PDA

Просмотр полной версии : AVZ 3.10 - предлагаю потестировать и обсудить



Страницы : [1] 2

Зайцев Олег
11.03.2005, 10:54
Новая версия AVZ 3.10 - лежит
http://z-oleg.com/avz-betta2.zip
Радикальные изменения:
1. По многочисленным просьбам появился прогресс индикатор процесса сканирования + оценка приблизительного времени до завершения сканирования.
2. Заработала эвристическая проверка системы. Сейчас в базе 154 микропрограммы, которые могут детектировать новые виды разного зверья (т.е. грубо говоря детекируется 154 семейства "зверей"). Проверка включается на главном окне, переключатель "Эвристическая проверка системы". Теоретически эта проверка должна ловить многое из того, что "живет" в описанных в разделе "Помогите" случаях на ПК пользователей. Найденные подозрительные объекты могут помещаться в карантин (автоматически или вручную). Это самое существенное изменение. Микропрограммы хранятся в базе SysCheck.avz;
3. Усовершенствован менеджер процессов: убивалка процессов теперь убивает абсолютно любой процесс, включая все системные (последствия убиения системного - синий экран :)). Для каждого процесса можно просмотреть список окон (включая невидимые);
4. Усовершенствован антикейлоггер и антируткит - по идее ложных срабатываний станет меньше. Для безопасных перехватчиков сделана особая база signfusr.avz - она имеет очень маленький размер будет регулярно обновляться. В эту базу также будем вносить безопасные процессы - типа ICQ, процессов антивирусов ...;
5. Знаменитый "PE файл с измененным расширением" изничтожен как класс - теперь эту и аналогичные проверки можно включить/выключить отдельно - переключатель "расширенный анализ", который можно включить только при максимальном уровне эвристики. По умолчанию он отключен, чтобы не замусоривать лог;
6. Изловлен и локализован ряд багов, которые были замечены в ходе прошлых обсуждений - пойманы ошибки режима 6 (проверка базы портов), вылетания при сканировании сбойного диска и т.п.;
7. Добавлен рад микропрограмм лечения - для более качественной зачистки системы после удаления рада "зверей", в частности для знаменитого Look2me
----------
В ближайших планах три новшества:
1. Скрипты для сбора информации с зараженного ПК, заточенные под данную конференцию - карантин файлов ...
2. Анализ автозапуска
3. Анализ BHO и настроек IE
Все эти вещи уже есть, но еще сыроваты - нужна минимум неделя на доводку
---------
Новая версия содержит обновленную базу - 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения, 154 микропрограммы эвристики

Как обычно, ложные срабатывания антикейлоггера нужно посылать напрямую мне на [email protected] для анализа и внесения в базу безопасных файлов.

gartu
11.03.2005, 11:38
Так что там с моими посланными заражёнными файлами-зверюшками, ещё дышат или уж коньки отбросили? Как прошла препарация?

santy
11.03.2005, 11:45
Протокол антивирусной утилиты AVZ версии 3.10
Сканирование запущено в 11.03.2005 14:15:34
Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
...
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "NOD32 protected [WinSock Proxy [tcp]]" --> отсутствует файл imon.dll
....
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 10
5. Поиск клавиатурных шпионов (Keylogger)
C:\WINNT\system32\PGPhk.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 95.56%
...
7. Эвристичеcкая проверка системы
>>>C:\WINNT\system32\ACTSKIN4.OCX подозрение на вирус Backdoor.Ciadoor.12
Проверка завершена
Просканировано файлов: 413, найдено вирусов 0
Сканирование завершено в 11.03.2005 14:15:55
Сканирование длилось 00:00:21

1. на imon.dll ругается, не прописан полностью путь в протоколе:) (я восстановил описание с помощью функции активизации imon.)

2. PGPhk.dll проверил в on-line.(ok)

3. файл actskin4.ocx выслан для проверки. (в принципе, on-line check признает его как все ок!)

