PDA

Просмотр полной версии : Вышла новая версия антивирусной утилиты AVZ - 4.45



Зайцев Олег
04.09.2015, 14:04
Вышла новая версия антивирусной утилиты AVZ - 4.45. Архив с утилитой содержит базы от 4.09.2015 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 394 микропрограммы эвристики, 9 микропрограмм ИПУ, 339 микропрограммы поиска и устранения проблем, 759074 подписей безопасных файлов.

Основные модификации:
[++] Расширена диагностика сети
[++] В HTML протоколе удалено форматирование имен файлов в виде ссылок, отображаемые ранее в всплывающем хинте сведения о файле статически помещены в отчете. Изменение сделано для всех визардов
[++] Модернизированы визарды чистки системы, поиска и устранения проблем (добавлены новые операции, устранен ряд ошибок)
[++] Скрипт-язык - поддержка работы с архивами из скриптов, функции ZIP_CreateArchive (http://z-oleg.com/secur/avz_doc/script_zip_createarchive.htm) и ZIP_ExtractArchive (http://z-oleg.com/secur/avz_doc/script_zip_extractarchive.htm)
[++] Скрипт-язык - поддержка проверки прав пользователя, функции IsAdmin (http://z-oleg.com/secur/avz_doc/script_isadmin.htm) и IsElevated (http://z-oleg.com/secur/avz_doc/script_iselevated.htm)
[++] Скрипт-язык: финкция GetLastExitCode (http://z-oleg.com/secur/avz_doc/script_getlastexitcode.htm)для определения кода возврата запущенного процесса
[++] Скрипт-язык: функция GetComputerDomain (http://z-oleg.com/secur/avz_doc/script_getcomputerdomain.htm) для определения домена ПК, GetHostByName (http://z-oleg.com/secur/avz_doc/script_gethostbyname.htm)и Ping (http://z-oleg.com/secur/avz_doc/script_ping.htm) для диагностики сети
[++] Скрипт-язык: процедуры AddQuarantineFilter (http://z-oleg.com/secur/avz_doc/script_addquarantinefilter.htm) и ClearQuarantineFilter (http://z-oleg.com/secur/avz_doc/script_clearquarantinefilter.htm) для фильтрации помещаемых в карантин файлов
[++] Скрипт-язык: функция GetAVZDBDate (http://z-oleg.com/secur/avz_doc/script_getavzdbdate.htm) для получения даты и времени сборки базы AVZ в целом, или ее отдельных компонент
[++] Доработан парсер имен файлов
[+] Добавлена процедура чистки 23 - удаление политик Google, создаваемых в реестре вредоносными программами
[+] Добавлены сведения по файлам в планировщике заданий
[+] Добавлен параметр QrPWD (http://z-oleg.com/secur/avz_doc/t_commandlinespec.htm), позволяющий задать нестандартный пароль, используемый при архивации карантина
[+] При выявлении синтаксической ошибке в скрипте курсор перемещается на место ошибки
[--] Исправлена ошибка, приводящая в ряде случаев к неправильной работы переменной %allusersprofile% в скрипте
[--] Устранен сбой формирования протокола исследования системы при анализе файла с поврежденной структурой VersionInfo
[--] Исправлен ряд ошибок в работе визардов поиска и устранения проблем
[--] Исправлена ошибка работы функции удаления ключей реестра (не учитывалось состояния редиректора)
[--] Исправлена ошибка с обнаружением предположительно скрытых процессов на серверных и x64 системах
[--] Исправлена ошибка, приводящая к обнаружению предположительно скрытых процессов
[-] Исправлена ошибка с экранированием кавычек в XML логе (в некоторых случаях экранировались не все двойные кавычки)
[-] Исправлена ошибка в менеджере протоколов - не работал парсер имен файлов


Страница загрузки (http://www.z-oleg.com/secur/avz/download.php)

chinaski
21.09.2015, 18:44
Ошибка с картридером исправлена, спасибо!

Samuray87
02.10.2015, 12:01
При выполнении 3го стандартного скрипта AVZ зависает с ошибкой.
Имя сбойного приложения: avz.exe, версия: 4.45.0.94, метка времени: 0x2a425e19
Имя сбойного модуля: unknown, версия: 0.0.0.0, метка времени: 0x00000000
Код исключения: 0x00000000
Смещение ошибки: 0x00000000
Идентификатор сбойного процесса: 0x24a8
Время запуска сбойного приложения: 0x01d0fcef10c0f945
Путь сбойного приложения: C:\Users\it-03\Desktop\От вирусов\avz4\avz4\avz.exe
Путь сбойного модуля: unknown
Идентификатор отчета: aba7fc6b-76e9-4de5-aab2-5153403a6962
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом: Закрыть можно только через диспетчер.
Проблема с Windows 10 Pro. Установлен Eset Antivirus 8. Также установлена программа слежения за действиями пользователей Staffcop Enterprise.
Перед сканированием Nod и Staffcop предварительно были отключены.
При сборе логов 2м стандартным скриптом проблем нет.
Также зависает при работе антируткита. Если нужно, могу попробовать удалить staffcop и попробовать заново, в версии 4.44 при тех же условиях сканирование проходило успешно. Если нужны какие либо логи, либо доп. информация, готов предоставить.

regist
06.10.2015, 13:38
http://rghost.ru/6wwL9fMbd
Запуск задания
cmd.exe /c @echo objShell.Run "cmd.exe /c (attrib -H -R -S %WinDir%\system32\GroupPolicy\Machine\Registry.pol )&(copy/b/y %WinDir%\system32\GroupPolicy\Machine\R %WinDir%\system32\GroupPolicy\Machine\Registry.pol > nul)&(gpupdate/force)&(attrib +R %WinDir%\system32\GroupPolicy\Machine\Registry.pol )", 0, True >> %TEMP%\R.vbs
Наверно стоит подобные задания CheckResult="3" помечать.

regist
08.10.2015, 18:00
Чтобы другие не наступили на теже грабли с ошибками AVZ напишу сюда актуальные на данный момент баги AVZ. И некоторые пожелания, может хоть в следующей версии они будут реализованы.

1) Состояние восстановления системы по прежнему неправильно показывает на windows 7 и выше. На 10-ке восстановление системы отключено по умолчанию, а AVZ всегда в логах показывает, что оно включено. Как правильно проверять состояние восстановление системы на windows 7 написано в теме AVZ - 4.41 (http://virusinfo.info/showthread.php?t=141836&page=2&p=1025447&viewfull=1#post1025447).

2) Параметры в реестре из ветки

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
до сих пор не удаляются.

3) ZIP_ExtractArchive по справке должно вернуть
4 - архив не является ZIP архивом, или поврежден, или указан неверный пароль в реальности выполнение скрипта прекращается и выходит ошибка AVZ
http://i69.fastpic.ru/big/2015/1008/33/d09fca6b33abb8c4e135e13244735b33.png

4) http://z-oleg.com/avz4.zip в архиве с AVZ лежит старая англ. справка от 2011 года, а как следствие в ней нет описания новых команд.

5) http://virusinfo.info/showthread.php?t=155719&p=1264590&viewfull=1#post1264590
поправили в справке, но всё равно там перепутано.
function CreateQurantineArchive(AFileName : string; AQrInfoFiles : string = '') : boolean;

Функция создает архив с файлами, помещенными сегодня в папку карантина (т.е. берутся все файлы из папки Infected
Должно быть берутся все файлы из папки Quarantine
http://z-oleg.com/secur/avz_doc/index.html?script_createinfectedarchive.htm

6) В редакторе скриптов по открытие справки по команде regkeystrparamread открывается неправильная ссылка http://z-oleg.com/secur/avz_doc/index.html?script_regkeystrparamread.htm

7) Вместо того чтобы просто открыть нужную ветку реестра, AVZ эмулирует нажатие клавиш. В итоге часто далеко не с первой попытки открывается нужная ветка реестра. А если в системе установлены программы типо пунто-свитчера, то может так и не открыться. Тут (http://virusinfo.info/showthread.php?t=155719&p=1253459&viewfull=1#post1253459) написано как сделать это нормально.

8) При копирование текста в AVZ или редактор скриптов на windows 7 вместо русского текста вставляются вопросы. Как это исправить написано здесь (http://forum.kaspersky.com/index.php?showtopic=327882&pid=2441228&st=0&#entry2441228).

9) http://virusinfo.info/showthread.php?t=155719&p=1095056&viewfull=1#post1095056

По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверюЭта бага до сих пор актуальна, как минимум на windows 8.1.

10)
В принципе можно что-то смудрить ... при автоанализе это учитывается (там есть дата формирования лога по часам ПК и дата его получения, если первое на сутки больше второго, то значит часы ПК сбиты)

11)
Если в папке Qurantine есть папка например с названием Test, то вместо обещанного в документации карантина за сегодняшнее число упакованы будут файлы из этой тестовой папки.

12) При удаление заданий через AVZ в реестре информация о них не чистится (поэтому на данный момент лучше чистить другими утилитами, либо потом их удалять).

13) В MessageDLG название кнопки mbIgnore не помещается в русской локализации
http://i67.fastpic.ru/big/2015/0912/b6/0069a613fc747f3dc6e94ab8af3126b6.png

regist
12.11.2015, 12:27
http://forum.ru-board.com/topic.cgi?forum=5&topic=13590&start=1660#6

Базы AVZ не обновляются. Я перепроверил и архивом и через программу и с зеркал и с сайта z-oleg.com качаются базы с датой обновления от 06.11.2015 04:00.

regist
14.11.2015, 12:06
Сегодня утром базы похоже наконец пересобрались, но в XML со списком обновлённых файлов (file.dta) мне кажется ошибка.
Сейчас там

<AVZ CurVer="4.43" MinVer="4.41" BuildDate="06.07.2015 4:00:11">
То есть строка от XML для обновления баз предыдущей версии, CurVer - указан неправильно.
А для актуальной раньше была строка

<AVZ CurVer="4.45" MinVer="4.45" BuildDate="06.11.2015 4:00:10">

regist
22.11.2015, 11:54
http://virusinfo.info/attachment.php?attachmentid=601772&d=1448178898 и на всякий случай перезалил его сюда (http://rghost.ru/6PvTrB4kL).

