPE64="1"/>
<ITEM PID="320" File="d:\mazila\firefox.exe" CheckResult="-1" Descr="Firefox" LegalCopyright="©Firefox and Mozilla Developers; available under the MPL 2 license." Hidden="0" CmdLine=""D:\Mazila\firefox.exe" " Size="275568" Attr="rsAh" CreateDate="19.02.2014 13:16:00" ChangeDate="13.02.2014 04:36:25" MD5="D9184C5FF3FD526761D518A95ABA74A3" Vendor="Mozilla Corporation" Product="Firefox" OFN="firefox.exe" Ver="27.0.1.5156" IsPE="1"/>
<ITEM PID="2684" File="C:\Program Files\DrWeb\frwl_notify.exe" CheckResult="-1" Descr="Dr.Web Firewall for Windows notify module" LegalCopyright="© Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="2493720" Attr="rsAh" CreateDate="19.02.2014 22:23:41" ChangeDate="19.02.2014 22:23:41" MD5="1129189D42C2BA0B91C6D1F642573C1B" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="frwl_notify.exe" Ver="9.0.4.1210" IsPE="1" IsPE64="1"/>
<ITEM PID="1668" File="C:\Program Files\DrWeb\frwl_svc.exe" CheckResult="-1" Descr="Dr.Web Firewall for Windows service" LegalCopyright="© Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="1796096" Attr="rsAh" CreateDate="19.02.2014 22:23:41" ChangeDate="19.02.2014 22:23:41" MD5="83C840C35478B8D6CFFEC2C73B8AA38C" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="frwl_svc.exe" Ver="9.0.4.1210" IsPE="1" IsPE64="1"/>
<ITEM PID="3928" File="c:\program files (x86)\internet explorer\iexplore.exe" CheckResult="0" Descr="Internet Explorer" LegalCopyright="© Корпорация Майкрософт. Все права защищены." Hidden="0" CmdLine=""C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1812 CREDAT:275457 /prefetch:2" Size="806096" Attr="rsAh" CreateDate="15.01.2014 19:10:03" ChangeDate="15.01.2014 19:10:03" MD5="C8A8321292A459B0A17FB39A782A5C74" Vendor="Microsoft Corporation" Product="Internet Explorer" OFN="IEXPLORE.EXE.MUI" Ver="11.0.9600.16428" IsPE="1"/>
</PROCESS>
Как видим почти у всех процессов в секции <PROCESS> у параметра CmdLine="" сдвоенные (не экранированные) кавычки.

3) Ключ автозапуска в реестре на запуск браузера с командной строки по прежнему не видит баг воспроизвёлся на 7 х64, 8.1 x64 при этом браузер успешно стартует. Лог выложенный мной в предыдущем пункте с windows 8.1 как раз сделан с системы, где добавлен этот ключ. Как видим этот ключ который создаётся малварой ("babakan" сейчас очень популярен) AVZ не (всегда ?) видит на этих системах.

4) AVZ также не видит ярлык в автозагрузке указывающий на такое расположение

C:\WINDOWS\system32\regsvr32.exe /n /i /s trojan.dll
Пример темы где подобный способ был использован вирусописателями здесь (http://www.cyberforum.ru/viruses/thread1096302.html).

5) Баг с завершения процесса на х64 системах у меня больше не воспроизводится.

Но остался вопрос, что за команда KillProcess ? Она по прежнему у меня выдаёт ошибку Ошибка [2, KILLPROCESS].
6) SpoolLog лог тоже теперь отрабатывает нормально.

7) regedit из менеджера автозагрузки теперь как и нужно открывается на просматриваемом ключе.

8 ) Хотелось бы чтобы в справку было добавлено описание с примерами команды Ping.
В частности я относительно часто использую вот такой слегка модифицированные скрипт от Vvvyg (http://virusinfo.info/member.php?u=25279)


var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('ping vk.com >> diag.log');
STR.Add('tracert vk.com >> diag.log');
STR.Add('nslookup vk.com 8.8.8.8>> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
DeleteFile(GetAVZDirectory + 'diag.log');
DeleteFile(GetAVZDirectory + 'diag.cmd');
end.

С учётом появления команды Ping его можно было бы обновить, да и в других места она думаю нашла бы применение.

9) AVZ проверяет и выводит в лог информацию запущено AVZ с учетки пользователя с правами администратора или нет. С помощью команд AVZ скриптом это можно посмотреть/проверить? Если такой команды нет, то хотелось бы чтобы она была добавлена.

По багам из этого поста. (http://virusinfo.info/showthread.php?t=141836&p=1092410&viewfull=1#post1092410) 1...9

1,2. Ерунда какая-то, буду проверять, в чем дело. Двойные кавычки видны где - в XML при просмотре блокнотом, или IE ? Если в IE, то это не баг, а фича - он при отображении XML экранированные символы показывает как надо, но выделяет цветом - кавычки в тексте строки вокруг нее отличаются. При копировании из IE цветовое выделение теряется и визуально выглядит как неэкранированный символ.
По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
3. Нужны примеры таких ключей, чтобы мне не искать (чем больше, тем лучше), настрою парсер на их обнаружение
4. Изменил. Базы обновлены, можно пробовать
5. Это хорошо, помечу его как пофикшенный
6. KillProcess - мертвая команда. Когда-то была, для внутренних целей, сейчас в документации она не описана, и оставлена для совместимости. При попытке вызова пишет в лог ошибку
7. Это глюк, причем регедита (там же ключ нельзя открыть документированным путем. Можно только "проиграть" окну процесса последовательность нажатий клавиш и надеяться, что откроется что надо. Любое несоответствие по задержкам, наличие утилит типа Punto - и все, сбой
8. Сейчас она пока недокументированная, не факт, что в ней ничего не поменяется. К следующей версии она будет описана в справке в своем итоговом виде.
9. Такой команды скрипта нет, добавить ее можно, толку будет мало. Дело в том, что скажем Win7 + UAC сообщает любому приложению, что права админа есть (а на деле или виртуализация записи в реестр, или блокировка)

2) Двойные кавычки в приложенном логе отобразились нормально, значит действительно из-за браузера ошибся. Но ещё понаблюдаю за логами.

3) Ключ выкладывал в том посте, на всякий случай дублирую


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Babakan"="cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://virusinfo.info && exit)"

Повторюсь, что на х86 нормально видит. Баг только на х64. Насчёт других ключей не проверял, аналогичную запись (просто с другим сайтом) очень часто вижу в разделе помогите поэтому её и протестировал.

7) Я имел ввиду что в версии 4.43 он у меня нормально открылся - исправлено, а на 4.42.152 private build баг у меня воспроизводился.

9) Хотелось, чтобы добавили. А для обхода UAC при необходимости можно вставить запрос на элевацию прав.

И ещё забыл спросить, вот такая строка в логе, это нормально?

\\?\C:\ProgramData\Microsoft\Windows\DRM\Cache\Ind iv_SID_S-1-5-20\Indiv01.key
подобный путь не должен исправляться? Несколько раз за последнее время видел подобную строчку.

P.S. и по добавлению новых фич. Хотелось бы ещё добавление работы с ZIP архивом и команду для получения информации о дате обновления баз.

.... P.S. и по добавлению новых фич. Хотелось бы ещё добавление работы с ZIP архивом и команду для получения информации о дате обновления баз.
2. я так и думал - так как вроде всюду есть экранирование, на указанных параметрах точно есть и кавычки пролезть не могли
3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
9. Хорошо, добавлю

Про "\\?\": в начале пути он должен отрезаться, в текущих правилах такое прописано. Но есть важная тонкость - если парсер видит, что путь корректный и позволяет открыть файл на диске, то парсинг не проводится и парсер не трогает имя и не обрабатывает его правилами, возможно как раз мы видим работу этой логики

3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
да, теперь попадают даже на х64 системах и ярлыки про которые писал выше тоже попали в лог и подсвечиваются.

http://i33.fastpic.ru/big/2014/0227/98/9aa484ed487078b33e6738b280b43498.png

По ярлыкам вопрос

<ITEM File="C:\WINDOWS\system32\regsvr32.exe /n /i /s miqiomjx.uwy" CheckResult="3" Enabled="1" Type="LNK" X1="C:\Documents and Settings\User\Start Menu\Programs\Startup\" X2="C:\Documents and Settings\User\Start Menu\Programs\Startup\regsvr32.exe.lnk" X3="" X4="" Is64="0"
Type="LNK" - означает ли это, что если у этой записи в логе HTML нажать удалить, то будет удалён этот ярлык? Если нет, то можно добавить кнопку удалить аналогично, как это сделано у ключей реестра?

1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет :(.

1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет :(.
1. А где этот параметр неправильный ? Нужен пример ... если в диагностике сети, то там установлено экранирование. Не исключено, что файл базы не попал в апдейт, обновил принудительно.
2. Он есть в списке процессов (где точно известна разрядность процесса) и главное, в автозапуске - там сканируются ключи как x32, так и x64 (за счет включения и выключения редиректора)

1) Да, в диагностике сети. После сегодняшнего обновления баз ошибка ушла.
2) Перепроверил в XML логе есть только в секции автозапуск, в секции процессы параметра Is64 нету. И в HTML при генерации команды удаления для скрипта этот параметр вставляется для файлов из любой секции. Почему тогда это не отображать и во всех секциях XML лога?

По словам пользователя после выполнения 7 стандартного скрипта компьютер не грузится.

Тема: http://forum.kaspersky.com/index.php?showtopic=289435

Исправили с удаленным помощником?
http://i33.fastpic.ru/thumb/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpeg (http://i33.fastpic.ru/big/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpg)

По словам пользователя после выполнения 7 стандартного скриптаПричем здесь стандартный скрипт №7, если система перестала стартовать после Вашего скрипта?

Причем здесь стандартный скрипт №7, если система перестала стартовать после Вашего скрипта?
По словам пользователя система не стартовала после попытки выполнить 7 стандартный скрипт. Я специально этот момент уточнял.

1)
Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 07.02.2014 18:50:30
Может стоит для того случая заменить сообщение на исправьте системную дату или что-то подобное?

2) Если язык для программ не поддерживающих юникод стоит англ., то вот такая вещь
http://i33.fastpic.ru/big/2014/0307/a6/98a55bca66b83438a25fe5d45223a4a6.png

3) Вот лог (http://rghost.ru/52890167) со сложной командной строкой. Возможно будет интересен вам для отладки парсинга таких строк.
По этому же логу

C:\Windows\system32\drivers\etc\hosts
Думаю вообще не стоит выводить эту строку в лог, как заведомо легальную. Содержимое hosts выводится в другой части лога, там же находится кнопка для вставки команды очищения hosts.

1) Может стоит для того случая заменить сообщение на исправьте системную дату или что-то подобное?

2) Если язык для программ не поддерживающих юникод стоит англ., то вот такая вещь
http://i33.fastpic.ru/big/2014/0307/a6/98a55bca66b83438a25fe5d45223a4a6.png

3) Вот лог (http://rghost.ru/52890167) со сложной командной строкой. Возможно будет интересен вам для отладки парсинга таких строк.
По этому же логу

C:\Windows\system32\drivers\etc\hosts
Думаю вообще не стоит выводить эту строку в лог, как заведомо легальную. Содержимое hosts выводится в другой части лога, там же находится кнопка для вставки команды очищения hosts.

1. В принципе можно что-то смудрить ... при автоанализе это учитывается (там есть дата формирования лога по часам ПК и дата его получения, если первое на сутки больше второго, то значит часы ПК сбиты)
2. Глюк в БД локализации. Поправил, после 16:00 при плановом обновлении баз проблема уйдет
3. Интересно, на ПК, с которого получен лог, есть файл "C:\Disney Interactive Studios\История игрушек\Game-TS3.exe" (парсер рассуждает так - ищет файл с именем "C:\Disney Interactive Studios\История игрушек\Game-TS3.exe", если не находит, то рассуждает, что раз имя не в кавычках, то быть может речь идет о двух разных файлах - "C:\Disney Interactive Studios\История" и "игрушек\Game-TS3.exe".

Добавлено через 4 минуты


По словам пользователя система не стартовала после попытки выполнить 7 стандартный скрипт. Я специально этот момент уточнял.
Случай единичный, видимо какая-то проблема именно в ПК пользователя или в реакции на скрипт

Добавлено через 8 минут


Исправили с удаленным помощником?
http://i33.fastpic.ru/thumb/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpeg (http://i33.fastpic.ru/big/2014/0304/79/748ffa9a730562f57dca6288f94ebb79.jpg)
Да, исправил. Только базу забыл обновить в сборке - исправленная база придет через автоапдейт

1)
2. Глюк в БД локализации. Поправил, после 16:00 при плановом обновлении баз проблема уйдет
проверил, теперь нормально - строчка полностью на англ.