Зайцев Олег
11.03.2005, 12:09
Протокол антивирусной утилиты AVZ версии 3.10
Сканирование запущено в 11.03.2005 14:15:34
Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
...
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "NOD32 protected [WinSock Proxy [tcp]]" --> отсутствует файл imon.dll
....
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 10
5. Поиск клавиатурных шпионов (Keylogger)
C:\WINNT\system32\PGPhk.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 95.56%
...
7. Эвристичеcкая проверка системы
>>>C:\WINNT\system32\ACTSKIN4.OCX подозрение на вирус Backdoor.Ciadoor.12
Проверка завершена
Просканировано файлов: 413, найдено вирусов 0
Сканирование завершено в 11.03.2005 14:15:55
Сканирование длилось 00:00:21

1. на imon.dll ругается, не прописан полностью путь в протоколе:) (я восстановил описание с помощью функции активизации imon.)

2. PGPhk.dll проверил в on-line.(ok)

3. файл actskin4.ocx выслан для проверки. (в принципе, on-line check признает его как все ок!)



C:\WINNT\system32\PGPhk.dll - это "шпиен" от шифровалки PGP - ее стоит прислать мне, я ее загоню в базу известных объектов (в базе уже есть одна такая - значит, версии разные).

Насчет ACTSKIN4.OCX вообще все интересно - в моей коллекции есть Backdoor.Ciadoor.12.a, который внутри содержит несколько приписынных к нему файлов, и такое впечатление, что среди них ACTSKIN4.OCX ! Вот и результат ... сам ACTSKIN4.OCX не опасен.

Posted by: gartu
Файл препарированы, один из них попал в базу

Geser
11.03.2005, 12:38
Посмотрел пока бегло. Кнопочки "добавить все неизвестные в карантин" в списке процессов и драйверов не нашлось :P

santy
11.03.2005, 12:39
C:\WINNT\system32\PGPhk.dll - это "шпиен" от шифровалки PGP - ее стоит прислать мне, я ее загоню в базу известных объектов (в базе уже есть одна такая - значит, версии разные).

Насчет ACTSKIN4.OCX вообще все интересно - в моей коллекции есть Backdoor.Ciadoor.12.a, который внутри содержит несколько приписынных к нему файлов, и такое впечатление, что среди них ACTSKIN4.OCX ! Вот и результат ... сам ACTSKIN4.OCX не опасен.


выслал PGPhk.dll и еще один подозрительный файл. (а за чем pgphk.dll "шпиенит"? не отслылает ли куда-не-надо ключевые фразы?:))

вот еще предложение. Нельзя ли в поиске файлов включить функцию перехода на найденный файл?

Geser
11.03.2005, 12:45
И баг с рефрешем на вкладке "сервисы по анализу реестра" часть колонок не рефрешится.

Geser
11.03.2005, 12:47
вот еще предложение. Нельзя ли в поиске файлов включить функцию перехода на найденный файл?

А зачем? Там есть кнопка копировать в карантин, а в карантине есть кнопка заархивировать с паролем. Всё что нужно для счастья ;D

Зайцев Олег
11.03.2005, 12:53
выслал PGPhk.dll и еще один подозрительный файл. (а за чем pgphk.dll "шпиенит"? не отслылает ли куда-не-надо ключевые фразы?:))

вот еще предложение. Нельзя ли в поиске файлов включить функцию перехода на найденный файл?

PGPhk.dll - это "шпион" (в кавычках естествено) - он ловит клавиатурные события и посылает их программе PGPTray. Это сделано для реакции на горячие клавиши и вероятно для реализации таких опций типа подписи буфера обмена и т.п. Файл понятно дело совершенно безопасен (у меня есть такой, только ранняя версия - на 10 кб меньше)
EHLO.DLL - плагин к чему-то. Я подкрутил в базе уровень срабатывания для детектировавшей его записи.



Нельзя ли в поиске файлов включить функцию перехода на найденный файл?
Можно - пожелание записано под номером 34 :) (я теперь веду базу данных, куда записываю все пожедания и глюки - иначе я уже начинаю путаться)
Posted by: Geser
Это будет - просто я не удержался и сбросил промежуточную версию (дело в том, что у меня базы то не обновлялись неделю из-за смены их формата - за это время в них попало около сотни зверей).