В XML логе продублированы секци <NET_DIAG> и <WMI_INFO>

А также ещё просьба добавить в HTML лог разрядность системы (чтобы знать команды бутклинера и антируткит нужны или нет). Имхо это в HTML намного нужнее и чаще требуется , чем дата установки ОС, которая нужна только в отдельных случаях и для которой достачно было бы просто параметра в XML.

Dragokas
06.12.2015, 18:09
Можно ли добавить поддержку юникода в команды удаления/карантина?

Например, чтобы строка


DeleteFile('c:\temp\test' + #3333 + '.txt','');

передавалась по указателю к DeleteFileW.

В формате 8.3 не всегда удобно указывать. Имен может быть несколько, следовательно префикс ~1 или ~2... заранее неизвестен.
Или такой алиас может быть вообще отключен.

Если сделаете, то нужно добавить и отрицательные коды:

DeleteFile('c:\temp\test' + #-3333 + '.txt','');
Сейчас синтаксический анализатор выдает ошибку.

Также, хотелось бы чтобы карантин всех файлов в папке не пропускал файлы с именами, в которых есть символы за пределами ASCII.

begin
QuarantineFileF('c:\temp', '*', false, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip', '');
end.

Dragokas
08.12.2015, 23:12
Или, к примеру, путь в 8.3. на системе с японской локалью система отдает в таком вот виде:

"C:\DOCUME~1\ADMINI~1\Desktop\セック~1.LNK"
И никакого ANSI.

2) Ошибка при получении списка дисков:
605250
Все бы ничего, но кнопку "Продолжить" приходится нажимать ровно 18 раз.
Система: XP SP3, VmWare. Диск - виртуальный, расшаренный на виртуалку из хоста (DT, без смонтированного образа).

regist
09.12.2015, 16:55
на системе с японской локалью
да, что там с японской, у AVZ глюки начинаются даже с украинской локалью :).



1) Ставим язык для программ не поддерживающих юникод Украинский. AVZ запускается с англ. локализацией.
Зайцев Олег, думаю стоит приравнять украинский к русскому и для него также запускать на русском.

2) Выполняем для примера такой скрипт

begin
if MessageDLG('Файл открытьььььььь', mtConfirmation, mbYes+mbNo, 0) = 6 then
clearlog;
end.
И любуемся
http://i75.fastpic.ru/big/2015/1209/d1/76d412d1e8942a55c19f62fd99af36d1.png

Как видим AVZ проглотил часть букв и куда-то исчезли кнопки Yes и No. Закрыть окно можно только по крестику. Закрываем крестиком получаем опять окно без кнопки Ок.
http://i75.fastpic.ru/big/2015/1209/55/d83992b909bdd25f90304bef148af355.png

3) В предыдущих версиях AVZ была бага, что вместо юникодных символов он в лог выводит какие-то служебные символы (из начала ANSI диапазона). В версии 4.45 в теории эта проблема была решена, тем что эти "юникодные символы" замещаются на пробелы. Но увы, проблема осталась. Пример лога. (http://www36.zippyshare.com/v/xQZy5wf6/file.html)

4) Есть вирус, который прописывает в реестр такой ключ

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\]
"C"="cmd /c (@attrib -H -R -S C:\\WINDOWS\\system32\\GroupPolicy\\Machine\\Regis try.pol >nul)&(@copy/b/y C:\\WINDOWS\\system32\\GroupPolicy\\Machine\\R C:\\WINDOWS\\system32\\GroupPolicy\\Machine\\Regis try.pol >nul)&(@attrib +R C:\\WINDOWS\\system32\\GroupPolicy\\Machine\\Regis try.pol >nul)&(@start/b gpupdate.exe /Force >L)"
AVZ нормально парсит строку, но думаю ещё стоит подсвечивать эти файлы CheckResult="3", чтобы хелпер обратил на них внимание. Всё-таки там через cmd копируются и подменяются файлы.

5) В логе XML очень часто параметр SHPath="" пустой. А для JOB файлов он вообще всегда пустой. Хотелось бы чтобы это было исправлено, хотя бы в следующей полиморфной сборке AVZ.

- - - - -Добавлено - - - - -


В версии 4.45 в теории эта проблема была решена, тем что эти "юникодные символы" замещаются на пробелы.
кстати как следствие мы опять получим искаженное имя файла :(.

Зайцев Олег
11.12.2015, 21:25
AVZ нормально парсит строку, но думаю ещё стоит подсвечивать эти файлы CheckResult="3", чтобы хелпер обратил на них внимание. Всё-таки там через cmd копируются и подменяются файлы.

За копирование строчку подсвечивать может и не очень правильно, я подумаю и посмотрю статистику. А вот за манипуляции с групповыми политиками и вызовы gpupdate - очень даже, добавил такую эвристику в базы.

regist
12.12.2015, 13:46
А вот за манипуляции с групповыми политиками и вызовы gpupdate - очень даже, добавил такую эвристику в базы.
Протестировал с сегодняшними базами и этим твиком. Ничего пока не подсвечивается
http://i75.fastpic.ru/big/2015/1212/27/bced2d25e7c94ff813b8689fe3e43727.png
http://i75.fastpic.ru/big/2015/1212/27/bced2d25e7c94ff813b8689fe3e43727.png

regist
16.12.2015, 20:27
Зайцев Олег,
1)
вместо юникодных символов он в лог выводит какие-то служебные символы (из начала ANSI диапазона).
Вот ещё один лог (http://rghost.ru/7zB2WXPPD) со служебными символами.
http://i65.fastpic.ru/big/2015/1216/8b/f3c2d8bb3252ad6c662de8c0dda8928b.png

2) В меню лишняя кнопка (пункт) Справка, а как следствие пункт не рабочий (при нажатие ничего не происходит).
http://i76.fastpic.ru/big/2015/1216/17/089422aa9ea6c3f1aae3d10e945f4617.png

3) AVZ, кажись уже несколько лет не удаляет папки при применение команды DeleteFileMask даже если они пустые. И вы давно тут в какой-то теме по обсуждению предыдущей версии ответили, что это не баг, а сделано осознанно. А тем не менее в справке до сих пор находится неверная информация

function DeleteFileMask(ADir, AMask : string; ARecurse : boolean; ASDFormula : string := '') : boolean;



Выполняет поиск и удаление файлов в папке ADir, имена которых соответствуют маске AMask. Параметр ARecurse управляет отработкой вложенных каталогов - если ARecurse = true, то будет выполнен рекурсивный обход папок начиная от заданной и в каждой из папок будет выполнен поиск и удаление файлов по маске AMask. После завершения обработки папки в данном случае производится проверка, остались ли в ней файлы - если файлов не осталось, то папка автоматически удаляется. Если ARecurse = false, то поиск и удаление файлов производится только в заданной папке.

В параметре AMask можно указать одну или несколько масок. В случае задания нескольких масок они разделяются пробелами, запятыми или точкой с запятой. Т.е. данный варианты задания маски являются эквивалентными:А начинающие хелперы и студенты изучающие AVZ вводятся в заблуждение по поводу работы этой команды. И возможно не только начинающие, не считая вашего ответа затерянного тут в обсуждение (который наверняка большинство использующих AVZ не видело), нигде информации про это нет. Пока человек сам не наткнётся, что в справке написано неправильно (устаревшая информация) он будет думать, что если папка пуста команда её удалит.

Vvvyg
25.12.2015, 09:11
Зайцев Олег
Реклама в браузерах, медленно работает интернет, всплывающие окна (http://virusinfo.info/showthread.php?t=194863) - интересное задание в логах FRST обнаружилось:
powershell.exe -windowstyle hidden -noninteractive -ExecutionPolicy bypass -EncodedCommandи далее длинная команда в Base64 кодировке, явно нехорошая. В логе AVZ не было этого задания.
После декодирования видно, что загружается что-то с theget.biz.

regist
30.12.2015, 17:43
1)
За копирование строчку подсвечивать может и не очень правильно, я подумаю и посмотрю статистику. А вот за манипуляции с групповыми политиками и вызовы gpupdate - очень даже, добавил такую эвристику в базы.


Протестировал с сегодняшними базами и этим твиком. Ничего пока не подсвечивается
Вот ещё один лог (http://virusinfo.info/attachment.php?attachmentid=609329&d=1451476725), отзеркалил (http://rghost.ru/76HdtMXmJ).
В логе такое задание

cmd.exe /c @echo objShell.Run "cmd.exe /c (attrib -H -R -S %WinDir%\system32\GroupPolicy\Machine\Registry.pol )&(copy/b/y %WinDir%\system32\GroupPolicy\Machine\R %WinDir%\system32\GroupPolicy\Machine\Registry.pol > nul)&(gpupdate/force)&(attrib +R %WinDir%\system32\GroupPolicy\Machine\Registry.pol )", 0, True >> %TEMP%\R.vbs
и всё равно ничего не подсветило.