А самой базы адвари в AVZ пока нет?

2)
\\?\c:\documents and settings\user\desktop\uvs_v382pack_ru\sphknb
Сделал лог AVZ (http://rghost.ru/52940625)при запущенном uVS. Проверил физически на диске файла с именем

c:\documents and settings\user\desktop\uvs_v382pack_ru\sphknb
нету (создаётся с другим рандомным именем, но не тем, которое в логе AVZ). Собственно вопрос почему AVZ не исправил этот путь?

3)
3. Сканирование дисков
Ошибка при сканировании каталога (C:\Users\Александр\AppData\Local\Microsoft\Window s\INetCache\Content.Word\, Privileged instruction, 11,~WRS{DE9BD2A7-850E-4A15-BC31-672EA62BC685}.tmp

Что означает эта ошибка? И как понимаю это не совсем нормально. Сам лог тут. (http://rghost.ru/52940737)

4) Может можно отключить разбиение строк по пробелу при чтение параметров из раздела

HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog
Очень часто рвёт пути к файлам при чтение записей оттуда. Вот хороший пример. (http://rghost.ru/52940896)

5) Всё-таки хотелось бы в логе кнопку для удаления ярлыков из папки автозагрузка, например как для случая указанного здесь (http://virusinfo.info/showthread.php?t=155719&p=1095348&viewfull=1#post1095348)

6) На всякий случай ещё раз напомню просьбу выводить в XML лог параметр Is64="" во всех секциях.

7) При просмотре карантина в AVZ хотелось бы чтобы подсвечивалось другим цветом не только название, а вся выделенная строка. А то неудобно смотреть и надо присмотриваться к примеру это смотришь информацию по файлу avz00052.dta или по avz00051.dta
И желательно, чтобы соседние строки, тоже слегка отличались по оттенку http://i58.fastpic.ru/big/2014/0309/ff/3815e04daa7ad9b462335bda8d656dff.png
но это наверно пожелание уже к будущей версии AVZ :).

Зайцев Олег, амперсанд не экранируется в секции <AntiSpywareProduct>


<AntiSpywareProduct>
<Data Name="Windows Defender" pathToSignedProductExe="%ProgramFiles%\Windows Defender\MSASCui.exe" ProductState="397584" />
<Data Name="Spybot - Search and Destroy" pathToSignedProductExe="C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe" ProductState="393232" />
<Data Name="Emsisoft Anti-Malware" pathToSignedProductExe="C:\Program Files (x86)\Emsisoft Anti-Malware\a2start.exe" ProductState="262144" />
</AntiSpywareProduct>
вот лог. (http://rghost.ru/52978421)

Зайцев Олег, амперсанд не экранируется в секции <AntiSpywareProduct>


<AntiSpywareProduct>
<Data Name="Windows Defender" pathToSignedProductExe="%ProgramFiles%\Windows Defender\MSASCui.exe" ProductState="397584" />
<Data Name="Spybot - Search and Destroy" pathToSignedProductExe="C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe" ProductState="393232" />
<Data Name="Emsisoft Anti-Malware" pathToSignedProductExe="C:\Program Files (x86)\Emsisoft Anti-Malware\a2start.exe" ProductState="262144" />
</AntiSpywareProduct>
вот лог. (http://rghost.ru/52978421)
Да, подтверждаю такой баг. Исправил, базы обновлены - можно пробовать.

1) Баг с экранированием кавычек всё-таки есть, вот лог. (http://rghost.ru/53047970)

<ITEM PID="6944" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine="&quot;C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE&quot; /n &quot;G:\!!!ФОРЕКС\!!!Представительство Forex Club\Для Сергея Мисионевича\Клиенты\Обучение\Вводный_Семинар.doc /o """ Size="1922720" Attr="rsAh" CreateDate="23.01.2014 15:56:28" ChangeDate="23.01.2014 15:56:28" MD5="70E0815BADCAA9A7CF24BB6EA0ED686B" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4569.1504" IsPE="1" />

2) Хочется получить ответ на этот вопрос. (http://virusinfo.info/showthread.php?t=141836&p=1019730&viewfull=1#post1019730)
Что делать, когда AVZ не может штатными средставами отключить AVZPM?
Снова попалась тема (http://forum.oszone.net/post-2323089.html#post2323089), где не удаётся отключить AVZPM. В личку юзер писал, что уже пять-шесть раз пытался отключить драйвер через GUI с последующей перезагрузкой и он по прежнему включён.
Когда в прошлый раз я спрашивал у вас этот вопрос, то указал, что вручную удалить его через диспетчер устройств на виртуалке удалить не удалось. Так что как же его надо отключать/удалять в подобных случаях? Тут XP и драйвер не особенно мешает, а на 7-ке из-за этого лог вообще был бы не читабельный.

3)
По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
это по прежнему актуально.

4) Хотелось бы получить комментарии по поводу вопросов в посте №26. (http://virusinfo.info/showthread.php?t=155719&p=1098548&viewfull=1#post1098548)

1) При использование англ. локализации AVZ, на кнопке mbAbort написано $Abort
http://i57.fastpic.ru/big/2014/0320/ba/e7426e9cc2c5f1880cd255dcbd8c00ba.png

2)
2) Хочется получить ответ на этот вопрос.
Что делать, когда AVZ не может штатными средставами отключить AVZPM?

3) В этом логе (http://rghost.ru/53199720)

C:\Windows\system32\Drivers\uti2odky.sys
Это драйвер от AVZ ? AVZ подозревает сам себя?

4) http://rghost.ru/53199745
mobogenie (в частности c:\program files\mobogenie\daemonprocess.exe ) в базе чистых файлов, а это адварь которую приходится выносить в каждой второй теме в разделе помогите.

5) Тут (http://rghost.ru/53199799) в планировщике заданий есть такое

C:\Program Files (x86)\Windows Sidebar\sidebar.exe /SL5="$815B8,3780238,54272,C:\Users\SentinelDead\Desktop \Tunngle_Setup_v4.5.1.3.exe"
AVZ не смог корректно распарсить этот путь.

6) В этом же логе (из. предыдущего пункта) в текстовой части есть

Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Adobe Flash Player SU = [C:\Windows\System32\cmd.exe /k start http://3zz.info/ && exit]
В табличной части лога этого не видно. А
такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
http://virusinfo.info/showthread.php?t=155719&p=1095348&viewfull=1#post1095348

7) Сейчас очень популярно заражения с подменой и дописыванием параметров в ярлыки браузеров. Когда происходит подмена и вместо browser.exe запускается browser.url AVZ это в логе отображает, а вот если использовать например такой ярлык

"C:\Program Files\Internet Explorer\iexplore.exe" www.virus.ru
То так как IE проходит по базе безопасных AVZ, то такой ярлык остаётся абсолютно невидимым для AVZ.
Имхо, если в ярлыке есть нестандартные дописки параметров, то такие ярлыки стоит выводить в лог. И было бы неплохо если бы был визард для исправления подобных ярлыков.

8) По поводу визарда, может добавить ещё один визард для детекта и исправления, когда в реестре повреждён путь %SystemRoot%\ например когда там %fystemroot% или %systenroot% такие логи периодически встречаются.

- - - Добавлено - - -


5) Тут в планировщике заданий есть такое
вот что в самом задание прописано

<Exec>
<Command>C:\Program Files (x86)\Windows Sidebar\sidebar.exe</Command>
<Arguments>/SL5="$815B8,3780238,54272,C:\Users\SentinelDead\Desktop \Tunngle_Setup_v4.5.1.3.exe"</Arguments>
</Exec>

1) ... 8)
1. А что это за окно ? Видимо, глюк какой-то в базе локализации
2+3. Такого быть не должно. Я изменю скрипт удаления драйверов AVZ и проблема устранится. Опознать драйвера можно по MD5: D565AD44C6C4D934AFAD3CA4196B09AA, 524D8D450622DB4A7875B111C299A76B и 8698843A69A239FF023AEC6CAF3939CC
4. daemonprocess в БД чистых, так как ничего такого непристойного он не делает. Уверенность в том, что это адварь чем-то подкреплена ? Я временно убрал файл из БД чистых, но повторю - ничего такого зловредного я в нем не вижу.
5. да, парсер выделяет "$815B8,3780238,54272,C:\Users\SentinelDead\Desktop \Tunngle_Setup_v4.5.1.3.exe" - так как текст в кавычках, парсер рассматривает его как единое целое. Я подумаю, как такое распарсить корректно (проблема в том, что запятая допустима с имени файла, а в кавычках находится как имя файла, как и несколько цифр перед ним. При этом естественно "C:\Program Files (x86)\Windows Sidebar\sidebar.exe" парсером выделяется корректно
6. Такая конструкция не попадает в таблицу. Внес изменения в БД, сейчас такие строки должны быть видны в таблице и помечаться как подозрительные (пока только все, что открывает странички в инет)
7. часто такие ярлыки бывают легитимными (открывается стартовая страничка, или некий корпоративный портал). Подумаю по поводу эвристики для таких случаев. По поводу %SystemRoot%\ - нет проблем, нужен пример характерной малвари, или пара-тройка характерных логов, далее дело техники

Добавлено через 2 минуты


1) Баг с экранированием кавычек всё-таки есть, вот лог. (http://rghost.ru/53047970)

<ITEM PID="6944" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE" /n "G:\!!!ФОРЕКС\!!!Представительство Forex Club\Для Сергея Мисионевича\Клиенты\Обучение\Вводный_Семинар.doc /o """ Size="1922720" Attr="rsAh" CreateDate="23.01.2014 15:56:28" ChangeDate="23.01.2014 15:56:28" MD5="70E0815BADCAA9A7CF24BB6EA0ED686B" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4569.1504" IsPE="1" />

2) Хочется получить ответ на этот вопрос. (http://virusinfo.info/showthread.php?t=141836&p=1019730&viewfull=1#post1019730)
Что делать, когда AVZ не может штатными средставами отключить AVZPM?
Снова попалась тема (http://forum.oszone.net/post-2323089.html#post2323089), где не удаётся отключить AVZPM. В личку юзер писал, что уже пять-шесть раз пытался отключить драйвер через GUI с последующей перезагрузкой и он по прежнему включён.
Когда в прошлый раз я спрашивал у вас этот вопрос, то указал, что вручную удалить его через диспетчер устройств на виртуалке удалить не удалось. Так что как же его надо отключать/удалять в подобных случаях? Тут XP и драйвер не особенно мешает, а на 7-ке из-за этого лог вообще был бы не читабельный.

3)
это по прежнему актуально.

4) Хотелось бы получить комментарии по поводу вопросов в посте №26. (http://virusinfo.info/showthread.php?t=155719&p=1098548&viewfull=1#post1098548)

1. Странно, мне не удается такое воспроизвести
2.

1)
1. А что это за окно ?
MessageDlg - но думаю, что дело не в окне, а именно ошибка в локализации.
2)
4. daemonprocess в БД чистых, так как ничего такого непристойного он не делает. Уверенность в том, что это адварь чем-то подкреплена ? Я временно убрал файл из БД чистых, но повторю - ничего такого зловредного я в нем не вижу.

drweb - Adware.NextLive.1
Kaspersky - not-a-virus:AdWare.Win32.Agent.ahgx
gdata - Win32.Adware.NextLive.A
https://home.mcafee.com/virusinfo/VirusProfile.aspx?key=6591285
https://www.google.ru/search?ie=UTF-8&hl=ru&q=mobogenie%20site%3Avirusinfo.info
http://yandex.ru/yandsearch?text=%5CLocal%5CMobogenie&clid=9582&lr=10277
это сойдёт за доказательство?
И в частности из-за процесса daemonprocess пользователи жалуются на большую загрузку (тормоза) на компьютере.

3)
По поводу %SystemRoot%\ - нет проблем, нужен пример характерной малвари, или пара-тройка характерных логов, далее дело техники
ок, постараюсь подобрать логи

4) http://rghost.ru/53280507

globalroot\systemroot\system32\Qzwi4Nm.exe
AVZ вроде должен исправлять такие пути.