Geser
11.03.2005, 13:02
Непонятный глюк с открытыми портами.
В логе пишет, открыто 14 UDP потров. Иду на вкладку "Порты UDP", и вижу там только один открытый порт.

santy
11.03.2005, 13:04
А зачем? Там есть кнопка копировать в карантин, а в карантине есть кнопка заархивировать с паролем. Всё что нужно для счастья ;D

Ну, тогда кнопочку перейти в карантин avz. :) (вообщем-то, да. поиск, это ведь не менеджер файлов. :))

egik
11.03.2005, 13:39
проверил свою машину, ни одной ошибки ???
те которые были при тестировании предыдущих релизов, что не может не радовать, кстати может каких звуков добавить, а ?

Shu_b
11.03.2005, 14:06
Непонятный глюк с открытыми портами.
В логе пишет, открыто 14 UDP потров. Иду на вкладку "Порты UDP", и вижу там только один открытый порт.
Да, и возможно ли выделенную ячейку таблицы закрашивать не таким темно синим цветом?
И в некоторых ячейках происходит инверсия цвета текста, а в некоторых нет (Окно открытых портов). И бледно зелёный на тёмно синем с трудом читается.

Зайцев Олег
11.03.2005, 14:36
Непонятный глюк с открытыми портами.
В логе пишет, открыто 14 UDP потров. Иду на вкладку "Порты UDP", и вижу там только один открытый порт.

Это был баг номер 36 (я ввел жесткий учет багов и пожеланий, чтобы потом проще было анализировать, что и когда правилось) :) Он был тут-же пойман и попровлен.

Попутно я устранил ошибку (или не ошибку ?), которая проходит у меня как 30.2 - это LSP с именем файла без пути (такие есть только у NOD). В этом случае AVZ теперь проводит поиск такой DLL в System (или соответственно System32). Если находит, то в имени автоматом приписывается путь. Теперь с NOD конфликтов не будет ...
Я обновил архив у меня на сайте (там и база обновилась - в нее попал PGPhk.dll).

shu_b
Я попробую подобрать цвета - там есть кривой момент на выделенной ячейке из-за инверсии цвета.

Кстати, о копировании в карантин - никто не богат на хорошую иконку для кнопки "Копировать в карантин" (и для самого карантина) ?? Есть же сначки типа "Инфекция", "Бактериологиечская опасность" ... Я искал и не нашел ... мелочь конечно, но тем не менее ...

Зайцев Олег
11.03.2005, 14:44
проверил свою машину, ни одной ошибки ???
те которые были при тестировании предыдущих релизов, что не может не радовать, кстати может каких звуков добавить, а ?

Звуки добавить легко :) Только где их взять (истошное хрюканье Касперского нельзя - обвинят еще в римейке:) ).
Хотя лично я противник звуков - они как правило срабатывают в самый ненужный момент. Был у меня случай - я как-то полез сервер Oracle из дома администрировать в 24 часа ночи, а в утилите администрирования звук при запуске - кваканье жабы. Он и квакнул - на полную мощность колонок системы 5.1 ;D

Sanja
11.03.2005, 20:07
Совет
чтобы добавить красоту добавь манифест файл тогда к АВЗ будут применятся ХР темы :)

Casper
11.03.2005, 22:27
Олег, как насчет кнопочки аналогичной "Список отчета" у Вэба? Ну той, когда Протокол открывается практически на всю рабочую область программы... ИМХО так удобнее просматривать лог проверки, глазу больше видно и, соответственно, легче ориентироваться. Конечно можно сохранить лог и посмотреть его через Блокнот, но это же дольше. ;)

Зайцев Олег
11.03.2005, 22:48
Олег, как насчет кнопочки аналогичной "Список отчета" у Вэба? Ну той, когда Протокол открывается практически на всю рабочую область программы... ИМХО так удобнее просматривать лог проверки, глазу больше видно и, соответственно, легче ориентироваться. Конечно можно сохранить лог и посмотреть его через Блокнот, но это же дольше. ;)

Такую кнопку сделать легко - беру на заметку. При нажатии протокол проще всего открыть в отдельном окне. Кроме того, я думаю (но это дальний прицел) сделать протокол в стиле Visual Studio 2003 - с возможностью сворачивать фрагменты протокола по группам.