2) http://z-oleg.com/secur/avz_doc/index.html?script_getlastexitcode.htm
Надо дописать в справку, что

- код возврата процесса, если процесс нормально завершился,
- $FFFFFFFF - если была ошибка запуска и процесс не запустился вообще (или не было вызовов ExecuteFile)
- $FFFFFFFE - если процесс запустился и был прибит по таймауту

chinaski
10.01.2016, 22:44
Зайцев Олег, В разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Internet Explorer\SearchScopes, параметр DefaultScope по идее должен исправляться таблеткой №4. но по факту параметр остается в неизменном состоянии, не могли бы Вы исправить данную проблему?

shestale
04.02.2016, 11:43
Зайцев Олег, добрый день!
http://z-oleg.com/secur/avz_doc/index.html?script_getlastexitcode.htm
Прошу задокументировать в справку AVZ коды ошибок, возникающие при запуске внешних программ
Пример: 7z ReturnCode 4294967295
Т.к. информации по ним нет ни где.

regist
04.02.2016, 20:10
Зайцев Олег, можно узнать, что было исправлено в полиморфе от 29-го числа?
Бага с переводом русских букв осталась, остальное не проверял, только посмотрел что реестр по прежнему эмулирует нажатие клавиш вместо того чтобы сразу открыть нужную ветку. Напомню, что здесь (http://forum.kaspersky.com/index.php?showtopic=327882&pid=2441228&st=0&#entry2441228) есть решение как исправить проблему с вопросиками, а здесь (http://virusinfo.info/showthread.php?t=155719&page=8&p=1253459&viewfull=1#post1253459) с регедитом.

___________________
http://www40.zippyshare.com/v/GmGQKGl3/file.html опять битый лог
http://i74.fastpic.ru/big/2016/0204/a8/826670856bbf084b549337d0d3178da8.png
В HTML также искажено. Может пора со следующей версии переводить AVZ на юникод?

http://virusinfo.info/showthread.php?t=196640 AVZ не подсветил батники в ярлыках.
Карантин батников и ярлыков здесь http://virusinfo.info/virusdetector/report.php?md5=AF4F5E491E59811DDAFF67C03902FF46

regist
11.02.2016, 20:01
1) Прописываем в

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
следующее значение

wscript C:\Windows\run.vbs,
AVZ не видит никакой анамалии в нестадартномном значение ключа и не выводит в лог.
Хорошо, что в uVS видно отклонение.
http://i76.fastpic.ru/big/2016/0211/58/f2eb92e4dbaaa5da83a99ed6093f7858.png

2) Последнее несколько месяцев попадаются логи с ложным подозрением

C:\Windows\system32\migwiz\migwiz.exe
Подозрение эвристического анализа ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)
Как понимаю эвристика добавлена не кибером, а человеком, так что кибер её автоматом скорректировать не сможет.
Пример лога (http://www34.zippyshare.com/v/5eJqU5Jd/file.html).
Навсякий случай отчёт и хеши по файлу https://www.virustotal.com/ru/file/be04509deb13735c2a9a026724d92d3f6a50662ed61a64d7ac 81b8c8306127b4/analysis/


3) Присоединяюсь к этой просьбе http://forum.kaspersky.com/index.php?showtopic=326375&pid=2544119

- - - - -Добавлено - - - - -


AVZ не видит никакой анамалии в нестадартномном значение ключа и не выводит в лог.
Хорошо, что в uVS видно отклонение.
Добавлю, что не только не видит, но и не и исправляет. Применил восстановление системы №16 но не исправило :(. Мастер поиска и устранения проблем также этого не видит.

SQ
14.02.2016, 03:15
Зайцев Олег,
После последних обновлений Microsoft заметил такую ошибку Win 10 PRO x64 build 10586.104 при попытки выполнить 2-ой стандартный скрипт:

Имя сбойного приложения: avz.exe, версия: 4.45.0.94, метка времени: 0x2a425e19
Имя сбойного модуля: unknown, версия: 0.0.0.0, метка времени: 0x00000000
Код исключения: 0xc0000005
Смещение ошибки: 0x0fbba2da
Идентификатор сбойного процесса: 0x1230
Время запуска сбойного приложения: 0x01d166b39cfd23de
Путь сбойного приложения: C:\avz4\avz.exe
Путь сбойного модуля: unknown
Идентификатор отчета: bbf774a3-828a-4a1a-85dd-1a0e487ab0e0
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:

В безопасном режиме AVZ завершается сам по себе без ошибки.

regist
16.02.2016, 22:03
1)
После последних обновлений Microsoft заметил такую ошибку Win 10
похоже ошибка после обновления https://support.microsoft.com/ru-ru/kb/3135173
Теперь даже стандартный скрипт№2 вылетает, так что собрать логи на windows 10 нельзя.

Вот три дампа с ошибками:
http://rghost.ru/7hd6Bk7Zb
http://rghost.ru/8QyWtTnXj
http://rghost.ru/7kFZpklfr

2) Хотел загрузить дампы через форму на вашем сайте выдало ошибку из-за большого размера.
413 Request Entity Too Large Может поправите там лимиты?

3) Из справки по SpoolLog
Дублирование протокола в указанный текстовый файл.
на практике протокол работы AVZ не дублируется (подразумеваю протокол, который пишется в нижней части окна AVZ) в файл указанный в SpoolLog, правда в текстовую часть лога HTML записываются. Например при выполнение скрипта №2 на XP в этот отчёт записало только
Выполняется стандартный скрипт: 2. Скрипт сбора информации для раздела "Помогите" virusinfo.info. А как понимаю должно было полностью продублировать протокол работы AVZ.

4) Надеюсь, что если для исправления работы AVZ на 10-ке надо будет выпускать новую версию, то исправите и остальные баги/выполните пожелания написанные в этой теме.

Samuray87
17.02.2016, 06:21
Windows 10 Enterprise Insider Preview x64. Обновления последние.
Пробная версия. Build 14257.rs1_release.160131-1800.
Выполнились скрипты 2 и 3.
Логи нужны?
__________________________________________________ _
Windows 10 Pro Insider Preview x32. Обновления последние.
Пробная версия. Build 11099.rs1_release.160109-1156.
Выполнился скрипт 2.
На скрипте 3 перезагрузка.
Дамп:
http://rghost.ru/8PKZP7D8z

Sandor
18.02.2016, 16:51
Если нужны еще дампы падения AVZ, могу добавить несколько.

regist
26.02.2016, 18:39
ещё дампы http://my-files.ru/0hjqef

shestale
27.02.2016, 16:11
Дампы падения AVZ:
https://dropmefiles.com/nPfsp/
http://my-files.ru/Save/ffqqxu/Report.7z
http://файлообменник.рф/1thvmt50af00/Report.7z.html
Все падения происходят на Windows 10х64.
+
Хотелось бы в новом релизе увидеть и решение по этим проблемам (https://forum.kaspersky.com/index.php?showtopic=326375&pid=2544119).

regist
29.02.2016, 17:38
Вышла новая версия AVZ

--- 29.02.2016 --- ver 4.46
[+/-] Доработки и модификации для совместимости с Windows 10


Интересно, а что-нибудь из остального перечисленного в этой теме исправлено? Если да, то что именно.

- - - - -Добавлено - - - - -

и на сайте http://z-oleg.com/index.php
в правом верхнему углу до сих пор указана версия 4.43
http://i76.fastpic.ru/big/2016/0229/d9/1938801c62d88d93dbb2471703d62cd9.png

- - - - -Добавлено - - - - -

Скорее всего и другие заметят в логе
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
CRC новой версии AVZ не успело попасть в базы и с обновлением баз это будет исправлено.

Dragokas
29.02.2016, 18:44
Зайцев Олег, спасибо за обновление v4.46!

1) Но опять "падает" уже в другом месте.
Проблема наблюдается на x64 Win 10 Pro Build 10.586, которая была установлена с дистрибутива 10.240, и на нее накатаны все обновления
Список обновлений в аттаче. Дамп падения: http://dragokas.com/temp/avz.exe_160229_161625.zip
(если установить с дистрибутива сразу 10.586 и все обновления, то проблема не наблюдается).

2) А Вы не хотите собирать AVZ с отладочными символами?
И заодно продублировать контрольные точки в коде функцией OutputDebugString.
Я так сделал у себя в программе. Теперь, в отладчике сразу видно всю последовательность переходов между функциями внутренней реализации, и где "упало", и любая вспомогательная инфа, которую пожелаешь добавить к отладке.

regist
03.03.2016, 16:25
Зайцев Олег, в этой теме http://virusinfo.info/showthread.php?t=197643&p=1362437&viewfull=1#post1362437
AVZ на 10-ке падает при выполнение скрипта. Похоже из-за загрузки драйвера.

Версия Windows: 10.0.10586, "Windows 10 Home", дата инсталляции 28.02.2016 17:20:27 ; AVZ работает с правами администратора (+)
Система x32, кстати напомню просьбу указывать разрядность в HTML логе рядом с версией ОС вместо даты инсталяции. Была бы намного удобней и полезней. Дата инсталяции нужна очень редко, если что можно и в XML посмотреть, а разрядность надо учитывать практически при написание каждого скрипта.

Дебаг лог тут http://virusinfo.info/attachment.php?attachmentid=619128&d=1457010232
Обрывается на
Драйвер успешно загружендальше идут символы 0x00

regist
05.03.2016, 16:18
Зайцев Олег,
1) Опять "отвалилось автоматическое обновление баз", точней в архиве с кумулятивным обновлением базы http://z-oleg.com/secur/avz_up/avzbase.zip
отсутствует большая часть файлов, в том числе файлы локализации. Да и сам архив весит меньше 100Kb хотя должен весить несколько Mb.

2) На Версия Windows: 10.0.10586, "Windows 10 Pro" x32 при выполнение такого скрипта

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RebootWindows(false);
end.

Вылетает BSOD. Тут (http://www27.zippyshare.com/v/gPVRFXEm/file.html) дамп падения, тут (http://www27.zippyshare.com/v/C2fwf7eW/file.html) дебаг лог работы скрипта. Может это связано с тем, что вы пытаетесь грузить неподписанный драйвер в ядро? На windows 10 насколько знаю ужесточили требования к драйверам.