5) Пару дней назад в помогите мне снова встретился Backdoor.Win32.Javik.a, вот отчёт вирусдетектора (http://virusinfo.info/virusdetector/report.php?md5=21C245F22E2A5C64AA2D918459FCA1B6) того юзера. Проверил на виртуалке AVZ до сих пор не умеет корректно его удалять (хотя эта проблема была ещё на ver 4.39). После удаления по прежнему проблемы с отображением меню пуск. А также при удаление с помощью AVZ через uVS видно, что следы от файла в системе остались (ExecuteSysClean разумеется использовался).
http://i57.fastpic.ru/big/2014/0323/fa/9efe85af0e947837fb3bbe3a5e1996fa.png

6)
По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю

Похоже аналогичная проблема и .sys вот пример лога (http://rghost.ru/53280747) в помогите подобное уже несколько раз встретил.

7) Последнее время часто HTML логи как-то непонятно отображаются. Вот лог для примера (http://rghost.ru/53280797)
В Opera Presto и Google Chrome выглядит http://i57.fastpic.ru/big/2014/0323/3e/8d49cbd2c4a05a09c476dfa7dc563d3e.png
в IE выглядит http://i59.fastpic.ru/big/2014/0323/1f/828ad27ee2e45653bafaf91022eec71f.png

1)
1) При использование англ. локализации AVZ, на кнопке mbAbort написано $Abort
при использование русской локализации аналогичная проблема

http://i33.fastpic.ru/big/2014/0324/5d/f439945ae46db435d063063cffc8e75d.png

2)
1. А что это за окно ? Видимо, глюк какой-то в базе локализации
2+3. Такого быть не должно. Я изменю скрипт удаления драйверов AVZ и проблема устранится.
для этих исправлений надо ждать выхода новой версии или это придёт с обновением баз?

3)
ок, постараюсь подобрать логи
вот подборка логов. (http://rghost.ru/53309282)

1)
при использование русской локализации аналогичная проблема

http://i33.fastpic.ru/big/2014/0324/5d/f439945ae46db435d063063cffc8e75d.png

2)
для этих исправлений надо ждать выхода новой версии или это придёт с обновением баз?

Баг пофикшен, исправится при обновлении версии (там просто вместо "&" затесался "$")

Я изменю скрипт удаления драйверов AVZ и проблема устранится.
для этого тоже надо ждать обновления версии?

- - - Добавлено - - -

Опять косяк с кавычками. (http://rghost.ru/53363888) Строка 550

<ITEM File="C:\Program Files\Rockwell Software\RSView\PRJHOOK32.dll" Verdict="Реагирует на события: клавиатура
Передает данные процессу: 4320 E:\МАЕ\virus\avz4\avz4\avz.exe (окно = "Стандартные скрипты")
Выясняет, какое окно находится в фокусе ввода" CheckResult="-1" Size="5632" Attr="rsah" CreateDate="14.11.2013 10:42:39" ChangeDate="05.11.2004 10:05:00" MD5="50E7AA7D6DA6385341A2726BDEF9E7F4" Vendor="Rockwell Software Inc." Product="DSICmn" OFN="PRJHOOK32.DLL" Ver="7.10.10.0" IsPE="1" IsDLL="1"/>
Вот ссылка на тему. (http://virusinfo.info/showthread.php?t=156912)

для этого тоже надо ждать обновления версии?

- - - Добавлено - - -

Опять косяк с кавычками. (http://rghost.ru/53363888) Строка 550

<ITEM File="C:\Program Files\Rockwell Software\RSView\PRJHOOK32.dll" Verdict="Реагирует на события: клавиатура
Передает данные процессу: 4320 E:\МАЕ\virus\avz4\avz4\avz.exe (окно = "Стандартные скрипты")
Выясняет, какое окно находится в фокусе ввода" CheckResult="-1" Size="5632" Attr="rsah" CreateDate="14.11.2013 10:42:39" ChangeDate="05.11.2004 10:05:00" MD5="50E7AA7D6DA6385341A2726BDEF9E7F4" Vendor="Rockwell Software Inc." Product="DSICmn" OFN="PRJHOOK32.DLL" Ver="7.10.10.0" IsPE="1" IsDLL="1"/>
Вот ссылка на тему. (http://virusinfo.info/showthread.php?t=156912)
Нет, скрипт появится через автоапдейт.
А вот бага из строки 550 пофикшена, но фикс появится только в новой версии

В этой http://virusinfo.info/showthread.php?t=157342 теме у AVZ какая-то проблема с определением кодировки.


7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "????????t¦""

В логе TDSSKiller отображается имя так:



楗敳潂瑯獁楳瑳湡t¦"


После конвертации удалось понять что эта служба от



WiseBootAssistant

1)
Нет, скрипт появится через автоапдейт.
Скрипт для отключения AVZPM уже обновился или пока нет? Пользователь говорит, что AVZPM по прежнему не отключается. (http://forum.oszone.net/post-2329265.html#post2329265) В стандартном скрипте №6 скрипт тоже обновился? Я там им посоветовал удалить драйвера и следы AVZ.

2) Очень часто в логах в секции подозрительные файлы видно у .msi файлов Подозрение на Exploit.Win32.IH_Infector.12
у .tmp (часто они от принтера эпсон) - Trojan.Win32.Agent2.byu
То есть именно эти эвристики давно и постоянно фолсят, можно и как-то скорректировать? Вот лог для примера. (http://rghost.ru/53556539)

1) Опять лог с не экранированными кавычками. (http://gfile.ru/a8aRC)

<ITEM PID="3860" File="c:\program files (x86)\newtech infosystems\acer backup manager\backupmanagertray.exe" CheckResult="-1" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2009, NewTech Infosystems, Inc. All rights reserved." Hidden="0" CmdLine=""C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="265984" Attr="rsAh" CreateDate="29.06.2010 05:22:46" ChangeDate="29.06.2010 05:22:46" MD5="E2787B4F27F598BFA501B1971A4D5378" Vendor="NewTech Infosystems, Inc." Product="Acer Backup Manager" Ver="2.0.1.68" IsPE="1" />

2) http://i59.fastpic.ru/big/2014/0401/71/a233274e53a945caa5f165f7593c1071.png
http://gfile.ru/a5CHk
Это новая фича? Подробней про неё можно? У того юзера потом запросил лог Gmer никаких следов руткита там не было.

3) ещё один лог (http://gfile.ru/a5cVr)

Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""

4) Про баг в AVZ когда в логе вместо пути отображается только .dll или только .sys уже писал. Вот для комплекта только .exe (http://gfile.ru/a891L)
http://i57.fastpic.ru/big/2014/0408/08/6f6ba886b3f64a936b0c6c26b82bbf08.png

5) По поводу того, что

7) Последнее время часто HTML логи как-то непонятно отображаются. Вот лог для примера
В Opera Presto и Google Chrome выглядит
добавлю скрин
http://i57.fastpic.ru/big/2014/0408/f6/48034a5fa628b995429534f7341777f6.png

Загрузка AVZ с офиц. сайта блокируется браузером google как опасная.

Можно ли в AVZ добавить проверку ярлыков на рабочем столе, панели быстрого запуска, а также проверку ярлыков для всех установленных в системе браузеров?

mike 1, об этом уже попросили Олега в приватном общении

И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку Прервать работу скрипта. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.
Проблема снова актуальна на релизной версии AVZ с последним обновлением баз, похоже поломалось с обновлением баз.

И заодно уже столько исправлений было сделано, а дата обновления полиморфа

2014-02-23 13:12

1. Парочка стилистических ошибок в справке (в локальной и в он-лайн версиях):

Подсистема AVZGuard - О технологии.
Рекомендации (2 пункт):

• С точки зрения regedit операция пройдет успешно, но если обновить (данный) данные при помощи F5, то можно убедиться, что реестр не изменился.
Особенности выключения ПК при включенном AVZGuard.

• Некоторые (приложение) приложения в момент завершения могут выдавать сообщение о ошибках, (связанные) связанных с ограничением их деятельности
Заключение (красным):

Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после (лечение) лечения с его использованием.

2. Пресловутый mobogenie снова попал в базу доверенных (виден в зеленых строчках лога).

Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. Вот пример лога. (http://virusinfo.info/attachment.php?attachmentid=476186&d=1401289693)

- - - Добавлено - - -

Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64

<ITEM File="C:\Program Files (x86)\Real\RealPlayer\RPDS\Bin64\rpsystray.exe" CheckResult="-1" Enabled="1" Type="LNK" Size="1227360" Attr="rsAh" CreateDate="09.02.2014 16:44:37" ChangeDate="09.02.2014 16:44:37" MD5="55FE859162C05E90C6A7A7855BB2EC89" Vendor="RealNetworks, Inc." Product="RealPlayer Cloud" OFN="rpsystray.exe" VerMS="65536" VerLS="262292" IsPE="1" Is64="1" X1="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" X2="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk" X3="" X4="" Is64="0" />
лог здесь (http://virusinfo.info/attachment.php?attachmentid=476213&d=1401301818).

Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. Вот пример лога. (http://virusinfo.info/attachment.php?attachmentid=476186&d=1401289693)

- - - Добавлено - - -

Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64

<ITEM File="C:\Program Files (x86)\Real\RealPlayer\RPDS\Bin64\rpsystray.exe" CheckResult="-1" Enabled="1" Type="LNK" Size="1227360" Attr="rsAh" CreateDate="09.02.2014 16:44:37" ChangeDate="09.02.2014 16:44:37" MD5="55FE859162C05E90C6A7A7855BB2EC89" Vendor="RealNetworks, Inc." Product="RealPlayer Cloud" OFN="rpsystray.exe" VerMS="65536" VerLS="262292" IsPE="1" Is64="1" X1="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" X2="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk" X3="" X4="" Is64="0" />
лог здесь (http://virusinfo.info/attachment.php?attachmentid=476213&d=1401301818).

В начале лога версия указана - 4.41 ...

1) Может можно прикрутить какое-то уведомление при обновление баз через GUI что вышла новая версия AVZ.
2)
7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKCU\Software\Microsoft\Windows\CurrentVersion\Run \CMD = [cmd.exe /c start http://extendedunlimited.org && exit]
Проверка завершена
почему не попало в табличную часть лога? AVZ 4.43, базы свежии. Вот лог. (http://rghost.ru/56134581)
3) http://rghost.ru/56134634
3.1 почему
\SystemRoot\system32\DRIVERS\FStarForce.sys
почему путь к файлу не был нормализован (заменён на пусть к папке windows) ?
3.2 - регулярный фолс на файлы с типа
C:\WINDOWS\TEMP\~DF4553.tmp
уже один раз указывал на это здесь (http://virusinfo.info/showthread.php?t=155719&p=1104456&viewfull=1#post1104456). Кстати и на msi переодически ещё ругается, что-то типа Trojan.BAT.Del
4) Опять неэкранированные кавычки, правда здесь базы старые. Возможно это уже исправлено, но на всякий случай лог

<ITEM PID="4532" File="c:\program files\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="06.01.2012 01:21:44" ChangeDate="06.01.2012 01:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />
http://rghost.ru/56134946

5)
Кстати и на msi переодически ещё ругается, что-то типа Trojan.BAT.Del
вот пример лога (http://rghost.ru/56164732)

6) Если для команды DeleteFile есть возможность указать разрядность файла (AMode : string = '32'), то такая же возможность по идее должна поддерживаться и для команды SysCleanAddFile.

7) DeleteDirectory(' ',' ') - во второй паре кавычек какой аргумент можно указывать? Это для того чтобы указать каким алгоритмом будет удаляться папка?

Увидел что тут присутствует Олег Зайцев потому решил написать сюда!
Смотрите что мне удалось увидеть, загрузился с установочного диска Windows 8 через командную строку запустил АВЗ и увидел в логах такое
А почему я лог загрузить сюда не могу?! Ладно вот сюда закинул http://rghost.ru/56583277
Карантин сделать не получается пишет что ошибка, под самой виндовс 8 эти файлы АВЗ видит зелёным цветом, ведать это новый способ того как зараза скрывается...
Что скажите?! Как от этого избавиться?!
Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:

Смотрите что мне удалось увидеть, загрузился с установочного диска Windows 8 через командную строку запустил АВЗ и увидел в логах такое
Если система загружена с диска, AVZ исследует её, а не зараженную ОС.

Если система загружена с диска, AVZ исследует её, а не зараженную ОС. Ух ты живой специалист появился, а то я думал все вымерли как мамонты, спасибо что отаукнулись:) Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =(
Кстати ещё раньше из загрузочного диска АВЗ тоже на диске С: нашел какой то файл, котрый из по самой оси АВЗ не находил почему то... Счас пороюсь в старых логах и скажу что за файл был...
Вот вроде это481264 под самим виндовсом оно этот gm.dls не видело, как то эта дрянь скрывалась...