Casper
11.03.2005, 23:11
После некоторого тестирования: Progress bar ведет себя порой странновато... При прохождении Сканирования дисков - показывает неверный прогресс. Реальное Сканирование заканчивается в тот момент, когда прогресс преодолел всего-лишь половину шкалы. Из 8 различных запусков в 3 происходила подобная ошибка. ;D

Зайцев Олег
11.03.2005, 23:20
После некоторого тестирования: Progress bar ведет себя порой странновато... При прохождении Сканирования дисков - показывает неверный прогресс. Реальное Сканирование заканчивается в тот момент, когда прогресс преодолел всего-лишь половину шкалы. Из 8 различных запусков в 3 происходила подобная ошибка. ;D

А сколько на диске файлов ?
Дело в стом, что для прогресс-бара в AVZ отдельный поток - он подсчитывает файлы, которые предстоит сканировать. Если файлов мало, то прогресс-индикатор шалит, т.к. скорость проверки у AVZ сопоставима с скоростью обхода дерева каталогов ... кстати, прогресс-индикатор может ползать назад, это тоже связано с фоновым подсчетом файлов.

Casper
11.03.2005, 23:26
А сколько на диске файлов ?
Дело в стом, что для прогресс-бара в AVZ отдельный поток - он подсчитывает файлы, которые предстоит сканировать. Если файлов мало, то прогресс-индикатор шалит, т.к. скорость проверки у AVZ сопоставима с скоростью обхода дерева каталогов ... кстати, прогресс-индикатор может ползать назад, это тоже связано с фоновым подсчетом файлов.

В проверяемом каталоге было не более 100 файлов (без учета архивов, AVZ же их не берет...). Скорее всего дело и вправду в этом, т.к. время сканирования более обширных каталогов он определяет верно.

alex31
12.03.2005, 17:25
Заметил небольшую неточность)
в списке библиотек адрес загрузки почему-то назван PID...

Ещё хорошо бы сделать такую фичу как в RKDetector
то есть АВЗ запоминает какие библиотеки она использует и сравнивает со списком текущих библиотек..и помечает неизвесные библиотеки как подозрительные...

12.03.2005, 19:18
Извините, если не туда пишу :)
Прверила комп AVZ и программа выдала такое:

5.
C:\WINDOWS\System32\SynTPFcs.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 84.57%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 15 TCP портов и 19 UDP портов
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (svchost.exe)

п. 5 - это что-то опасное?

п. 6 - что с этим делать?

drongo
12.03.2005, 19:57
Лиль , файл послать для анализа зайцеву олегу ;)
а по поводу портов : закрыть все не нужные службы от винды и поставить стенку .

13.03.2005, 13:29
5 - неопасное, это софт для Synaptics TouchPad/CPad, у вас, видать по всему, ноутбук. Обычное ложное срабатывание нейросетевого анализатора AVZ. :)
6 - или ничего не делать, или остановить "Службу обнаружения SSDP" в системных службах.

Насчет рекомендации предыдущего товарища "поставить стенку" - не слишком понятно, почему он решил, что она не поставлена... ;D

Зайцев Олег
13.03.2005, 14:32
Заметил небольшую неточность)
в списке библиотек адрес загрузки почему-то назван PID...

Это по инерции, должно быть "HModule" - исправлю ...


Ещё хорошо бы сделать такую фичу как в RKDetector
то есть АВЗ запоминает какие библиотеки она использует и сравнивает со списком текущих библиотек..и помечает неизвесные библиотеки как подозрительные...

Это сделано - именно поэтому в антикейлоггер выдает сообщения "подозрение на кейлоггер или троянскую DLL" - с кейлоггером все ясно, а троянская DLL - это DLL, которая внедрена в процесс AVZ, но им не используется и явно/неявно не загружалась. Это полезная фича, позволяет ловить разных "зверей", но есть много ложных срабатываний - разные украшалки Windows, примочки от Notebook ... очень любят внедрять кучу DLL во все процессы без разбора :( С другой стороны, моя база известных безопасных DLL растет, количество ложных срабатываний постепенно сойдет к нулю.
Posted by: Lil
SynTPFcs.dll - это почти наверняка перехватчик (скорее всего мышиный), и почти наверняка безопасный ... стоит прислать его мне для анализа.
Posted by: badGuy
А почему ложное срабатывание :) ? AVZ же не в состоянии сообразить, вредный это перехватчик или полезный ... и скорее всего никогда не сможет - разница между "вредоносным" и "полезным" перехватчиком только в его применении.