3)
AVZ не видит никакой анамалии в нестадартномном значение ключа и не выводит в лог.
Новая версия AVZ также не видит вирусного VBS скрипта прописанного в Userinit

- - - - -Добавлено - - - - -

4)
12) При удаление заданий через AVZ в реестре информация о них не чистится (поэтому на данный момент лучше чистить другими утилитами, либо потом их удалять).
тут в архиве (http://www29.zippyshare.com/v/vpOXPMMD/file.html) экспорт веток реестра с вирусными заданиями, которые нужны чистить при удаление заданий. Неплохо было бы если при удаление задания ExecuteSysClean чистила в этих двух ключах.
А также в разделе лечения мне встретилось несколько пользователей с 10-кой, который жаловались на запуск dota2game.org после перезагрузки компьютера. После удаление задания через AVZ (по сути просто удаления XML файлы из папки заданий) со слов пользователя проблема не ушла, хотя из лога AVZ задание пропало. А после того как почистил следы за заданием и в реестре проблема была решана.
Поясню, что запуск этого сайта происходит через запланированное задание через 15 минут после включения системы. Точней в планировщике был прописан сайт хttp://gamezonenews.net а уже он перенаправлял на dota2game.org

5) http://virusinfo.info/virusdetector/report.php?md5=8AEC0445BC812FA5ACED74EBAE6351E3
Просьба выкинуть "Tencent" из базы чистых (например по цифровой подписи, хотя у него не всегда файлы подписаны). Причина, то что в половине тем в разделе Помогите просят помочь избаваться от без спросу установившегося этого "китайского вируса".

______________
Просил юзера пополнить базу безопасных, он прислал такую ссылку http://virusinfo.info/virusdetector/report.php?md5=9EF3A62A3087D19F9CA31368979665E0

Общее количество файлов: 0
как это возможно?

Зайцев Олег
05.03.2016, 22:31
Зайцев Олег,
1) Опять "отвалилось автоматическое обновление баз", точней в архиве с кумулятивным обновлением базы http://z-oleg.com/secur/avz_up/avzbase.zip
отсутствует большая часть файлов, в том числе файлы локализации. Да и сам архив весит меньше 100Kb хотя должен весить несколько Mb.

2) На Версия Windows: 10.0.10586, "Windows 10 Pro" x32 при выполнение такого скрипта

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RebootWindows(false);
end.

Вылетает BSOD. Тут (http://www27.zippyshare.com/v/gPVRFXEm/file.html) дамп падения, тут (http://www27.zippyshare.com/v/C2fwf7eW/file.html) дебаг лог работы скрипта. Может это связано с тем, что вы пытаетесь грузить неподписанный драйвер в ядро? На windows 10 насколько знаю ужесточили требования к драйверам.

3)
Новая версия AVZ также не видит вирусного VBS скрипта прописанного в Userinit

- - - - -Добавлено - - - - -

4)
тут в архиве (http://www29.zippyshare.com/v/vpOXPMMD/file.html) экспорт веток реестра с вирусными заданиями, которые нужны чистить при удаление заданий. Неплохо было бы если при удаление задания ExecuteSysClean чистила в этих двух ключах.
А также в разделе лечения мне встретилось несколько пользователей с 10-кой, который жаловались на запуск dota2game.org после перезагрузки компьютера. После удаление задания через AVZ (по сути просто удаления XML файлы из папки заданий) со слов пользователя проблема не ушла, хотя из лога AVZ задание пропало. А после того как почистил следы за заданием и в реестре проблема была решана.
Поясню, что запуск этого сайта происходит через запланированное задание через 15 минут после включения системы. Точней в планировщике был прописан сайт хttp://gamezonenews.net а уже он перенаправлял на dota2game.org

5) http://virusinfo.info/virusdetector/report.php?md5=8AEC0445BC812FA5ACED74EBAE6351E3
Просьба выкинуть "Tencent" из базы чистых (например по цифровой подписи, хотя у него не всегда файлы подписаны). Причина, то что в половине тем в разделе Помогите просят помочь избаваться от без спросу установившегося этого "китайского вируса".

______________
Просил юзера пополнить базу безопасных, он прислал такую ссылку http://virusinfo.info/virusdetector/report.php?md5=9EF3A62A3087D19F9CA31368979665E0

как это возможно?
1. Починил
2. В логе видно, что антируткит отработал, но видно несколько моментов, которые следует подрегулировать через базы
3. Да, там есть злобный глюк, проявляющийся именно та таком примере ключа. Он исправлен, но в 4.46 фикс не попал.
4. Такая чистка реестра появится в ближайшей версии
5. Выкинуть то его можно, но по сути своей это не вирус, рано или поздно опять пролезет

mike 1
06.03.2016, 01:59
Здравствуйте, Олег. Еще можно как нибудь обновить английскую версию справки AVZ, а то некоторые хелперы с форума geekstogo просят обновить английскую справку по AVZ.

regist
06.03.2016, 10:39
Еще можно как нибудь обновить английскую версию справки AVZ
Да и русскую обновить надо. Например:
http://virusinfo.info/showthread.php?t=189507&p=1355750&viewfull=1#post1355750
Опечатки/ошибки:
http://virusinfo.info/showthread.php?t=189507&p=1320806&viewfull=1#post1320806
http://virusinfo.info/showthread.php?t=155719&p=1119840&viewfull=1#post1119840

- - - - -Добавлено - - - - -


Он исправлен, но в 4.46 фикс не попал.Зайцев Олег, а можно узнать кроме работы фикса работы на win 10, чтобы было исправлено/добавлено в версии 4.46 ?
Например сейчас проверил бага при выставление языка для не юникодных программ украинского (http://virusinfo.info/showthread.php?t=189507&p=1340189&viewfull=1#post1340189) исправлена (правда AVZ по прежнему по дефолту запускается на англ., а для большинства пользователей таких систем думаю русский привычней).
А

В MessageDLG название кнопки mbIgnore не помещается в русской локализациипо прежнему надпись не помешается.

- - - - -Добавлено - - - - -


Выкинуть то его можно, но по сути своей это не вирус, рано или поздно опять пролезет
Как понимаю в кибере вы можете и вручную указать степень доверия файла при этом этом, ваше мнение (степень доверия) приоритетней мнения кибера. То есть вы скажете, что этой подписи не надо доверять, то он и не будет. Или он потом может самостоятельно изменить мнения в обход вашего указания?

regist
07.03.2016, 10:04
Уже в нескольких темах попадаются одинаково "битые" Html логи.
http://i76.fastpic.ru/big/2016/0307/89/1cc66c5d4ae40663acc664fab0adc989.png
Вот пара примеров:
http://virusinfo.info/attachment.php?attachmentid=619447&d=1457204667
http://virusinfo.info/attachment.php?attachmentid=619607&d=1457303677
На всякий случай перезалил их на обменник (если вдруг юзер удалит из вложений).
Раз (http://www107.zippyshare.com/v/UxaDmi1C/file.html) и два (http://www107.zippyshare.com/v/CbybeJSN/file.html).
Может сможете через обновление баз это исправить?

thyrex
07.03.2016, 10:50
Такие попадались и на версии 4.45

Зайцев Олег
07.03.2016, 12:05
Уже в нескольких темах попадаются одинаково "битые" Html логи.
http://i76.fastpic.ru/big/2016/0307/89/1cc66c5d4ae40663acc664fab0adc989.png
Вот пара примеров:
http://virusinfo.info/attachment.php?attachmentid=619447&d=1457204667
http://virusinfo.info/attachment.php?attachmentid=619607&d=1457303677
На всякий случай перезалил их на обменник (если вдруг юзер удалит из вложений).
Раз (http://www107.zippyshare.com/v/UxaDmi1C/file.html) и два (http://www107.zippyshare.com/v/CbybeJSN/file.html).
Может сможете через обновление баз это исправить?
Через обновление - нет, невозможно. Причина состоит в параметрах командной строки типа AutomaticTabDiscarding<AutomaticTabDiscarding --disable-features=UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup - они сбивают форматирование. Добавил экранирование таких спец. символов, что решит проблему

regist
10.03.2016, 09:53
Зайцев Олег, AVZ теперь стал выводить в лог задания с powershell, но из-за очень длинной строки аргументов лог смотреть очень неудобно. В частности трудно посмотреть название задания или кликнуть чтобы его удалить. Вот пример лога (http://www20.zippyshare.com/v/xOToekRV/file.html).
Может в случае таких длинных строк сделать прокрутку? Например вот так (http://www116.zippyshare.com/v/WL5wiNCT/file.html).