PS что то мне ни логи ни скрины на ваш сайт закидывать не выходит, приходиться стронными ресурсами пользоваться...

Ух ты живой специалист появился, а то я думал все вымерли как мамонты
Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.


Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =(
Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность.

Диск С в данном случае не проверялся. Вам по-русски вроде написали

Если система загружена с диска, AVZ исследует её, а не зараженную ОС.

Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.
Да что туда заглядывать от них помощи и так ни какой =( В отчётах куча красных строк как на скриншоте 481462 а они говорят что так должно быть, впрямь такое ощущение что они прикрывают эту заразу...



Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность..

Да именно его и имею ввиду =) Я конечно не сильно разбираюсь в этих тонкостях настройки АВЗ(как и на что оно там заточено искать) но коль оно мне из под установочного диска виндовс 8 нашло на диске С: этот файп gm.dls и теперь проверка АВЗ из под самого виндовса 8 больше не выдаёт сообщений о подозрении на Trojan-Downloader.Win32 то значит таки как то оно скрывалось раньше, а Вы говорите не ищет оно ничего на диске С:, а ведь нашло =)
Я делал скрипт 3 и галочки были установлены на этом диске X: (который зачем то создаётся) и ещё ставил галку на диске C: Хотя какая разница, если в базах АВЗ эти файлы не существуют значит они какие то не такие, потому их и отмечает желтым, вроде даже UVS запущенное из под установочного диска виндовс 8 ругалось на этот файл SystemPropertiesPerformance.exe, и ещё раз повторюсь
"Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:" короче сидит какая то зараза, давайте калитесь как Вам её выковырять и предоставить на обследование...

- - - Добавлено - - -


Диск С в данном случае не проверялся. Вам по-русски вроде написали

ой спасибо что сказали, а я то думал это на китайском =) Что же Вы злой такой то?! Плевать где оно там что ищет, Олег Зайцев базы АВЗ обновляет постоянно, и коль эти файлы пошли желтым значит тут уже что то не то, вот и хочу разобраться....
Лучше скажите мне подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидить какой файл на этом секторе лежит, а то я тут вроде кое что заметил

- - - Добавлено - - -

И ещё вот эти три красавца напрягают:
dump_diskdump.dmp
dump_dumpfve.dmp
dump_nvstor.dmp

dump_diskdump.dmp и dump_nvstor.dmp после проверки на virustotal.com в этих дампах ничего не выявлено!

А вот эта дрянь dump_dumpfve.dmp на вирустотал имеет какую то дрянь в себе вот смотрите (https://www.virustotal.com/ru/file/d97dd8c5353ad603b993b1275108e0ebf8539fea37a80f759d a0c9bd2b599f6f/analysis/1403862860/) мало того на сколько я нагуглил оно имеет отношение к 64 разрядному виндовс, а у меня сейчас стоит 32, зачем оно мне?! Правда когда то стоял виндовс 7(64) ведать что то от него осталось но где?! Тем более что я делал затирание всего диска С: нулями перед установкой 8ки...

Кстати в АВЗ из под виндовс 7/8 дампы модулей ядра делаются на ура, а вот из под виндовс ХР почему то дампы модулей ядра делать нельзя, папка DMP не появляется, это я у знакомого выяснил что такие фокусы в ХР происходят, хотя ХРка уже на покой мелкософтом отправлена может и не стоит по этому поводу заморачиваться...

NickMukola, такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.

NickMukola, такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.

Ну вот как всегда по сути вопроса Вам нечего сказать, а рот баном затыкать Вы я вижу умеете и опыт у Вас наверное в этом большой =)
А что я собственно не так сказал?! Написал правду что в раздел "Помогите" нет смысла обращаться, и написал почему я так считаю, и вместо того чтобы задуматься над этим и улучшить свой ресурс в помощи юзерам Вы делаете наоборот!
По поводу сообщения к thyrex ну так тут какой привет такой ответ, ведь по сути вопроса он ничего не ответил, а нравоучениями со мной заниматься не нужно!
ВОТ ИМЕННО ЧТО ХОЧУ ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ И ОТВЕТ НА СВОИ ВОПРОСЫ, потому и решил тут написать, + создатель данной программы ОЛЕГ ЗАЙЦЕВ тут присутствует, честно говоря если бы не Олег я бы тут и не писал вовсе ничего!
Подозреваю что эта дрянь присутствует на многих компьютерах не только у меня, но по какой то причине она мастерски скрывается, ДАВАЙТЕ РАСКОПАЕМ ЭТО ДЕЛО И ТОГДА ПРОГРАММЕ AVZ ЦЕНЫ НЕ БУДЕТ, А ВЫ ПОЧЕМУ ТО ДЕЛАЕТЕ ВСЁ ДЛЯ ТОГО ЧТОБЫ НИЧЕГО КОПАТЬ В ДАННОМ НАПРАВЛЕНИИ, ИЛИ МНЕ ПОКАЗАЛОСЬ...
Сейчас вижу только один выход старый дедовский метод затереть весть жесткий диск и снести всё, но тогда я не смогу дать вам на растерзание эту дрянь, и оно дальше будет фунциклировать где то у кого то...
ПОДСКАЖИТЕ МНЕ, ЕЩЁ РАЗ ПОВТОРЮСЬ:
"Лучше скажите мне, подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидеть какой файл на этом секторе лежит, а то я тут вроде кое что заметил" я просто наблюдаю некие партиции ФАТ в старой разметке жесткого диска, хотя никогда не создавал такого добра, вот и предполагаю что оттуда ноги растут, возможно это оттуда всё подгружается в момент зависания загрузочного диска виндовс(я выше об этом писал)

- - - Добавлено - - -

Я понимаю так, коль базы всегда обновляются (ведь АВЗ не мертвый проект, а вполне развивающийся) и коль оно показывает эти файлы на диске X: желтым значит уже что то не то, в карантин закинуть их не могу пишет какую то ошибку в прямом чтении(ведать эта дрянь защищается так) а под установленным виндовс 8 эти же файлы с такими же названиями/именами вроде как есть на диске С: но уже АВЗ их показывает почему то зелёным, мыслю ловите?! Вот вам новый метод как оно прячется!
Сначала я грешил на установочный диск виндовс 8, так как мой лицензионный в руках ребёнка дал трещину =) (но ключ то от виндовса остался) потому скачал образ с торрента записал на болванку, но потом выяснил что с образом из торрента всё как бы нормально ведь хеш сума образа сходиться с сайтом MSDN значит оригинал!
Вот мои копания и привели меня к этим неизвестным парциям ФАТ...

Зайцев Олег,

1) AVZ проверяет настройки прокси и выводит в лог информацию об

7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-3714907952-3208398762-1056632465-1001\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings, ProxyServer="http=127.0.0.1:8080"
Проверка завершена
Но AVZ не проверяет ключ

HKLM\System\CurrentControlSet\services\NlaSvc\Para meters\Internet\ManualProxies\
например не видит такое

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies]
@="http=127.0.0.1:8080"

2)
3.2 - регулярный фолс на файлы с типа
C:\WINDOWS\TEMP\~DF4553.tmp
Собрал небольшую подборку логов с фолсом на файлы вида TS_8BCC.tmp лежит тут. (http://rghost.ru/56670120)
Надеюсь этого достачно чтобы откректировать эвристику на эти файлы. Во всех этих логах в этих файлах подозревается Подозрение на Trojan.Win32.Agent2.byu.

3) Просьба проверить насколько удачно удаляет AVZ драйвер regfltrx64.sys при заражение
not-a-virus:AdWare.Win32.Tirrip (Adware.PirritSuggestor) на х64 системах.

64-х битный ИСПОЛНЯЕМЫЙ
тип запуска: При инициализации ядра (1)
У меня на виртуалке AVZ с ним не справился.

[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
можно аналогичный фикс сделать и в HTML логе? Увы, там тоже встречаются NUL символы.

Опять непонятный символ - 0х05 в XML логе
http://i61.fastpic.ru/big/2014/0707/75/5490bb44e58dc6c3899a5aa3dc504275.png
http://i61.fastpic.ru/big/2014/0707/6a/6560a1d4e4c7bfecb6d1e31d147db56a.png
вот лог. (http://rghost.ru/56775686)

1) Mobogenie опять попал в базу чистых.

<ITEM PID="596" File="c:\program files\mobogenie\daemonprocess.exe" CheckResult="0" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files\Mobogenie\DaemonProcess.exe"" Size="761024" Attr="rsAh" CreateDate="23.01.2014 22:20:17" ChangeDate="10.12.2013 10:30:11" MD5="1A48C5D391127BB190FEAB18EE5FB6E2" IsPE="1"
вот лог. (http://rghost.ru/57039783)

2) Уже писал про ошибку парсинга подобной строки, по тому логу вроде поправили, сейчас снова не совсем правильно распарсило

<ITEM File="$11022A,3464320,53248,C:\Users\2BD1~1\AppData\Loca l\Temp\Rar$EXa0.501\Tunngle_Setup_v4.4.0.1.exe" JobName="SidebarExecute" Status="23653220" CheckResult="-1" Enabled="49720800" Descr="" LegalCopyright="" SHPath="C:\Windows\system32\Tasks\" FullCmd=" C:\Program Files (x86)\Windows Sidebar\sidebar.exe /SL5="$11022A,3464320,53248,C:\Users\2BD1~1\AppData\Loca l\Temp\Rar$EXa0.501\Tunngle_Setup_v4.4.0.1.exe""/>
вот лог. (http://rghost.ru/57039873)

3) Непонятные символы в XML

<Interface Name="Hamachi" IPAddress="0.0.0.0" SubnetMask="0.0.0.0" DefaultGateway="????SC?????A??????????????c????????????ѕ?????????? ????????ѕ???????????????ѕ????????????????????????? ??????????????????????????????????????ѕ??????????? ???????ѕ???????????????ѕ?????????????????????????? ?????????????????a??????a????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????в???? ????aA??????Џ?A????a??a!???ЎЖ????????????????????? ???????????????????????????????????a?????????????? ?????????????????????????????????????????????????? ??????????????????????????????????°??????????????? ????????????C????|?ad?????A???????a????????????ѕ?? ????????????????ѕ????????????????????????????????? ?????ѕ??????????????????ѕ??????????????????ca????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????Р?????a????C????????????????????? ?????e!??a????a??A?????c??a??????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ????????|lC?????ш??????OC" NameServer="" Domain="" DhcpServer="25.0.0.1" />
http://i67.fastpic.ru/big/2014/0722/98/6d347e6e94f1cfb688e28de2de1db298.png
лог. (http://rghost.ru/57039937)

4) Не экранированные кавычки в XML логе (http://rghost.ru/57039975)

<KEYLOGGER>
<ITEM File="C:\Windows\system32\uxtheme.dll" Verdict="Реагирует на события: клавиатура
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "Область поиска")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "Антивирусная утилита AVZ")" CheckResult="-1" Size="245760" Attr="rsAh" CreateDate="14.07.2009 06:39:11" ChangeDate="13.02.2014 22:38:26" MD5="44A31726E11AD598BB1D9C30A691D06A" Vendor="Microsoft Corporation" Product="Операционная система Microsoft® Windows®" OFN="UxTheme.dll.mui" Ver="6.1.7600.16385" IsPE="1" IsDLL="1"/>
<ITEM File="C:\Windows\system32\slc.dll" Verdict="" CheckResult="-1" Size="36352" Attr="rsAh" CreateDate="14.07.2009 06:35:27" ChangeDate="03.08.2011 21:34:01" MD5="75DEBE9728CF0E1882C3D55D4DEC0C6D" IsPE="1" IsDLL="1"/>
</KEYLOGGER>

5) Опять не экранированные кавычки

<ITEM PID="1984" File="c:\windows\samsung\panelmgr\ssmmgr.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine="&quot;C:\Windows\Samsung\PanelMgr\SSMMgr exe" /autorun" Size="688128" Attr="rsAh" CreateDate="09.03.2013 14:44:42" ChangeDate="05.07.2011 22:31:59" MD5="280B622B4C4C717A9E053EAA01B38949" OFN="LaserSMMgr.EXE" Ver="3.3.0.4" IsPE="1" />
вот лог. (http://rghost.ru/57040211)

Два момента связанных с x64 системами.