Кстати, о кейлоггерах - тут мне очередной SpyWare прислали на анализ - Web 3000. На него антикейлоггер AVZ завопил ... - я думал ложное срабатывание - а оказалось, что на борту этого SpyWare еще и кейхук/мышехук + хук оконных событий ! Создатели SpyWare совсем обнаглели ... правда, слежение за клавиатурой/мышом у него весьма интересное - он фиксирует время и периодичность возникновения клавиатурно/мышиных событий для анализа активности юзера.

Fluid
13.03.2005, 16:28
Здравствуйте.
Проверил комп(Win XP Pro, без сервиспаков) AVZ c базой вирусов от 11.03.2005
Вот лог:
3. Сканирование дисков
C:\Program Files\Opera7\Plugins\npwthost.dll>>>>> Вирус !! Spy.WildTangent
C:\Program Files\Opera7\Plugins\npwtplug.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.26\stopwcmdr.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.26\updatenow.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.26\wcmdmgrl.exe>>> подозрение на Spy.WildTangent ( 003D4ED3 00000000 00207654 00000000 20480)
C:\WINDOWS\wt\backup\1.5.1.26\wtcpl.dll>>> подозрение на Spy.WildTangent ( 00722001 00000000 001A1B19 001EEBF1 45056)
C:\WINDOWS\wt\backup\1.5.1.36\stopwcmdr.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\updatenow.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\wcmdmgr.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\wcmdmgrl.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\wtcpl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\stopwcmdr.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\updatenow.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\wcmdmgr.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\wcmdmgrl.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\wtcpl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wdengine.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wthost.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wthostctl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wtwmplug.ax>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wt3d.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\legacy\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\legacy\wt3d.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\npwthost.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\npwtplug.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wdengine.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wthost.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wthostctl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wtvh.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wtwmplug.ax>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtvh.dll>>>>> Вирус !! Spy.WildTangent

5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Common Files\ReGet Shared\CatchOp.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 13.04%

7. Эвристичеcкая проверка системы
>>>C:\WINDOWS\wt\webdriver\webdriver.dll подозрение на вирус Spy.WindTangent

Проблема с C:\WINDOWS\wt... я спросил у Яндекса, и получил:
http://www.liutilities.com/products/wintaskspro/processlibrary/wcmdmgr/
Там говорят, не вирус, не троян и не спайварь.

C:\Program Files\Common Files\ReGet Shared\CatchOp.dll - я приатачил к письму на [email protected],
вместе с файлами из C:\WINDOWS\wt\ и C:\Program Files\Opera7\Plugins\

Спасибо за внимание.

Зайцев Олег
13.03.2005, 18:15
Про WindTabgent можно почитать тут:
http://www.spyany.com/program/article_spw_rm_WildTangent.html
http://www.scanspyware.net/info/WildTangent.htm
но самый заслуживающий доверия источник - это лаборатория PertPatrol (ныне CA):
http://www3.ca.com/securityadvisor/pest/emerging.aspx - согласно этим данным, WildTangent был обнаружен на 22386 компьютерах за последний месяц !
Выдержка из описания:

Will share your first and last name, address, email address, phone number, and other information. Collects system configuration information such as your computer's CPU speed, video card configuration, and DirectX version. Collects product usage information such as the number of product launches and time spent using a product ...
т.е. в переводе это понимается как - передает вашу фамилию, адрес, адрес электронной почты и другую информацию. Собирает системную конфигурацию и информацию о использовании программынх продуктов ...
Из моих исследований - в категорию "Spy" он попал из за передачи персональных данных пользователя, скрытного обмена с сайтом разработчиков, скрытного сбора системной информации, скрытной закачки и установки своих обновлений (замечу, что ядро его "живет" в папке WT внутри Windows, свое наличие он никак визуально не проявляет). У меня в сети от WT было вычищено около 15 ПК, причем о его наличие никто из пользователей не подозревал .... Папки с именами типа "2.0.6.007" - это обновления WT, которые он скрытно таскает из Инет - со временем таких папок становится все больше. Причем замечу, что категория у него именно Spy (а не AdWare), он под нее идеально подходит.