Vvvyg
11.03.2016, 13:13
Олег, кажется, об этом ранее уже писал. В логе в разделе Подозрительные объекты есть запись:

C:\Program Files (x86)\Justinmind\Justinmind Prototyper 7.1.0\plugins\org.eclipse.gef_3.8.0.201206112118.j ar Вредоносный объект Trojan.BAT.DelAutoexec.e
И ниже:
3. Сканирование дисков
C:\Program Files (x86)\Justinmind\Justinmind Prototyper 7.1.0\plugins\org.eclipse.gef_3.8.0.201206112118.j ar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e
Наверняка фолс, но проверить без карантина невозможно - в .xml не только MD5 нет, обьект этот вообще не упомянут.
Лог во вложении:
620410

И, как я понимаю, сигнатурные проверки Non-PE файлов продолжаются?

regist
12.03.2016, 13:30
Да и русскую обновить надо.
Кроме перечисленного в том посте, в справке ещё надо обновить пункт №3 из этого поста (http://virusinfo.info/showthread.php?t=189507&p=1342491&viewfull=1#post1342491)

AVZ, кажись уже несколько лет не удаляет папки при применение команды DeleteFileMask даже если они пустые. И вы давно тут в какой-то теме по обсуждению предыдущей версии ответили, что это не баг, а сделано осознанно. А тем не менее в справке до сих пор находится неверная информация

_______________________

Интересно, а что-нибудь из остального перечисленного в этой теме исправлено? Если да, то что именно.
Простестировал сам, результат ниже.

http://virusinfo.info/showthread.php?t=189507&p=1320806&viewfull=1#post1320806
Актуальны почти всё пункты, но по некоторым поправки:
1) Восстановление системы на windows 7 теперь показывает правильно. Windows 8.1 - 10 показывает неправильно.
2) Так до сих пор и не удаляет.
3) Ошибка с PKZIP если файл не является архивом осталась. + Когда файл не найден вместо указанного в справке кода возврата 1 вернуло 4294967295.
4, 5) - актуально.
6) Исправлено.
7, 8, 9, 10, 11) - актуально.
12) - пока актуально, но тут (http://virusinfo.info/showthread.php?t=189507&p=1364007&viewfull=1#post1364007) написали, что исправите в следующей версии (4-й пункт). И на всякий случай дополню, что для XP ключи в реестре будут другие.
13) Актуально.

_______________________
Это можно реализовать? http://virusinfo.info/showthread.php?t=189507&p=1339091&viewfull=1#post1339091

_______________________
http://virusinfo.info/showthread.php?t=189507&p=1340189&viewfull=1#post1340189
1) - осталась по старому (но это не баг).
2) - исправлено.
3) Пока не попадались такие логи.
4)
вот за манипуляции с групповыми политиками и вызовы gpupdate - очень даже, добавил такую эвристику в базы.
до сих пор с актуальными базами не подсвечивает.
5) Актуально. Как минимум на XP AVZ по прежнему вставляет в XML лог пустой параметр SHPath="".

_______________________
http://virusinfo.info/showthread.php?t=189507&p=1345093&viewfull=1#post1345093 - исправлено.
_______________________

http://virusinfo.info/showthread.php?t=189507&p=1357697&viewfull=1#post1357697

1) В текущей версии актуально, но в следующей должно быть исправлено
Да, там есть злобный глюк, проявляющийся именно та таком примере ключа. Он исправлен, но в 4.46 фикс не попал.
2) Такие логи пока не попадались.
3) Актуально.

Dragokas
17.03.2016, 00:12
Зайцев Олег,
1) Хочу еще раз ('http://virusinfo.info/showthread.php?t=155719&page=8&highlight=Lastkey') попросить на счет "Сервис -> Поиск в реестре -> Открыть в Regedit" ускорить открытие ветки вместо клавиатурных имитаций, т.к. периодически пользуемся и не только я.
Regedit записывает последнюю открытую ветку в этом параметре:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Applets\Regedit]
"LastKey"="Компьютер\\HKEY_CURRENT_USER\\Software"

Если открыть Regedit еще раз, ветка, прописанная в Lastkey, откроется сразу же. Нет необходимости имитировать переход с клавиатуры (он не всегда корректно отрабатывает, и приходится делать это еще раз).

Алгоритм такой:
1. Считываем параметр Lastkey. Забираем слово до первого \
Там может быть либо Computer\ либо Компьютер\ (зависит от локализации, но на нее лучше не ориентироваться)
2. Записываем в параметр Lastkey нужный ключ для прыжка (только ключ, без параметра!), добавив префикс из п.1.
3. Запускаем Regedit, имитируем с клавиатуры переход к нужному параметру в уже открытом подразделе.

-----------------------------------
2) "Поиск в реестре" на Windows 7 x64 зацикливается и бывает почти нереально дождаться когда завершается скан (на разных системах Win 7 по-разному).
Приложил пример лога.
Если я правильно воспроизвел ситуацию и у Вас такой же код, то проблема возникает из-за того, что функция RegQueryInfoKey возвращает неверное кол-во подразделов (больше, чем реальное), когда читает HKCR\Wow6432Node. Из-за этого RegEnumKeyEx заполняет только часть массива, и в нём остается много пустых имен ключей, что в итоге ссылается на этот же HKCR\Wow6432Node и сканирует его еще много раз.
Решением будет - добавить флаг KEY_WOW64_64KEY при получении хендла в RegOpenKeyEx. Это позволит узнать реальное кол-во ключей.
Пока не готов объяснить, почему это влияет именно на данный ключ, но в любом случае отключение редиректора при поиске по реестру не помешает и в моем случае помогает.

- - - - -Добавлено - - - - -

3) На счет "Ошибка получения информации о файле" в логе.

621325

У меня такие мысли почему это происходит:
1) C:\Windows\System32\WUDFHost.exe - потому что проверяется без отключенного редиректора, а файла в SysWOW64 нет.
2) C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://virus.com/ - потому что проверяется не iexplore.exe, а вся строка,
ведь по аналогичному пути на примере хрома атрибуты нормально видит.
Думаю, несложно подправить.

4) Ярлык IE по логу выше ведет на неверную папку. Должна быть - "C:\Program Files". В ярлык в доп. секцию "вшита" переменная %ProgramFiles%, которая раскрывается под Wow64 и файловый редиректор на этот путь не влияет. Есть предложение проверять, если файла по пути "C:\Program Files (x86)" нет, то смотреть в соседнюю - "C:\Program Files". Если он там есть, то в лог выводить не "переадресованную" папку, а Program Files. Знаю, что Вы какую-то работу делали в этом направлении. Но я пробовал переименовать iexplore.exe внутри "C:\Program Files (x86)", но лог не изменился.

regist
18.03.2016, 19:02
У версии AVZ 4.46 в свойствах файла написано 4.45

regist
20.03.2016, 13:41
Зайцев Олег, посмотрите HTML лог отсюда (http://virusinfo.info/attachment.php?attachmentid=621739&d=1458448598)| зеркало (http://www38.zippyshare.com/v/khX5lMBk/file.html).
Во всем логе отсутсвуют закрывающие теги </tr> и </td>

- они сбивают форматирование. Добавил экранирование таких спец. символов, что решит проблему
Периодически постоянно вылазиют подобные проблемы из-за не экранированных символов, может можно использовать команду HTMLEncode ?

thyrex
20.03.2016, 18:36
Периодически постоянно вылазиют подобные проблемы из-за не экранированных символовСегодня на всех форумах вижу просто массово эти глюки

Dragokas
21.03.2016, 06:35
Можно ли в утилиту "Ревизор" добавить игнорирование симлинков, то есть пропуск файлов с атрибутами FILE_ATTRIBUTE_REPARSE_POINT | FILE_ATTRIBUTE_SPARSE_FILE ?
А то сейчас при сравнении с базой в лог выводит:


c:\programdata\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Search\Data\Applications\Windows\ms s0005e.log = File created

regist
25.03.2016, 19:50
не видит вирусного VBS скрипта прописанного в Userinit
Сегодня AVZ его наконец увидел, но имхо, лучше бы он и дальше его не видел чем так. Вот из XML лога

<ITEM File="C:\Windows\system32\wscript.exe" CheckResult="-1" Enabled="-1" Type="REG" Size="198144" Attr="rsAh" CreateDate="21.11.2014 15:08:16" ChangeDate="28.12.2015 12:09:29" MD5="1918D6622E7B9B8F03F7AFCDC6E9E75B" Vendor="Microsoft Corporation" Product="Microsoft ® Windows Script Host" OFN="wscript.exe.mui" Ver="5.8.7601.18283" IsPE="1" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Userinit" X4="wscript C:\Windows\run.vbs" Is64="0"/>
В качестве левого (вирусного) файла прописанного в Userinit отображается и предлагается к удалению wscript.exe вместо run.vbs

А также заодно вопрос, разве подобная строка не должна была подсветиться CheckResult="3" ?

Пример лога. (http://www62.zippyshare.com/v/kbM2GJir/file.html)

Vvvyg
28.03.2016, 19:46
Пополнение базы чистых файлов AVZ не получается (http://virusinfo.info/showthread.php?t=198616)
AVZ 4.46, Windows 10 Home Single Language (x64).

Dragokas
30.04.2016, 23:28
Если изменена кодовая страница (язык для неюникодных программ стоит English), AVZ не может получить доступ процессам (и не только), в пути к которым есть русские символы. Как результат - вешает на них подозрение на руткит.
И только по логу Check Browser's LNK видно в чем причина.

Комплект логов прилагаю.

regist
22.07.2016, 10:51
Снова поломалось обновление баз в AVZ

http://i78.fastpic.ru/big/2016/0722/b4/659f612383c4ebd809342ca4d655b7b4.png

Sandor
22.07.2016, 11:07
Подтверждаю.
+
С последними базами в разных логах разных систем видим:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 21.07.2016 09:30:43
Загружена база: сигнатуры - 229835, нейропрофили - 2, микропрограммы лечения - 51, база от 21.07.2016 04:00

antanta
25.07.2016, 19:36
Доброго времени.
Обнаружил глюк парсера. Объясню на примере.
1) Находим драйвер, не значащийся как безопасный. Условие: Название файла образа отличается от имени сервиса.
Например дров от Асуса. Имя - "ATP", имя файла - "AsusTP.sys".
2) Сносим все права на ветку АТР.
3) Даем права текущему пользователю.
4) Копируем в \system32\drivers avz.exe, переименовываем в "atp.sys" (по имени сервиса).
5) Запускаем AVZ нормальный, и видим, что по данным АПИ файл образа "atp.sys", и опознан как безопасный.
Ругани на странные "права" нет.
После перезагрузки, правда, SCM этот сервис в упор не видит ))
PS: Я знаю причину глюка. Судя по методам обозначения путей к файлам в этом разделе, винду писали, покуривая турбокальян.

regist
01.08.2016, 19:07
мелочь, но ...

http://i78.fastpic.ru/big/2016/0801/64/9079856dc62f0be206e50e6f9fbd4964.jpg

и исправить ведь это не сложно. В правом нижнем углу цифры обрезаются. Надо немного увеличить размер поля.
Скрин сделан на ноуте с разрешением экрана 1024х768.