1. 3 и 4 программы восстановления игнорируют настройки поиска и стартовых страниц для x64 версии IE. После применения в скрипте
ExecuteRepair(3);
ExecuteRepair(4);
и дополнительной проверки с помощью AdwCleaner часто находится, например, такое:
Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://www.sweet-page.com/web/?type=ds&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98&q={searchTerms}
Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://www.sweet-page.com/?type=hp&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98
Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://www.sweet-page.com/?type=hp&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98
Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://www.sweet-page.com/web/?type=ds&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98&q={searchTerms}

2. Windows 7 x64, не работает толком интернет. В логе видим:
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл C:\Windows\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл C:\Windows\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2

Применяем ExecuteRepair(14), в повторном логе ошибок LSP нет, но перестаёт пинговаться всё, кроме 127.0.0.1.
По логу MiniToolBox видим:
x64-Catalog9 04 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()
x64-Catalog9 05 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()
После фикса другой утилитой работа сети была восстановлена.

Опять всякий рекламный хлам попал в базу безопасных файлов. :(

1) Выполняем в AVZ скрипт


var testlog : string;
begin
testlog := (GetAVZDirectory+'test.log');
AddLineToTxtFile(testlog,#10#13+#10#13+#10#13+#10# 13+#10#13);
ExitAVZ;
end.
Открываем test.log в Hex редакторе и видим
http://i68.fastpic.ru/big/2014/0730/72/c26e5080cca2605500008ed63d94f072.png

2) В старых темах попадается уведомление

Задано сообщение, выводимое в ходе загрузки
Воспроизвёл проблему у себя, но алерта не вижу. Это бага?
http://i67.fastpic.ru/big/2014/0730/e1/49c2ae1ba2f1ebd32d70459bfe48f3e1.png
http://i67.fastpic.ru/big/2014/0730/47/898c8042bdbf747188556c05b6132347.png

PS. да и имхо не хватает проверки ещё многих политик, например блокировка контекстного меню проводника вчера попалась. (http://virusinfo.info/showthread.php?t=163894&p=1142145&viewfull=1#post1142145)

Вирус поразил explorer.exe (заявка № 164730) (http://virusinfo.info/showthread.php?t=164730) - AVZ не видит Corkow:
Полное имя C:\DOCUMENTS AND SETTINGS\A.ZUSMAN\APPLICATION DATA\DAOAM\ICFMON.ECR
Имя файла ICFMON.ECR
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CORKOW (ССЫЛКА ~ HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHE LLSERVICEOBJECTDELAYLOAD\SYSTRAY)(1) AND (ЦИФР. ПОДПИСЬ = ОТСУТСТВУЕТ ЛИБО ЕЕ НЕ УДАЛОСЬ ПРОВЕРИТЬ)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 3BD0872646000
Linker 7.0
Размер 278016 байт
Создан 06.08.2013 в 09:26:39
Изменен 06.08.2013 в 09:26:39
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Subsystem Windows character-mode user interface (CUI) subsystem
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 3884CB469F1170ADAFBC85466E7F1C1929D95243
MD5 4D0C2C90B8282A9409436BF8DB45584F

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-113050150-1033929171-1805770670-1190_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad\SysTray

(ССЫЛКА ~ HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHE LLSERVICEOBJECTDELAYLOAD\SYSTRAY)(1)
Просьба в логе AVZ убрать кнопку Удалить около этого параметра, чтобы не было соблазна его удалить вместе с вирусом
http://i68.fastpic.ru/big/2014/0813/a5/119083cf47d7f9605e850899e2e938a5.png

Просьба в логе AVZ убрать кнопку Удалить около этого параметраА еще лучше заменить ее на кнопку Исправить

А еще меня подмывает давно попросить добавить кнопку Удалить_всю_папку, что актуально для зачистки папок от множества Adware, которыми может быть завален компьютер пользователя

А еще лучше заменить ее на кнопку Исправить
Я подразумевал, что если кнопки удалить не будет, то AVZ будет знать что это системный ключ который удалять не надо и эвристик автоматом будет восстаналивать при необходимости значение этого параметра, как например это происходит с ключами винлогон.

А также мне не совсем понятно, по XML логу AVZ этот параметр вроде как и так имеет правильное значение :?

<ITEM File="C:\Documents and Settings\elena\Application Data\DAOtp\iniompos.coi" CheckResult="-1" Enabled="1" Type="REG" Size="329728" Attr="rsAh" CreateDate="19.06.2013 16:47:19" ChangeDate="19.06.2013 16:47:19" MD5="0B838072C8B1B1E1AAFA563D72E130BF" IsPE="1" IsDLL="1" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad" X3="SysTray" X4="{35CEC8A3-2BE6-11D2-8773-92E220524153}" Is64="0"
Речь идёт параметре X4="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
ps. на всякий случай вот этот лог. (http://virusinfo.info/attachment.php?attachmentid=488828&d=1407689361)

1) В логе (http://rghost.ru/57495414) есть
Результаты автоматического анализа настроек SPI
Ошибка LSP Protocol: Количество протоколов 20 не соответствует реальному 21
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 1
Возможны проблемы при работе с сетью и Интернет
Почему в низу в текстовой части слова нет ни слова об этой проблеме?

2) http://forum.kaspersky.com/index.php?showtopic=264508&view=findpost&p=2271947
Тоже подтверждаю этот баг. AVZ при формирования лога полностью игнорирует теги is64. А при удаление заданий просто проверяется разрядность системы.
Я понимаю, что команды вставляются через JavaScript заранее заготовленный при создание HTML лога, но такое чувство что XML и HTML лог создают разные утилиты и не знают об информации которую пишут во второй лог.

1) В логе есть
Результаты автоматического анализа настроек SPI
Ошибка LSP Protocol: Количество протоколов 20 не соответствует реальному 21
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 1
Возможны проблемы при работе с сетью и Интернет
Почему в низу в текстовой части слова нет ни слова об этой проблеме?
Потому что лог нужно внимательней смотреть. ;)



4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol: Количество протоколов 20 не соответствует реальному 21

Потому что лог нужно внимательней смотреть.
просмотрел, почему-то думал, что это выводится в 7-й или в 9-й секции.

1) Почему
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKCU\Software\Microsoft\Windows\CurrentVersion\Run \CMD = [cmd.exe /c start http://extendedunlimited.org && exit]опять перестало попадать в табличную часть лога со светло-жёлтым фоном? Вот ссылки на два свежих лога, в обоих свежие базы ;)
http://rghost.ru/57610840
http://rghost.ru/57610816
2) Почему в XML логе один и тот же параметр в разных секциях называется по разному? В процессах CmdLine, а в планировшике заданий FullCmd. Думаю намного удобней было бы удобней, если не было бы подобного раздвоения в именах. Просьба, если можно, в следующей версии это поправить.

Вот лог http://rghost.ru/57851495

<ITEM File="C:\Documents and Settings\All Users\Applicat" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\IePluginServices" X3="EventMessageFile" X4="C:\Documents and Settings\All Users\Applicat" Is64="0" />
<ITEM File="C:\Documents and Settings\All Users\Application" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\WindowsMangerProtect" X3="EventMessageFile" X4="C:\Documents and Settings\All Users\Application Da" Is64="0" />

Я так понимаю AVZ это так порубило Application Data :O
Правда не понятно, почему также порублено и в X4.

1)
Я так понимаю AVZ это так порубило Application Data
вот аналогичный баг Settings\Apple1\knyxi.exe (http://rghost.ru/58077186)
Из XML лога

<ITEM File="C:\Documents and Settings\Apple1\fswagz.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="C:\Documents and Settings\Apple1\fswagz.exe,explorer.exe,C:\Documen ts and Settings\Apple1\knyxi.exe" Is64="0"

2) http://rghost.ru/58077148 в очередной раз пример того, что
cmd.exe /c start http://extendedunlimited.org && exit попало только в тестовую часть лога, базы свежие на момент снятия лога.
вот (http://virusinfo.info/attachment.php?attachmentid=495351&d=1411019408) ещё один свежий пример.

3) http://rghost.ru/58077224 опять косяк с неэкранированными кавычками. Из XML лога

<ITEM PID="4628" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (c) 2012, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="533568" Attr="rsAh" CreateDate="23.08.2012 10:24:10" ChangeDate="23.08.2012 10:24:10" MD5="68B4E27EF0698FBDDD58753756C7EE6E" Vendor="NTI Corporation" Product="Acer Backup Manager" OFN="IShadowTray.exe" Ver="4.0.0.59" IsPE="1" />

Что означает такая запись?

1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка в работе антируткита [Failed to set data for 'ImagePath'], шаг [17]
Что-то блокирует работу AVZ или какая-то ошибка в самом AVZ ?
Вот лог. (http://rghost.ru/58369303)

1) На несколько постов выше уже писал, что AVZ не видит
Задано сообщение, выводимое в ходе загрузки
А сейчас такая проблема встретилась и у юзера в разделе помогите (http://virusinfo.info/showthread.php?t=167006&p=1162892&viewfull=1#post1162892). AVZ не увидел и соответственно и не смог её исправить.

2) Байду и прочую китайскую дрянь чуть ли не в каждой теме приходится вычищать, а AVZ добавил в базу чистых ;)

http://i68.fastpic.ru/big/2014/1010/b7/44683259f816bcf6ce018b25969e80b7.png

3)
,C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exeне совсем коректно распарсило

<ITEM File=",C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" Is64="0"/>
вот лог. (http://rghost.ru/58444151)

БайдуОна на движке ЛК :)

Вредонос попал в базу безопасных файлов. Этот скрипт подменяет ярлыки у браузеров.

http://virusinfo.info/showthread.php?t=168447

501913

Задано сообщение, выводимое в ходе загрузки
А сейчас такая проблема встретилась и у юзера в разделе помогите. AVZ не увидел
вот опять http://virusinfo.info/showthread.php?t=169118&p=1176858&viewfull=1#post1176858

Выполняем в AVZ скрипт ....
1. Это совершенно правильное поведение. Разделитель строк по дефолту - 0D+0A. AddLineToTxtFile записывает в файл строку, и добавляет после нее код перевода строки. В данном случае добавляемая строка "#10#13#10#13#10#13#10#13#10#13" (10 байт), плюс перевод строки 0D+0A (еще 2 байта)
2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам нужен точный список, чего не хватает (в идеале - с указанием ключей/параметров реестра), добавить не проблема

Добавлено через 3 минуты


Вредонос попал в базу безопасных файлов. Этот скрипт подменяет ярлыки у браузеров.

http://virusinfo.info/showthread.php?t=168447

501913

Там файл нулевого размера - такой не опасен, потому и "зеленый"

Добавлено через 8 минут



3)
,C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exeне совсем коректно распарсило

<ITEM File=",C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" Is64="0"/>
вот лог. (http://rghost.ru/58444151)
Формально парсер прав (запятая допустима в имени файл, не найдя файл с указанным именем он пытается вырезать explorer.exe с начала пути. Главный вопрос тут в том, допускает ли Winlogon\Shell указания нескольких программ через запятую (сейчас ключ парсится из предположения, что не допускает - сов всеми вытекающими).

Добавлено через 2 минуты


Что означает такая запись?

Что-то блокирует работу AVZ или какая-то ошибка в самом AVZ ?
Вот лог. (http://rghost.ru/58369303)

На Win 8.1 x64 это вполне нормально

Добавлено через 28 минут


1)
2) http://rghost.ru/58077148 в очередной раз пример того, что
cmd.exe /c start http://extendedunlimited.org && exit попало только в тестовую часть лога, базы свежие на момент снятия лога.
вот (http://virusinfo.info/attachment.php?attachmentid=495351&d=1411019408) ещё один свежий пример.

Фиксится через обновляемую базу, после очередного апдейта такие элементы автозапуска должны появиться в таблице отчета, подсвеченные как подозрительные

2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам
скрин который я там выкладывал в теме был с XP на ней также не видело.

- - - - -Добавлено - - - - -

и просьба просмотреть посты (http://virusinfo.info/showthread.php?t=155719&p=1134444&viewfull=1#post1134444) и на предыдущей странице.

Непонятные символы в XML
вот ещё свежий лог http://virusinfo.info/attachment.php?attachmentid=504698&d=1413977442
http://i63.fastpic.ru/big/2014/1023/d7/2500b0b3f017b5c636b0f969d52ea1d7.png

Зайцев Олег,

1) AVZ проверяет настройки прокси и выводит в лог информацию об

Но AVZ не проверяет ключ

HKLM\System\CurrentControlSet\services\NlaSvc\Para meters\Internet\ManualProxies\
например не видит такое

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies]
@="http=127.0.0.1:8080"


Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies

http://virusinfo.info/attachment.php?attachmentid=504954&d=1414069276
опять Winlogon, Shell неправильно распарсило.

<ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"

http://virusinfo.info/attachment.php?attachmentid=504954&d=1414069276
опять Winlogon, Shell неправильно распарсило.

<ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"
Пофиксил. Но без обновления самого AVZ не исправится - там логика парсера была построена исходя из предположения, что в параметре shell может быть одно значение. Я посмотрел, как реализован код в системе (на примере Win7), и оказалось, что там допускается указание нескольких исполняемых файлов, разделитель - запятая или пробел.

Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies

Зайцев Олег, похоже при этом что-то поломалось в диагностике сети. Подробней см. скрин. Оба лога сделаны на одной и той же системе. Один лог базы последний раз обновлялись до этой фичи, второй лог (где информации по ping нет) базы обновлены только что.

http://i66.fastpic.ru/big/2014/1024/b7/30fbba7c874df910ba9a8e17f2a94db7.png

- - - - -Добавлено - - - - -

форум урезает картинку, так что http://i66.fastpic.ru/big/2014/1024/b7/30fbba7c874df910ba9a8e17f2a94db7.png так смотреть удобней.

Зайцев Олег, похоже при этом что-то поломалось в диагностике сети.
В XML оно писалось как положено, но был отключен вывод данных в лог. Подправил, базы обновлены - теперь данные пишутся в лог как и ранее. Есть мысли, что еще и как следует проверять в разделе диагностики сети ?

Есть мысли, что еще и как следует проверять в разделе диагностики сети ?

Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".

Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".
Поддерживаю, иногда только из-за этого приходится дополнительные логи просить.

Зайцев Олег,
1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для примера лог. (http://rghost.ru/58723517) Это можно исправить с обновлением баз?
Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?

2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. (про этот баг кажется уже писали, но вроде он остался без внимания)..

3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.

Зайцев Олег,
1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для примера лог. (http://rghost.ru/58723517) Это можно исправить с обновлением баз?
Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?

2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. (про этот баг кажется уже писали, но вроде он остался без внимания)..

3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.
1. Это от режима поиска задания зависит (в новой версии будет выводиться в XML параметр TaskMode (1 -через API, 2б3 - напрямую разными методами) и параметр is64 - показывающий, в какой папке заданий найдено конкретное задание.

2. Добавил, теперь поддерживается.

3. Вывел в XML параметр AVZMD5 - он позволит контролировать изменения файла, и плюс позволит точно идентифицировать сборку AVZ

2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам нужен точный список,
1) Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.
2) В список проверяемых блокировок думаю стоит добавить блокировку "Отключить контекстное меню." Настраивается также через gpedit.
3) По ключу winlogon попался ещё один интересный лог http://rghost.ru/58818223

http://i67.fastpic.ru/big/2014/1031/58/a2c2466dc3aab98733823d21a315d058.png

<ITEM File=".exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Userinit" X4="""" Is64="0"/>

4)
При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах.
2. Добавил, теперь поддерживается.
Как понимаю это будет уже в следующей версии AVZ ?

5) Полиморф последний раз обновлялся 2014-06-03 может пора его обновить? Заодно и новые фичи можно было бы уже пробовать.

http://virusinfo.info/attachment.php?attachmentid=507123&d=1414844377
Адварь попала в базу чистых

c:\program files (x86)\suptab\loader32.exe
https://www.virustotal.com/ru/file/210a2a43313f4f20a98b72eec887fbbccad0c3004e5b92a4d9 68d41ed457c222/analysis/

Помогите победить вирус который не видит Доктор Веб (заявка № 170029) (http://virusinfo.info/showthread.php?t=170029) - из двух тушек зловреда в автозапуске AVZ увидел только одну.

Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.
Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
http://rghost.ru/58861838
PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.

Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
http://rghost.ru/58861838
PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.
Да, там в "пилюле" 1 был более простой алгоритм проверки и чистки, чем в визарде (поэтому с скриптах лечения я советую включать визард в режиме автоисправления проблем вместо ExecuteRepair). Я поправил работу ExecuteRepair(1), базы обновлены.
С "пилюлей №7" аналогично, подправил ее работу, базы обновлены

Добавлено через 6 минут


http://virusinfo.info/attachment.php?attachmentid=507123&d=1414844377
Адварь попала в базу чистых

c:\program files (x86)\suptab\loader32.exe
https://www.virustotal.com/ru/file/210a2a43313f4f20a98b72eec887fbbccad0c3004e5b92a4d9 68d41ed457c222/analysis/
А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)

Добавлено через 2 минуты


Помогите победить вирус который не видит Доктор Веб (заявка № 170029) (http://virusinfo.info/showthread.php?t=170029) - из двух тушек зловреда в автозапуске AVZ увидел только одну.
Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?

Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?

Вроде как обычный:

HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run \Qinanq
Возможно, зловред как руткит работает, UVS выдал:
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
(!) Обнаружен сплайсинг: LdrLoadDll
(!) Обнаружен сплайсинг: NtEnumerateValueKey
После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.

А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)
Это за доказательство, что программа нежелательная сойдёт? https://www.google.com/search?ie=UTF-8&oe=UTF-8&q=SupTab&gws_rd=ssl
и речь ведь всего-лишь о том, чтобы убрать из базы чистых.

Это за доказательство, что программа нежелательная сойдёт? https://www.google.com/search?ie=UTF-8&oe=UTF-8&q=SupTab&gws_rd=ssl
и речь ведь всего-лишь о том, чтобы убрать из базы чистых.
как доказательство - нет, так как такое к каждой второй (если не первой) тулбари годится (начиная с приблуд от mail.ru :) Но выкинуть из БД чистых не вопрос, нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )

Добавлено через 9 минут


Вроде как обычный:

HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run \Qinanq
Возможно, зловред как руткит работает, UVS выдал:
После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.
Юзер не все логи сделал. В его логе видно:
Функция ntdll.dll:NtEnumerateValueKey (298) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:NtQueryDirectoryFile (403) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Функция ntdll.dll:ZwEnumerateValueKey (1527) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:ZwQueryDirectoryFile (1631) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:ZwResumeThread (1712) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Но нет отметок о снятия перехвата, так как по умолчанию для минимизации глюков и конфликтов с антивирусами на Win7 антируткит AVZ работает без нейтрализации хуков.

Зайцев Олег, а что по поводу пунктов 4 и 5 тут http://virusinfo.info/showthread.php?t=155719&p=1181576&viewfull=1#post1181576
Я правильно, понял, что правки относящие is64 появятся, только в новой версии?
-------------------

начиная с приблуд от mail.ru
ну, по ним хоть ссылки для скачивания можно найти. А это в гугле искал, чтобы проверить есть ли детекты у каспера (по одной ссылке про это писали), а там везде только вопросы как удалить. И как доказательство вредности согласен не годится, а как доказательство "нежелательной программы", которую стоит видеть в логах и самому принимать решение ;).
На вопрос про детект вы уже сами ответили, а также как понимаю это уже доказательство

AdWare.Win32.Agent.aljt

нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )
Зайцев Олег, кибер ведь понимает, что эти файлы (библиотеки, драйвера и т.д.) от одной программы? При этом он также видит, что на некоторые из файлов этой программы есть детект. Почему же он тогда добавляет другие части этой программы в базу доверенных? Ещё один пример с такой адварой когда кибер занёс её в базу, но детект на некоторые из её файлов был это Ace Stream.

Зайцев Олег, кибер ведь понимает, что эти файлы (библиотеки, драйвера и т.д.) от одной программы? При этом он также видит, что на некоторые из файлов этой программы есть детект. Почему же он тогда добавляет другие части этой программы в базу доверенных? Ещё один пример с такой адварой когда кибер занёс её в базу, но детект на некоторые из её файлов был это Ace Stream.
Машина многое понимает, но скажем в Ace Stream 1-2 файла адварные (он таскает адварь в своем составе), остальное - собственно Ace Stream. Вот и вопрос - все файлы Ace Stream признать адварью, или только часть (причем скорее всего если эту часть прибить, все остальное работать не будет). Другая проблема - это подход к понятию "чистый" (аналогичный проблемы классификации можно кстати видеть и на WL портале ЛК). Суть проблемы в том, что многие адвари в общем-то безопасные, т.е. они ничего не воруют, не уничтожают и не заражают. Подавляющее большинство ставятся с чем-то легитимным по причине того, что пользователь не снял где-то птичку или невнимательно читал условия распространения.

Подавляющее большинство ставятся с чем-то легитимным по причине того, что пользователь не снял где-то птичку или невнимательно читал условия распространения.
У этого подавляющего большиства адварь (тулбар или что там идёт в комплекте) не имеет ничего общего с самой программой. То есть это партнёрская программа со сторонним производителем. В таких случаях, думаю, правильней весь этот бонус от неснятой галочки считать адварью, а не только отдельную .dll, то есть в базу чистых заносить не надо.

Юзер не все логи сделал. В его логе видно:
Функция ntdll.dll:NtEnumerateValueKey (298) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:NtQueryDirectoryFile (403) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Функция ntdll.dll:ZwEnumerateValueKey (1527) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:ZwQueryDirectoryFile (1631) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:ZwResumeThread (1712) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Но нет отметок о снятия перехвата, так как по умолчанию для минимизации глюков и конфликтов с антивирусами на Win7 антируткит AVZ работает без нейтрализации хуков.

Так, Олег, поподробнее можно? Какие ещё логи в AVZ нужно было сделать?

Зайцев Олег, просьба сделать, чтобы ExecuteFile (http://z-oleg.com/secur/avz_doc/index.html?script_executefile.htm) возвращала вместо boolean больше значимой информации. В частности возращала код ошибки, если запускаемая ею программа завершилась с ошибкой. А также возвращала какой-то код ошибки, если запускаемая программа была принудительно принудительно завершена по истечению таймаута.

Зайцев Олег, просьба сделать, чтобы ExecuteFile (http://z-oleg.com/secur/avz_doc/index.html?script_executefile.htm) возвращала вместо boolean больше значимой информации. В частности возращала код ошибки, если запускаемая ею программа завершилась с ошибкой. А также возвращала какой-то код ошибки, если запускаемая программа была принудительно принудительно завершена по истечению таймаута.
Так пойдет ?

begin
ExecuteFile('notepad.exe', '', 1, 10000, true);
AddToLog(IntToStr(GetLastExitCode));
end.
Где GetLastExitCode вернет:
- код возврата процесса, если процесс нормально завершился,
- $FFFFFFFF - если была ошибка запуска и процесс не запустился вообще (или не было вызовов ExecuteFile)
- $FFFFFFFE - если процесс запустился и был прибит по таймауту
Если да, то в новой версии это появится, я добавил такую функцию

Олег, а можно еще одну просьбу.

По мотивам темы http://virusinfo.info/showthread.php?t=169474

Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.

AVZ не внёс в лог задачу запуска майнера: помогите невозможно сидеть за компьютером (заявка № 170535) (http://virusinfo.info/showthread.php?t=170535).

Доп. информация на момент обновления списка
pid = 3820 Радж-ПК\Радж
CmdLine C:\Users\Радж\AppData\Roaming\WinRAR\Reversed\stea m.exe overbtc12345.
Процесс создан 20:41:32 [2014.11.10]
С момента создания 00:36:45
parentid = 1188 C:\WINDOWS\SYSTEM32\TASKENG.EXE
ESTABLISHED 192.168.1.5:53249 <-> 5.61.33.146:9001
CmdLine OVERBTC12345.
SHA1 9C8934B69A6037BF7011E5DAD119C5F3B4594545
MD5 0FEBF83DF0A27B75050235D03C44F065

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\STEAM-S-1-8-22-9865GUI

И хотелось бы всё-таки увидеть ответ на ранее заданный вопрос, о том, что ещё надо было сделать, чтобы руткит был виден AVZ. 1-й стандартный перед вторым?

- - - - -Добавлено - - - - -


Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.

Поддерживаю, сам мучаюсь...

Олег, а можно еще одну просьбу.

По мотивам темы http://virusinfo.info/showthread.php?t=169474

Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.
Хорошо, а если сделать так - в скрипте делается поддержка возможности "импорта" пользовательских библиотек. Т.е. типа :
uses vi;
begin
...
end.