Sandor
11.10.2016, 14:05
В секции "задач" попалась такая строка:

643665

Может так и должно быть? Но кажется что-то все же не так.

regist
13.10.2016, 13:21
http://virusinfo.info/attachment.php?attachmentid=643814&d=1476304061 отзеркалил сюда (http://www93.zippyshare.com/v/0y5oV1qU/file.html)/
В XML логе продублированы секци <NET_DIAG> и <WMI_INFO> и при этом ещё у первой секции <NET_DIAG> нет закрывающего тега
Ранее писал о подобном тут (http://virusinfo.info/showthread.php?t=189507&p=1334485&viewfull=1#post1334485), да и после несколько раз встречал такое. Так что это какая-то ошибка в AVZ которая периодически повторяются из-за которой получаются битые XML логи.

regist
02.11.2016, 14:56
Полиморф не обновлялся с 2016-02-29 не пора ли пересобрать?

regist
13.12.2016, 22:42
Зайцев Олег, здесь (http://upload.virusinfo.info/index.php?action=findbytopic&topicid=206886) в карантине пример задания для запуска браузера с рекламной ссылкой, которое не видит AVZ.
Если возможно, то желательно для браузеров хотя бы для основных при запуске с такими аргументами подсвечивать CheckResult="3" по аналогии как происходит при запуске CMD с такими параметрами.

regist
21.12.2016, 14:34
Сайт http://z-oleg.com/ лежит :?


This Domain Name is Suspended

The domain name you have entered is not available. It has been taken down because the email address of the domain holder (Registrant) has not been verified.

If you are the Registrant of this domain name, please contact your domain registration service provider to complete the verification and activate the domain name.

NOTE: It may take upto 48 hours after verification for the domain name to start resolving to its website again.

Зайцев Олег
22.12.2016, 13:10
Сайт http://z-oleg.com/ лежит :?
Увы лежит ... хотсер agava, которые домен мой поддерживал и предоставлял услуги хостинга в течении 12 лет, взял и передал всех своих клиентов в REG.RU. Причем передали криво, забив в моем случае вместо актуального и подтвержденного e-mail выкопанный где-то мой старый адрес. В итоге возник определенный глюк, хотя я владелец домена и все оплачено. Техподдержка REG.RU естественно в курсе (так как проблема массовая для клиентов agava), есть пошаговый регламент действий, я естественно необходимые документы для верификации направил и они уже в работе, процесс идет. Но я подозреваю, что как минимум те самые 48 часов процесс будет тянуться. Резервный домен в зоне RU проблема перехода не затронула, так что по адресу http://z-olegcom.420.com1.ru сайт доступен. Равно как работает зеркало обновления баз на VirusInfo.

Matias
28.12.2016, 17:59
Мастер устранения проблем AVZ почему-то выявил нарушение ассоциации REG-файлов, который и в помине нет. Они открываются редактором реестра, как им и полагается. Никто не сталкивался с таким глюком утилиты?

regist
29.12.2016, 09:57
Matias,
То что открываются это не значит, что в реестре значение соответствует эталону. Может там отличается на кавычки или другую мелочь в результате и находит эту проблему. Сравните текущее значение со значением после исправления и поймёте из-за чего.


Зайцев Олег, задания на запуск браузера до сих пор не отображается в логе, если исполняемый файл браузера проходит по базе безопасных.
И полиморф не обновлялся уже почти год.

regist
12.02.2017, 23:59
По свежему полиморфу, то что успел пока протестировать.

1) Пишем скрипт

procedure IsTermSession;

begin
ShowMessage('Проверка терминальной сессии');
end;

begin
IsTermSession;
end.
Проверяем редактором скриптов либо текущей релизной версией AVZ и убеждаемся, что ошибок нет.
Затем проверяем скрипт свежим полиморфом и получаем ошибку.

2) http://virusinfo.info/showthread.php?t=189507&p=1419532&viewfull=1#post1419532 - похоже исправлено, таки задания теперь выводятся в лог, что радует :).

3) http://virusinfo.info/showthread.php?t=189507&p=1364007&viewfull=1#post1364007 чистки реестра при удаление заданий всё ещё нет.

4) Возможно побочный эффект от экранирования угловых скобок в командной строке Хрома
http://i91.fastpic.ru/big/2017/0212/5d/09c8bfd9ecd2143f3fc26de389ac1b5d.png

Командная строка: <BR>"C:\Users\Админ\Desktop\avz.exe"
Сам лог здесь (http://www56.zippyshare.com/v/wHnWq9bY/file.html).

5) Слишком агресивен стал к системным файлам, ругаясь на них "Подозрение на RootKit". Смотреть внизу лога из пункта №4.
В автокарантин при выполнение стандартного скрипта №8 эти файлы не попали.

6) По прежнему на x64 слишком у многих системных файлов "ошибка получения информации о файле", при том что на x32 такой ошибки нет. Так что похоже бага с редиректором при доступе к системным файлам.

7) Не знаю считать за багу или нет, но 7-ке система берёт путь к файлу Hosts не из реестра, а системной библиотеки. А AVZ даже в менеджере файла Hosts предлагает редактировать тот файл к которому указан путь в реестре (при том, что это получается фейк если изменить путь в реестре).

- - - - -Добавлено - - - - -

По первому пункту похоже это не бага, а пасхальное яйцо в ввиде новой скриптовой команды :beer:

regist
15.02.2017, 11:28
Похоже, что и этот полиморф не видит вирусные задания. В логе HiJackThis видно

O22 - ScheduledTask: (Ready) httphophitnewsruenergysm - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hophitnews.ru/energysm

А свежий полиморфный AVZ его не увидел, а сейчас такие задания в половине тем раздела лечения.
Архив с логами тут (http://virusinfo.info/attachment.php?attachmentid=655111&d=1487096171), на случай если юзер удалит зеркало (http://www6.zippyshare.com/v/tiXR7aUE/file.html).

Dragokas
16.02.2017, 13:54
1) Скидываю пару логов с Windows 8.1 (один (http://www5.zippyshare.com/v/aVtATEn9/file.html) со стандартными настройками, другой (http://www7.zippyshare.com/v/OSscq8Zq/file.html) с включенным "Юзыком для программ, не поддерживающим юникод" => English (USA)).
В списке процессов видим ????????.exe, вместо русского. При этом в колонке "Information" имя указано верно. Об этой ошибке писал ранее (http://virusinfo.info/showthread.php?t=189507&p=1379051&viewfull=1#post1379051).

2) ОС Win10x64 - Во второй таблице, в колонке "Используется процессами" у всех модулей закрались лишние теги:

<a href="#proc_3580">3580</a>
Ссылка на лог (http://www66.zippyshare.com/v/FjFolo5b/file.html).
Еще: имя файла: .dll - старая ошибка (расширение без имени файла). Если тяжело локализовать, можно ведь просто постфактум воткнуть костыль, чтобы не выводить это в лог.

3) Также при отключении "Восстановления системы" в логе пишет, что System Restore: enabled

4) Также:


>>>> Suspicion for process file masking: C:\Windows\System32\wininit.exe
>>>> Suspicion for process file masking: C:\Windows\System32\winlogon.exe
>>>> Suspicion for process file masking: C:\Windows\System32\lsass.exe
>>>> Suspicion for process file masking: C:\Windows\System32\dwm.exe
>>>> Suspicion for process file masking: C:\Windows\System32\spoolsv.exe
>>>> Suspicion for process file masking: C:\Windows\System32\msdtc.exe
>>>> Suspicion for process file masking: C:\Windows\System32\WUDFHost.exe
>>>> Suspicion for process file masking: C:\Windows\System32\taskhostex.exe

Замечу, что это чистая эталонная система Win 8.1 (без обновлений).

5) Также, ИМХО, не вижу смысла выводить:


Analysis: kernel32.dll, export table found in section .rdata
Function kernel32.dll:ReadConsoleInputExA (1094) intercepted, method - ProcAddressHijack.GetProcAddress ->777126DA->755BCDE1
Function kernel32.dll:ReadConsoleInputExW (1095) intercepted, method - ProcAddressHijack.GetProcAddress ->7771270D->755BCE05
Analysis: ntdll.dll, export table found in section .text
Function ntdll.dll:NtCreateFile (268) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C140->7530E8C3
Function ntdll.dll:NtSetInformationFile (549) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1BE60->7530E83F
Function ntdll.dll:NtSetValueKey (580) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C1F0->7531C8CD
Function ntdll.dll:ZwCreateFile (1645) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C140->7530E8C3
Function ntdll.dll:ZwSetInformationFile (1924) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1BE60->7530E83F
Function ntdll.dll:ZwSetValueKey (1955) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C1F0->7531C8CD
Analysis: user32.dll, export table found in section .text
Function user32.dll:CallNextHookEx (1531) intercepted, method - ProcAddressHijack.GetProcAddress ->77127633->7530E829
Function user32.dll:SetWindowsHookExW (2303) intercepted, method - ProcAddressHijack.GetProcAddress ->7712FDA3->7531BAF9

если есть возможность однозначно идентифицировать, что перехват поставлен MS антивирусом.

На моей ОС Win 10x64 ещё такое (может, нужна какая доп. инфа?):

Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll


6) Карантин папки с файлами, имеющими в имени юникодные символы, - не исправлено.

Hello♣.exe
opera セッ.lnk



Ошибка карантина файла, попытка прямого чтения (c:\temp\Hello¦.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\temp\Hello¦.exe)
Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (c:\temp\opera ??.lnk)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\temp\opera ??.lnk)
Карантин с использованием прямого чтения - ошибка

7) Фича с юникодом (http://virusinfo.info/showthread.php?t=189507&p=1339091&viewfull=1#post1339091) для DeleteFile не добавлена.

8 ) Ещё была просьба (http://virusinfo.info/showthread.php?t=189507&p=1368271&viewfull=1#post1368271) фильтровать флаг "симлинк" у программы-ревизора.

9) aitagent /increment - это легитимное задание.

10) Про ошибки с файловым переадресатором уже не пишу, думаю не сложно воткнуть туда Wow64DisableWow64FsRedirection / Wow64RevertWow64FsRedirection, после чего проверить файл на предмет того, является ли издателем ЭЦП - Майкрософт (CertVerifyCertificateChainPolicy + CERT_CHAIN_POLICY_MICROSOFT_ROOT), и если да, не выводить это в лог вообще или помечать зелёным.

11) И ещё хотелось бы видеть:
например, в секции "Автозапуск" и "Printing system extensions" есть файлы без полного пути (только имя), хорошо бы применять к ним функцию PathFindOnPath, чтобы система находила для них полный путь и указывать именно его в логе. К тому же без этой операции невозможно получить доп. инфу о файле (как дату, анализ ЭЦП и т.п.).
Тоже касается секции "Задания".

12)

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe
ошибка получения информации о файле
в секции автозапуск. По факту антивирусный сканер уже давно удалён и файла там нету, т.е. по идее должен был писать нечто вроде "Файл отсутствует". Переадресатор не при чём. Отказов в доступе по правам тоже нет.
Такая же ошибка актуальна и для секции "Задания".

13) Модули расширения проводника. (на примере, HashTab) - имя файла вообще не может определить, и ничего не выводит в колонку "Имя файла". Возьмём NirSoft shexview-x64. Как видим, полный путь находит:

Sandor
16.02.2017, 15:23
Похоже, что и этот полиморф не видит вирусные задания
Подтверждаю. Еще архив (http://www85.zippyshare.com/v/VQWAQg0v/file.html) с логами.

regist
21.02.2017, 14:19
Ещё по поводу тестирования полиморфа на предмет ошибок о которых сообщалось в теме после релиза текущей версии.

1) Проблема с кодировкой при копирование русского текста до сих пор не исправлена. Решение проблемы давно написано здесь (http://forum.kaspersky.com/index.php?showtopic=327882&pid=2441228&st=0&#entry2441228).

2) ZIP_ExtractArchive по справке должно вернуть

Возвращаемое значение:

0 - успешное завершение работы
1 - файл архива не найден (или нет прав доступа к архиву)
2 - невозможно создать каталог для извлекаемых файлов
3 - в ходе распаковки возникла непредвиденная ошибка
4 - архив не является ZIP архивом, или поврежден, или указан неверный пароль

А на самом деле во всех случаях возвращает Exit code = 4294967295.

3) По прежнему при прыжке из AVZ в реестр имитируются нажатия клавиш из-за чего порой приходится несколько раз "прыгать в реестр", чтобы открыть нужный ключ. Хотя тут (http://virusinfo.info/showthread.php?t=155719&p=1253459&viewfull=1#post1253459) и тут (http://virusinfo.info/showthread.php?t=189507&p=1367156&viewfull=1#post1367156) давно был описан способ как сразу открывать нужный ключ.

4) Наконец AVZ сумел удалить в реестре параметр command в ключе MSConfig, но зато теперь в HTML логе теперь нет кнопки для автоматической вставки этой команды. Раньше была кнопка, но не работало удаление, теперь удаление работает, но нет кнопки.

5)
1. В принципе можно что-то смудрить ... при автоанализе это учитывается (там есть дата формирования лога по часам ПК и дата его получения, если первое на сутки больше второго, то значит часы ПК сбиты)
До сих пор не сделано

Attention !!! Database was last updated 09.02.2017 it is necessary to update the database (via File - Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.46 private build
Scanning started at 15.02.2016 18:59:13

6)
В логе XML очень часто параметр SHPath="" пустой. А для JOB файлов он вообще всегда пустой.Не исправлено.

7)
Если изменена кодовая страница (язык для неюникодных программ стоит English), AVZ не может получить доступ процессам (и не только), в пути к которым есть русские символы.
Проблема осталась и вместо пути к файлу virusinfo_syscheck nonUnicod.zip (http://www60.zippyshare.com/v/LyokVmC5/file.html). Чуть выше Dragokas, также отписался об этой проблеме, но в моём логе AVZ вообще обрезал путь к файлу в столбце "File name"
http://i89.fastpic.ru/big/2017/0221/91/fa452aa078e57b239c3bc1a945138e91.png

8)
Еще: имя файла: .dll - старая ошибка (расширение без имени файла). Если тяжело локализовать, можно ведь просто постфактум воткнуть костыль, чтобы не выводить это в лог.
Напомню, что там вообще пустой параметр и файла на самом деле нет. В теме и экспорт его выкладывался (http://virusinfo.info/showthread.php?t=141836&page=4&p=1092410&viewfull=1#post1092410), см. пункт №4.

9)
В меню лишняя кнопка (пункт) Справка, а как следствие пункт не рабочий (при нажатие ничего не происходит).
оказывается об этом сообщали ещё в 2014 https://forum.kaspersky.com/index.php?showtopic=313174 но также без ответа.

10)
И ещё хотелось бы видеть:
например, в секции "Автозапуск" и "Printing system extensions" есть файлы без полного пути (только имя), хорошо бы применять к ним функцию PathFindOnPath, чтобы система находила для них полный путь и указывать именно его в логе. К тому же без этой операции невозможно получить доп. инфу о файле (как дату, анализ ЭЦП и т.п.).
Тоже касается секции "Задания".
Присоединяюсь к просьбе, тем более сейчас появилась адварь которая прописывает свою .dll в секцию "Модули расширения системы печати".

11)
Также при отключении "Восстановления системы" в логе пишет, что System Restore: enabled
Это актуально как для windows 8 так для windows 10.

12) Воспроизвёл у себя проблему когда полиморфный AVZ не видит вирусное задание на запуск браузера. Для этого использовал это задание (https://www.virustotal.com/file/92b5369627f2d344e213a4261d92bef1e4bb5288e0e0e61999 ad22c90fd2fb2a/analysis/1487607087/) (знаю, что сможете скачать его оттуда, а открыто в теме выкладывать не хочу).

regist
23.02.2017, 20:09
Зайцев Олег,
1) Можно фича-реквест? Получение StdOut в переменную после выполнения ExecuteFile.
Реализацию можно посмотреть на MSDN: Creating a Child Process with Redirected Input and Output (Windows) ('https://msdn.microsoft.com/en-us/library/windows/desktop/ms682499(v=vs.85).aspx')
(там и Input, и Output, а нам нужен только Output, например, какой-то отдельной функцией, или новым опциональным аргументом у ExecuteFile).

Эта фича поможет получить отладочный вывод некоторых утилит, а также позволит взаимодействовать с любыми консольными программами, без необходимости в костылях вроде отдельного вызова cmd /c process.exe > file.txt с последующим чтением file.txt.

2)
>> Services: potentially dangerous service allowed: Schedule (Планировщик заданий)
Может стоит убрать из HTML лога эту запись? Начиная с Windows Vista и выше эта рекомендация скорее вредна.

3) http://virusinfo.info/attachment.php?attachmentid=655570&d=1487713143
В архиве логи AVZ собраны свежим полиморфом, но эти вирусные задания

O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8F - \Microsoft - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4 F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F28 7A761F55.exe" /S --setresetup (file missing)
O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8F - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4 F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F28 7A761F55.exe" /S --setresetup (file missing)
O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8FSB - \Microsoft - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4 F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F28 7A761F55.exe" /S --safebrowser (file missing)
O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8FSB - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4 F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F28 7A761F55.exe" /S --safebrowser (file missing)
O22 - ScheduledTask: (Ready) A68B36607-42CA-4906-9C0E-09036C85F6F8 - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\Macrome d\Flash Player\Updater Startup Utility\550F4B4B-00AE-47EB-9C72-BEEC75BB95FB.exe" --update (file missing)
увидел только новый HiJackThis.
Отзеркалил лог (http://www84.zippyshare.com/v/pkcgHKlz/file.html)на случай если юзер удалит.

Dragokas
26.02.2017, 23:27
1) Хочу еще раз напомнить про просьбу ускорить переход к ветке реестра из-под инструмента "Сервис -> Поиск в реестре". Решение описано здесь (http://virusinfo.info/showthread.php?t=189507&p=1367156&viewfull=1#post1367156).

2) В том же посте, решение с частичным зацикливанием поиска по реестру из-за отсутствия флага KEY_WOW64_64KEY.

3) Также предлагаю решение проблемы с выводом неверного пути к файлам при запуске AVZ из-под терминальной сессии.

Вкратце, под терминальной сессией API функция GetWindowsDirectory возвращает неверный путь к папке Windows, а именно - путь к профилю пользователя вместо c:\windows.
Чтобы решить эту проблему, необходимо проверять, если система Windows Server, то путь к папке виндовс определять не через GetWindowsDirectory, а например, с помощью раскрытия переменной окружения %SystemRoot%. В этой переменной хранится корректный путь к папке Windows, даже если её раскрыть программе, будучи запущенной под терминальной сессией.

regist
22.03.2017, 13:04
Зайцев Олег,
1) Пора бы уже обновить полиморфный AVZ. И исправление замеченных в нём багов хотелось бы увидеть и за того, что базы там не обновлялись давно логи становятся всё длиннее.