Библиотека лежит в обновляемых базах, и содержит функции, которые помогают хелперам автоматизировать что-то (типа той самой DeleteDirectoryF). Тогда набор поддерживаемых функций можно менять и обновлять, не обновляя самого AVZ, только за счет баз

Можно и так

Зайцев Олег, а описание этих функций будет в справке к AVZ ? Вставлять в скрипт их надо будет вручную либо через редактор скриптов? Тогда надо сделать ещё поддержку такой обновляемой базы и в редакторе скриптов. (Отдельно возможность подключать свои пользовательские функции без привязки к базам AVZ там есть и сейчас).

Зайцев Олег, а описание этих функций будет в справке к AVZ ? Вставлять в скрипт их надо будет вручную либо через редактор скриптов? Тогда надо сделать ещё поддержку такой обновляемой базы и в редакторе скриптов. (Отдельно возможность подключать свои пользовательские функции без привязки к базам AVZ там есть и сейчас).
Если это будет библиотека, то по ней будет отдельный хелп. Просто идея библиотека (а там в библиотеку можно функции затолкать, или класс) хороша тем, что ее можно развивать/документироать/тестировать отдельно, а главное - обновлять через базы

1) Если изменения будут только в ввиде улучшения в ходе тестирования функции, то тогда понятно. А если через базы туда будут добавляться новые функции, то не несовсем понятно, как это будет документировано. Конечно после обновления баз вы можете обновить хелп на сайте, но многие и не догадаются, что после обновления баз и в хелпе что-то поменялось.
+ Если это выполняется на сайте, то тут хелперы следят и просят обновить базы. А так если добавить новую команду, то может посыпаться много сообщений об ошибках, что мол версия AVZ последняя (только что скачал с оф. сайта), а скрипт выдаёт ошибку. Или к примеру юзео обновлял базы пару дней назад, а за это время эта библиотека обновилась.

2) Дампы падения AVZ (http://rghost.ru/59161125). Через форму на сайте загрузил, но на всякий случай дублирую сюда. Скорее всего конфликт с драйвером Sandboxie.

http://rghost.ru/59200273
Неправильно распарсило задание.
http://i68.fastpic.ru/big/2014/1122/ac/6fc4d33b9eedbd79e9108de56b87caac.png


<ITEM File="C:\Users\?????????\AppData\Roaming\CCMM.exe /infocmdline=xN2W9w+J6Pr7gDyjJILpbSqrARKrQ6L8mPYwep JxCQZ0C6aUhVUdTWORgb8WLdduHAW5uEv0IJT/toJ+k1gpMGuW4kPP1Di4Ts9EwOQAtUCFD8dEjPfnwpKkYL0JNZ qotoFFV0ZrXTF4rbJtYGzse2RepT6da6wD/PSKxAy2v+CRsBFRZWHdAhwoNdM9RQg/VB3T8wkhH856eqgFkeYO/B3n92COP0Uybhdw6295LOCH3wAsXxAIGzxbVeeDxyHY99R+cqJ/VuTjyZachXHjL++7FDLbfA0P2pIiyUuOwGgo85zYgt6GDFBXO9 LWNtVX88tn6SFkiWthISpmc/n+fWgLc5cH350adg/jEXX4+5Z6eSTAgNLNIAoP9b9BtxU/qiJIabZW7I6GoH/BI2o/E3bR0GOAlOiCSfNgo+hel55DM2paxICHGq66mKjyf8MKWLOLLC Cod2QdYM2lgHIZKAQOhDNbOmuDHP8Kws9/eZBttlFeOxLKJdccjCTs46Vb" JobName="CCMM.job" Status="267011" CheckResult="-1" Enabled="3367648" Descr="" LegalCopyright="" SHPath="" FullCmd="C:\Users\?????????\AppData\Roaming\CCMM.exe /infocmdline=xN2W9w+J6Pr7gDyjJILpbSqrARKrQ6L8mPYwep JxCQZ0C6aUhVUdTWORgb8WLdduHAW5uEv0IJT/toJ+k1gpMGuW4kPP1Di4Ts9EwOQAtUCFD8dEjPfnwpKkYL0JNZ qotoFFV0ZrXTF4rbJtYGzse2RepT6da6wD/PSKxAy2v+CRsBFRZWHdAhwoNdM9RQg/VB3T8wkhH856eqgFkeYO/B3n92COP0Uybhdw6295LOCH3wAsXxAIGzxbVeeDxyHY99R+cqJ/VuTjyZachXHjL++7FDLbfA0P2pIiyUuOwGgo85zYgt6GDFBXO9 LWNtVX88tn6SFkiWthISpmc/n+fWgLc5cH350adg/jEXX4+5Z6eSTAgNLNIAoP9b9BtxU/qiJIabZW7I6GoH/BI2o/E3bR0GOAlOiCSfNgo+hel55DM2paxICHGq66mKjyf8MKWLOLLC Cod2QdYM2lgHIZKAQOhDNbOmuDHP8Kws9/eZBttlFeOxLKJdccjCTs46Vb" />

Олег, бывают случаи, когда то, о чем написано выше, парсится нормально, бывает, что именно так, как показано, а бывает и вообще ассорти :)

Олег, бывают случаи, когда то, о чем написано выше, парсится нормально, бывает, что именно так, как показано, а бывает и вообще ассорти :)
Все зависит от того, найдется ли файл на диске. Если да, парсинг будет похож на правду, если нет - то у парсера нет понимания, правильно пропарсился путь/имя и файла нет, или файл есть, но парсинг некорректен.

Но, может быть хоть самые очевидные варианты не коверкать? Через 2 лога на 3-м встречается такое - отсутствующий файл C:\Program Files (x86)\DVD Maker\DVDMaker.exe в автозагрузке попадает в лог, как два объекта:
C:\Program Files (x86)\DVD
и
Maker\DVDMaker.exe
с одним ключом реестра:

HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Applica tion\Dvd Maker, EventMessageFile
Понятно же, что путь с пробелом.

Все зависит от того, найдется ли файл на диске. Если да, парсинг будет похож на правду, если нет - то у парсера нет понимания, правильно пропарсился путь/имя и файла нет, или файл есть, но парсинг некорректен.При этом почему-то в пути вместо учетки с кириллическими символами в логе знаки "?"
Хотя другие пути с подобным отображаются нормально.


Но, может быть хоть самые очевидные варианты не коверкать?Олег, может дельфийскую процедуру ExtractStrings использовать для реализации? Или это невозможно?

По поводу парсинга имён напомню, что этот глюк до сих пор не исправлен

http://i67.fastpic.ru/big/2014/1128/44/76be579157a6237cd703bb8cb92b6544.png

В этом логе (http://virusinfo.info/attachment.php?attachmentid=514075&d=1417257979), зеркало если вдруг юзер удалит. (http://rghost.ru/59328592)
Имя пользователя ProfileDir="C:\Users\Losos'"
А при генерации команд по HTML логу эта одинарная кавычка куда-то исчезает.

Олег, приветствую.
В логах, в разделе планировщика заданий, в колонке Имя файла,
файл с путем отображается как простой текст.
Можно сделать как например в разделе Автозапуск, что бы при наведении мышью на него выпадала всплывающая подсказка с информацией о файле?

А ещё неплохо бы приравнять задания к прочему автозапуску и чистить их сисклином.

Можно в 22 твик еще добавить очистку этого ключа реестра?


7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "0http://ertaco.com/cols/accepted2.ruo"



Полное имя 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Имя файла 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Тек. статус ПОДОЗРИТЕЛЬНЫЙ

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Para meters\Internet\ManualProxies\
0http://ertaco.com/cols/accepted2.ruo

mike 1, так можно сказать из-за этого ключа эта таблетка и появилась :) http://virusinfo.info/showthread.php?t=155719&p=1177844&viewfull=1#post1177844
Проблема в том, что вирус постоянно восстанавливает эту настройку.

regist 22 таблетка не смогла сбросить эту надстройку, да и самого вируса уже не было, который добавляет эту надстройку.

1)
не смогла сбросить эту надстройку
не смогла и не проверяет этот ключ это немного разные вещи.
2)
да и самого вируса уже не было
этот настройка сама по себе вирус по класификации ЛК Trojan.Multy.Proxy.Changer, по этому адресу находится JS скрипт который меняет настройки прокси.

- - - - -Добавлено - - - - -

Сейчас проверил работу таблетки на этом твике (http://virusinfo.info/showthread.php?t=155719&p=1177917&viewfull=1#post1177917), значение параметра было обнулено. Так что этот ключ обрабатывает. А почему не смогло сбросить это уже другой вопрос.

thyrex, уже несколько раз замечал, что для того чтобы AVZ перескочил к нужной ветке реестра надо сделать несколько попыток. Для наглядности записал видео. (http://rghost.ru/59548926)

Было бы удобней, если рядом с названием ОС
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Home Premium" ещё выводилась разрядность системы.

Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.

1) http://i66.fastpic.ru/big/2014/1216/f1/4ce885a9faed1a3acf11adb54b626bf1.png
http://rghost.ru/59703688
Экспорта реестра к сожалению нет, но итак понятно, что там должен быть xerox почему AVZ решило его так обрезать, не понятно. Или у кибера появилось чувство юмора?

2) http://rghost.ru/59703791
Мобоген (https://www.virustotal.com/ru/file/6e8bb755e04972dedd627c90ed29bf9e3af267838cac8862ee 28974758c8f739/analysis/) опять попал в белый (зелёный) список.

3) http://rghost.ru/59703848 - скорее всего AVZ неправильно распознал юникодное имя файла (предполагаю, что оно было иероглифами)
3.1)
По HTML логу вставляется в скрипт команды

begin
QuarantineFile('C:\Documents and Settings\4<8=8AB@0B>@\Local','');
DeleteFile('C:\Documents and Settings\4<8=8AB@0B>@\Local','32');
end.
AVZ ругается на синтаксис.
3.2) В XML логе также ошибки
http://i64.fastpic.ru/big/2014/1216/be/01b0f60317ef031423061730c02e8ebe.png
http://i66.fastpic.ru/big/2014/1216/af/2880e78a56695d2257ca8e02fc75ddaf.png

http://virusinfo.info/attachment.php?attachmentid=518718&d=1419241150 опять косяк с экранированием кавычек.
Строка №5

<ITEM PID="6864" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="05.01.2012 13:21:44" ChangeDate="05.01.2012 13:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />

Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.
Собственно, AVZ изначально и появился как сетевой :) А потом к нему был приделан GUI (изначально попросту секции лога в XML шли на сервер, оттуда в ответ - скрипты). Но это неудобно, так как нужно держать запущенного агента AVZ все время и иметь постоянную IP достижимость до сервера, на сервере нужна серьезная БД, некий GUI.... Сейчас в КВС все проще - скрытно запускается AVZ (rexec, доменная политика, агентом антивируса или через управляемое через домен задание планировщика), он собирает логи и карантины невидимо для пользователя и шлет по FTP на сервер админам. Там все это изучается (вручную, автоматом, полуавтоматом), и если нужно, идет формирование и запуск скрипта тем же образом. Но в КВС такие фокусы, как запуск толком не проверенных скриптов во время работы пользователя - весьма опасная затея, потому практикуется редко, например в случае лечения эпидемий.

http://virusinfo.info/showthread.php?t=176254

Adware попало в базу чистых файлов. :(



O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll


http://i.imgur.com/aUEV4ZF.png

https://www.virustotal.com/ru/file/dd1517b569a8403848a3122ad05ab5c308c7c4f139af23a689 4adefaa61f2d85/analysis/ (правда в моем случае хэш md5 может быть другим)

Навеяно в очередной раз темой http://virusinfo.info/showthread.php?t=177699, где пришлось собирать скрипт несколько раз

Олег, Вас уже просили, чтобы в логах файлы в секциях

Модули пространства ядра
Автозапуск
Модули расширения Internet Explorer (BHO, панели ...)
Подозрительные объекты
+ загруженные dll под списком процессов шли без подчеркивания и не срабатывали как ссылки, которые обнуляют скрипт и приходится все повторять заново

Зайцев Олег,
1) http://rghost.ru/7zw4SFHHV
Опять косяк с экранирование кавычек. Строка: 30, Символ: 334

<ITEM PID="5768" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine="&quot;C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE&quot; /n &quot;C:\Users\kapustin.es\AppData\Local\Temp\Rar$DI67. 288\Отчет за сентябрь 2014.docx /o """ Size="1922712" Attr="rsAh" CreateDate="21.01.2015 14:59:54" ChangeDate="21.01.2015 14:59:54" MD5="1E8A06F4AB44FAA82935D22C93BD9EAB" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4693.1000" IsPE="1" />

2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)
К примеру в логе FRST это выглядит так

Task: {4A2EEFCC-1E14-49F5-8E9C-4E4111DDB3BD} - \chrome5_logon No Task File <==== ATTENTION
Task: {91E48151-635F-4E70-8053-3FBBC357C6AF} - \chrome5 No Task File <==== ATTENTION
Task: {B56BE3D5-B911-47D1-A4E8-D4789C7F749D} - \SystemScript No Task File <==== ATTENTION
После удаления этих ошмётков часто и проблема юзера уходит.
Возможно эта бага связана как раз с тем, что составление скрипта AVZ по логу AVZ не учитывается разрядность (на x64 ситемах всегда вставляется этот параметр независимо от того нужно отключать редирект или не нужно).