2) Тут (https://forum.kasperskyclub.ru/index.php?showtopic=54787#entry803105) у юзера опять были проблемы с отключением AVZPM. Этот вопрос и раньше несколько раз подымался, в частности тут (https://virusinfo.info/showthread.php?t=155719&page=2&p=1099956&viewfull=1#post1099956).


3) Появилась ещё одна модификация заданий, на момент их карантина на них не было детекта касперского и AVZ разумеется их тоже не видит. Сейчас смотрю уже появился детект HEUR:Trojan.Multi.StartPageTask.b
Примеры заданий можете посмотреть в карантине по ссылкам:
http://upload.virusinfo.info/index.php?action=findbytopic&topicid=209893
http://upload.virusinfo.info/index.php?action=findbytopic&topicid=209766
http://upload.virusinfo.info/show_analisys.php?fid=50538&topicid=209790
http://upload.virusinfo.info/show_analisys.php?fid=50567&topicid=209959
http://upload.virusinfo.info/show_analisys.php?fid=50586&topicid=209922

regist
09.04.2017, 17:08
Зайцев Олег,
1) Спасибо за обновление полиморфа. Можно узнать список изменений в нём?
Из того что сразу в глаза бросилось это:
Наконец убрали этот список подозрительных-системных файлов в низу лога.
Починили баг появившейся в предыдущем полиморфе, вставка Command line: <BR>"
Задание планировщика, про которое писал тут в пункте №12 (https://virusinfo.info/showthread.php?t=189507&p=1436480&viewfull=1#post1436480) до сих пор не видит.

2) Заметил довольно серьёзную багу, которая есть и в последней версии полиморфа и в предыдущих версиях AVZ, в частности из старых проверял версии 4.41, 4.43, 4,45. Проявляется не всегда, точней не на всех системах. Для воспроизведения на проблемной системе выполняем такой скрипт

begin
clearlog;
ExecuteFile(GetAVZDirectory + 'rsit.exe', '', 1, 15000, false);
AddTolog('Код возврата - ' + IntToStr(GetLastExitCode));
end.
rsit.exe - разумеется лежит рядом с AVZ. А ExecuteFile возвращает код ошибки 4294967295.

Спасибо Dragokas, за помощь, удалось потестировать удалённо эту ошибку на одной XP, где она стабильно воспроизводится. Отработает нормально и с других путей не связанных C:\Documents and Settings\ работает нормально, даже если они содержат в пути пробелы или русские символы.
А также добавлю, что даже если указывать полный путь, к примеру так

begin
clearlog;
ExecuteFile('C:\Documents and Settings\Администратор\Рабочий стол\rsit.exe', '', 1, 15000, false);
AddTolog('Код возврата - ' + IntToStr(GetLastExitCode));
end.
То всё равно будет ошибка.

Для теста создал папку C:\Documents
и положил туда rsit.exe
При запуске этого скрипта rsit.exe запустился.

Вот лог Process Monitor (http://www13.zippyshare.com/v/fhNRWXWG/file.html) в котором также видна проблема (отфильтрован, чтобы остались события только от AVZ).

Из-за этой баги AVZ в ряде тем не удалось получить логи с помощью AutoLogger-а, так как очевидно AVZ начинает искать утилиты для запуска совершенно в другой папке и как следствие ошибка запуска процесса.
Что-нибудь надо дополнительно проверить, чтобы вы исправили эту ошибку?

Sandor
11.04.2017, 11:41
Подтверждаю наличие описанной выше ошибки. Она проявилась и на Win7 в этой теме (http://www.cyberforum.ru/viruses/thread1953586.html).
С рабочего стола собрались только логи AVZ, а при запуске остальных утилит ошибка запуска процесса. А с корня диска C: - всё отработало нормально.
Если понадобятся логи, могу предоставить.

Зайцев Олег
13.04.2017, 15:49
Зайцев Олег,
Из-за этой баги AVZ в ряде тем не удалось получить логи с помощью AutoLogger-а, так как очевидно AVZ начинает искать утилиты для запуска совершенно в другой папке и как следствие ошибка запуска процесса.
Что-нибудь надо дополнительно проверить, чтобы вы исправили эту ошибку?
На текущей сборке полиморфа это проявляется ? Я обновил сегодня сборку, указанные скрипты должны нормально запускать процессы

regist
13.04.2017, 18:34
1)
Я обновил сегодня сборку
На проблемной XP свежий нормально отработал. Спасибо за исправление. На 7-ке надеюсь Sandor попросит того юзера и тот проверит.

2) Посмотрите этот дамп (http://www76.zippyshare.com/v/vH5reyk4/file.html) падения AVZ ? Похоже вылетает на этапе сканирования системы, это из этой (https://virusinfo.info/showthread.php?t=210672) темы.

3) Список изменений полиморфного AVZ хотя бы относительно полиморфа от 10-го февраля можно узнать? И в частности хочется протестировать эту фишку, если вдруг её уже реализовали.

Получение StdOut в переменную после выполнения ExecuteFile.

4) Хочется надеяться, что в релизе новой версии AVZ будет исправлен старый глюк с эмуляцией путей на серверных системах, пример лога (http://www54.zippyshare.com/v/nodVHNU5/file.html).

regist
23.04.2017, 17:50
Лог (http://www106.zippyshare.com/v/J0v1DuQr/file.html), по нему
1)
\\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\bufferutil\build\R elease\bufferutil.node
\\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\ffi\build\Release\ ffi_bindings.node
\\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\fs-ext\build\Release\fs-ext.node
\\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\idle-gc\build\Release\idle-gc.node
\\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\node-vulcanjs\build\Release\VulcanJS.node
Если не ошибаюсь раньше в AVZ было автообрезания префикса \\?\ при выводе в лог.

2) Видно, что на последнем полиморфе по прежнему выводятся в список подозрительных легальные системные файлы (это актуально и для windows 7).

3) Глюк с .dll (без имени) в HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Security Packages до сих пор не исправлен.

Также проверил, что

4) Задание про которое писал выше (и ссылку на которое выкладывал) последний полиморф до сих пор не видит.

5)
Проблема с кодировкой при копирование русского текста до сих пор не исправлена. Решение проблемы давно написано здесь (http://forum.kaspersky.com/index.php?showtopic=327882&pid=2441228&st=0&#entry2441228).
Также до сих пор не сделано.

Остальное проверять уже не стал, так как всё это перепроверять уходит много времени и не ясно исправляли ли вещи про которые писалось выше или нет.

Sandor
26.04.2017, 09:44
Я обновил сегодня сборку, указанные скрипты должны нормально запускать процессы
С обновленной версией на том же компьютере скрипты отработали нормально, спасибо.

regist
28.04.2017, 20:10
http://my-files.ru/wax089
В архиве дампы падения AVZ.

akok
03.05.2017, 16:04
1. Последняя версия полиморфа не отображает названия дисков и windows 10.
659400

2. В логе html неверно определяется статус работы восстановления системы, в логе она всегда отображается как включенная, а в win10 восстановление системы отключено по умолчанию (тест проведен с подачи regist).

- - - - -Добавлено - - - - -

Забыл, проверялось на сборке windows 10 16184

regist
05.05.2017, 17:47
В логе html неверно определяется статус работы восстановления системы, в логе она всегда отображается как включенная, а в win10 восстановление системы отключено по умолчанию
Добавлю, что это двойной баг. В HTML логе показывает всегда, что она включено, в XML лог всегда пишет (даже если включить), что она отключено. То есть в одной паре логов по одной и той же вещи выводится противоположная информация.

Dragokas
06.06.2017, 13:07
Нашли более простой и надёжный способ решения бага с получением пути к папке windows на сервере терминалов.

Для этого нужно заменить используемую вами функцию на GetSystemWindowsDirectory(), либо добавить флаг IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE к IMAGE_OPTIONAL_HEADER32.DllCharacteristics.

regist
23.08.2017, 15:17
1) http://z-oleg.com/secur/avz_doc/index.html?script_createqurantinearchive.htm

Функция создает архив с файлами, помещенными в папку карантина. Из имеющихся в папке Quarantine подкаталога выбирается тот, который соответствующего максимальной дате. Раньше ведь в архив помещались файлы только собранные в карантин сегодня. Как давно поменялось поведение AVZ? Или так было всегда и просто было недопонимание из-за ошибки в справке (https://virusinfo.info/showthread.php?t=155719&p=1264590&viewfull=1#post1264590)?

2) В русской справке ещё вот эти (https://virusinfo.info/showthread.php?t=155719&p=1119840&viewfull=1#post1119840) опечатки надо бы поправить.

3) http://z-oleg.com/secur/avz_doc/index.html?script_deletefilemask.htm

После завершения обработки папки в данном случае производится проверка, остались ли в ней файлы - если файлов не осталось, то папка автоматически удаляется.Уже несколько версий не удаляет, а в справке до сих пор неверная информация.

4) http://z-oleg.com/secur/avz/upload_qr.php - стоит увеличить лимит. На сегодняшний день лимит в 20 Mb при пополнение базы чистых это очень мало.

Dragokas
11.03.2018, 23:50
Зайцев Олег, можно сделать чтобы функция ExpRegKey экспортировала ключ в формате "Windows Registry Editor Version 5.00", а не 4 ?
Там по-моему нужно заменить RegSaveKey на RegSaveKeyEx с флагом REG_LATEST_FORMAT.

Спасибо.

Dragokas
13.07.2018, 22:03
Хорошо бы добавить возможность чтения скрытых ключей реестра (NtCreateKey, NtQueryKey, NtQueryValueKey, NtEnumerateKey, NtEnumerateValueKey, NtDeleteKey, NtDeleteValueKey).