PS. и полиморф не помешало бы обновить. С начала Июня там базы не обновлялись ;). А раньше как минимум раз в месяц пересобирался.

2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)
Свежий случай на другом форуме thyrex, по логу AVZ написал команды для удаления

DeleteFile('C:\Windows\system32\Tasks\chrome5','64 ');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logo n','64');

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('WindowsMangerProtect', 4);
TerminateProcessByName('c:\programdata\windowsmang erprotect\protectwindowsmanager.exe');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\123\AppData\Roaming\UPDAT E~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\programdata\windowsmangerprotec t\protectwindowsmanager.exe','');
DeleteFile('c:\programdata\windowsmangerprotect\pr otectwindowsmanager.exe','32');
DeleteFile('C:\Users\123\AppData\Roaming\UPDATE~1\ UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64 ');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logo n','64');
DeleteService('WindowsMangerProtect');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
В свежих логах AVZ в планироващике задания этого задания нет, а в позже запрошенных логах AdwCleaner (by Xplode) оно видно ;)

***** [ Scheduled tasks ] *****

Task Found : chrome5
Task Found : chrome5_logon

В карантинах кибера эта малварь (InstallAddons.exe запускающийся через такие задания) вроде должна быть.

Провел эксперимент в теме http://virusinfo.info/showthread.php?t=177840

При составлении скрипта параметр при удалении заданий вручную сменил на 32 вместо предлагаемого 64. Случайно пропустил для одного задания, и в итоге запись от него все равно осталась в логе Addition.txt :O

Вот такую подмену ярлыков

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (2).lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\mozilla firefox\firefox.bat"] -> start "" /I /B /D "c:\PROGRA~2\MOZILL~1\" "c:\PROGRA~2\MOZILL~1\firefox.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\users\user\appdata\local\yandex\yandexbrowser\a pplication\browser.bat"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC ~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC ~1\browser.exe" -- hxxp://search-poysk.ru

>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вконтакте.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\opera\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\opera\" "c:\PROGRA~2\opera\launcher.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Yandex\Yаndех.lnk" -> ["C:\Users\user\AppData\Local\Yandex\YandexBrowser\A pplication\browser.bat" => --load-and-launch-app="C:\Program Files (x86)\Common Files\{37B535B0-B061-4F4E-AD6E-6D8458269203}\0.8"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC ~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC ~1\browser.exe" -- hxxp://search-poysk.ruутилита не видит

2015-03-01 12:25 был обновлён полиморфный AVZ


1. В описании процессов и DLL ссылки удалены, сведения по файлу вынесены в столбец с описанием файла (для DLL это ранее был столбец с MD5)

2. В всех остальных секциях ссылки удалены, а то, что выводилось в них, выводится более мелким шрифтом под именем файла

3. Важные моменты в данных по файлу (создан с пределах последних 2 недель, атрибуты "скрытый" и "системный") выделяются цветом и жирностью, чтобы сразу бросалось в глаза

4. Добавлены сведения по файлам в планировщике заданий (ранее их не было)

5. Добавлен нормальный парсинг имен файлов и фильтрация по базе чистых в менеджере протоколов (ранее почему-то он там не был подключен)


в обычной версии
Добавил пилюлю №23. Она делает резервную копию политик Google, после чего уничтожает их из реестра в HKLM и HKCU (базы уже вышли, после обновления данная пилюля появится в списке доступных)

Здравствуйте, Олег !



Версия Windows: 6.2.9200, "Windows 10 Pro Technical Preview" ; AVZ работает с правами администратора
http://forum.oszone.net/post-2478143.html#post2478143

Здесь неверно определило название ОС.
Можно ли сделать что-то наподобие этого:




Select Case MajorMinor_
Case 10
OSName_ = "Windows 10" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
Case 6.4
OSName_ = "Windows 10 Technical Preview" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
Case 6.3
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 8.1"
Else
OSName_ = "Windows Server 2012 R2"
End If
Case 6.2
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 8"
Else
OSName_ = "Windows Server 2012"
End If
Case 6.1
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 7"
Else
OSName_ = "Windows Server 2008 R2"
End If
Case 6
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows Vista"
Else
OSName_ = "Windows Server 2008"
End If
Case 5.2
If GetSystemMetrics(SM_SERVERR2) Then
OSName_ = "Windows Server 2003 R2"
ElseIf osi.wSuiteMask And VER_SUITE_STORAGE_SERVER Then
OSName_ = "Windows Storage Server 2003"
ElseIf osi.wProductType = VER_NT_WORKSTATION And Bitness_ = "x64" Then
OSName_ = "Windows XP"
Edition_ = "Professional"
Else
OSName_ = "Windows Server 2003"
End If
Case 5.1
OSName_ = "Windows XP"
If osi.wSuiteMask = VER_SUITE_PERSONAL Then
Edition_ = "Home Edition"
Else
Edition_ = "Professional"
End If
Case 5
OSName_ = "Windows 2000"
If osi.wProductType = VER_NT_WORKSTATION Then
Edition_ = "Professional"
Else
If osi.wSuiteMask And VER_SUITE_DATACENTER Then
Edition_ = "Datacenter Server"
ElseIf osi.wSuiteMask And VER_SUITE_ENTERPRISE Then
Edition_ = "Advanced Server"
Else
Edition_ = "Server"
End If
End If
Case Else
OSName_ = "Windows Unknown" & "(ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
End Select

Можно ли сделать что-то наподобие этого:

Dragokas, как раз из-за этого и просили добавить в лог название ОС, что по билдам вечно была путаница. Так что пользы будет меньше чем сейчас. Если менять, то чтение ключа реестра на определение через WinAPI.

regist, спасибо за поправку. Я как раз и подразумевал, что Major / Minor также должен браться не из реестра,
а через функцию GetVersion или GetVersionEx. При этом в манифесте приложения нужно обязательно прописать совместимость с Windows 8/8.1/(10), иначе 8.1. определится как 8.0).
А название определяется именно по этим параметрам. Более родного способа нет.

Только у этого способа есть один минус, если выйдет новая версия ОС (а майкрософт последнее время с этим зачастила) то пока не выйдет новая версия AVZ будет написано unknown версия. А учитывая частоту выхода новых версий AVZ это не очень радует. Правда зато не будет недоразумений со всякими сборками и просто любителями поправить в реестре название ОС.

Опять косяк с экранированием кавычек. (http://rghost.ru/8FdRwTz7q)

<ITEM PID="4860" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2010, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="297280" Attr="rsAh" CreateDate="09.03.2011 18:10:04" ChangeDate="09.03.2011 18:10:04" MD5="EC124B84101FEC0A7D6745ED5DD91AD6" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.90" IsPE="1" />

На Windows 8 / 8.1 всегда пишет, что:
">> Таймаут завершения служб находится за пределами допустимых значений"

Здравствуйте, Олег !

http://forum.oszone.net/post-2478143.html#post2478143

Здесь неверно определило название ОС.
Можно ли сделать что-то наподобие этого:

Можно - и придется постоянно править потом ... как вариант, можно такой код вытащить в обновляемую базу, и по мере появления новых комбинаций версий/подверсий обновлять базу

Добавлено через 25 секунд


Опять косяк с экранированием кавычек. (http://rghost.ru/8FdRwTz7q)

<ITEM PID="4860" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2010, NTI Corporation. All rights reserved." Hidden="0" CmdLine=""C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="297280" Attr="rsAh" CreateDate="09.03.2011 18:10:04" ChangeDate="09.03.2011 18:10:04" MD5="EC124B84101FEC0A7D6745ED5DD91AD6" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.90" IsPE="1" />
В полиморфе или в публичной версии ?

Добавлено через 27 минут


На Windows 8 / 8.1 всегда пишет, что:
">> Таймаут завершения служб находится за пределами допустимых значений"
А что там в ключике HKLM\SYSTEM\CurrentControlSet\Control, параметр 'WaitToKillServiceTimeout' ? Я посмотрел на тестовой системе, там параметр 5000, что в принципе мало конечно ...

В полиморфе или в публичной версии ?
в публичной.

Опять косяк с экранированием кавычек. (http://rghost.ru/8FdRwTz7q)
это кликабельно и там архив с логами.

Можно - и придется постоянно править потом ... как вариант, можно такой код вытащить в обновляемую базу, и по мере появления новых комбинаций версий/подверсий обновлять базу

Как вариант, если выйдет новая версия, то вместо Windows Unknown перейти к "старой" ветви кода (прочесть эти данные из реестра).


А что там в ключике HKLM\SYSTEM\CurrentControlSet\Control, параметр 'WaitToKillServiceTimeout' ? Я посмотрел на тестовой системе, там параметр 5000, что в принципе мало конечно ...
Мало, согласен. Но не изменяет того факта, что для них это дефолт.
Win 8 x32 - 5000
Win 8.1 x64 - 5000
Win 10 Tech Preview x32 (10.0.9926) - 5000

Зайцев Олег, уже несколько раз при попытке заархивировать карантин AVZ через просмотр карантина (GUI) наблюдал такую ошибку

http://i68.fastpic.ru/big/2015/0327/4a/ac086ff95338a85d7ba05d2ad8ad164a.png

НА выходе вместо архива virus.zip получаем virus.Z01
Если протестировать его на ошибки, то требует следующий том.
При нажатие Ок и повторной попытке заархивировать, архивируется уже нормально.

Зайцев Олег, Здравствуйте Олег! Не выполняется ни один скрипт в AVZ (пробовал как любой стандартный, так и произвольный с удалением одного файла), каждый раз ошибка "Неверный блок на устройстве \\device\harddisk5\DR5", к компьютеру подключен картридер, думаю дело в нем. Возможно ли это исправить?
Прикладываю скриншот, на нем видно что картридер в AVZ определяется, в мой компьютер тоже виден и в диспетчере устройств виден. Кстати, если на ошибке нажимать Отмена Повторить или Продолжить то ошибка появляется снова.550542

thyrex, уже несколько раз замечал, что для того чтобы AVZ перескочил к нужной ветке реестра надо сделать несколько попыток.
Зайцев Олег, хочу предложить Вам сделать этот алгоритм более надежным и быстрым.
Редактор реестра умеет сам открывать в нужном (ранее сохраненной позиции) разделе.
Так что:
1) Проверка - если есть процесс regedit.exe -> убиваем.
2) Узнаем язык отображения диалоговых окон:

lcode = oShell.RegRead ("HKCU\Software\Microsoft\Windows\CurrentVersion\Con trols Folder\Presentation LCID")
и язык установки ОС:

lcode = oShell.RegRead ("HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language \InstallLanguage")
3) Определяем нужный префикс по такой логике:

lcode = GetInterfaceLangCode()
if lcode <> 0 then
if lcode = 1033 then CompPrefix = "Computer\" else CompPrefix = "Компьютер\"
else
if GetOSInstallLangCode() = "0409" then CompPrefix = "Computer\" else CompPrefix = "Компьютер\"
end if
4) Префикс вместе с полным именем куста и путем ключа, где нужно открыть редактор реестра подставляем сюда:

rData = "HKEY_CURRENT_USER\Environment" '<----- какой-нибудь ключ (только ключ, не параметр !!!)
oShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\App lets\Regedit\Lastkey",CompPrefix & rData,"REG_SZ"
5) Запускаем regedit
6) Дальше Ваша часть кода, с помощью которой Вы подсвечиваете сам параметр.

С уважением.

- - - - -Добавлено - - - - -

Подумал, наверное, слишком сложно написал.
HKCU\Software\Microsoft\Windows\CurrentVersion\App lets\Regedit => Lastkey
здесь хранится инфа о последнем разделе, в который заходили, с момента закрытия редактора реестра, например:
значение = Компьютер\HKEY_CURRENT_USER\Environment
Чтобы узнать как называется префикс, достаточно прочитать его из этого же параметра Lastkey и распарсить до знака \.