13.03.2005, 19:48
2 Зайцев Олег

А почему ложное срабатывание?

И не просто "ложное срабатывание", а "обычное ложное срабатывание" на незнакомый нейроанализатору AVZ keylogger! И вот почему. Давайте взглянем на лог AVZ:

C:\WINDOWS\System32\SynTPFcs.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 84.57%
C:\WINDOWS\System32\TDispVol.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 9.66%
>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 2.54%

Все три увиденные AVZ dll (несмотря ни на какие проценты!!! :)) являются keylogger-ами чистой воды ("полезными", естественно :)). Тогда как я, как пользователь, должен оценивать такой результат работы AVZ? Как бред (особенно в последнем случае, когда, с одной стороны, LvHook.dll является "с высокой степенью вероятности" keylogger-ом, а с другой - нейроанализатор дает ему только 2.5 процента из 100 на то, что это keylogger) или как попытку расписаться в бессилии нейроанализатора AVZ при распозновании keyllogger-ов? Или я чего-то не догоняю? И зачем вообще нужна эта "оценка нейросетью", эти проценты, что они мне (или кому-то другому) реально дают, кроме путаницы? Уже (прошло ведь некоторое время с тех пор, как в AVZ появился нейроанализатор) понятно, что как ни обучай нейроанализатор, он и дальше будет давать такой же разброс процентов в оценке незнакомых ему файлов (иными словами, "сколько волка ни корми - все равно в лес смотрит!")! И в чем тогда смысл его использования в AVZ? В том, что лет этак через "...дцать", когда "мировое сообщество" пришлет все мыслимые и немыслимые keylogger-ы на обучение AVZ, он все-таки чему-нибудь научится? ;D

Да и вообще, на мой взгляд, применение нейросети для поиска keylogger-ов - это, как минимум, очень и очень спорная вещь. :P


Это по инерции, должно быть "HModule" - исправлю ...

Термин "HModule" или "HMODULE" - это чисто программный термин, handle, и вряд ли есть смысл его применения в данном случае. Гораздо нагляднее и правильнее, на мой взгляд, использование термина "Module Base" или "Base", как у Process Explorer от SysInternals (правда, они тоже применяют термин handle, но в другом, более очевидном, контексте).

Зайцев Олег
13.03.2005, 21:00
2 Зайцев ОлегИ не просто "ложное срабатывание", а "обычное ложное срабатывание" на незнакомый нейроанализатору AVZ keylogger! И вот почему ...

Надо будет написать статью про нейросети ;D
По существу - нужно менять сообщение в логе (это существенно и это моя вина, т.к. путаницу вносит именно формулировка сообщения, которую я выдаю в лог). Нейросеть уже обучена и почти не дообучается ... и работает верно ! Но ей исходно не ставилась задача сказать, кейлоггер это, или нет ...
Фокус тут вот в чем - процент показывает, насколько исследуемый файл похож на некий типичный клавиатурый перехватчик (100% - ну очень похож, буквально шаблонное решение; 0% - не похож вообще - или не является перехватчиком, или применен некий нетипичный прием). Т.е. формулировка в лога AVZ должна быть:
Оценка нейросетью: файл похож на типовой перехватчик событий клавитуры/мыши на X %

Т.о. как понимать наш лог:
SynTPFcs.dll - очень похож на типичный перехватчик (84%) и скорее всего им и является, причем решение явно шаблонное;
TDispVol.dll - на стандартне решения не похож 9.66% (вывод - это или не перехватчик, или в нем что-то нетипичное)
CatchOp.dll - 13% - аналогично, почти не похож на типовой перехватчик. Я для примера провел его анализ - и действительно, он действительно совершенно не похож на типовой перехватчик ....

Аисключение ложны срабатываний произойдет очень скоро - на файлы из базы известных файлов AVZ не ругается. С момента выхода версии 2.90 мне прислали около 500 файлов - это уже закроет многие срабатывания (лидеры - Lingva, PuntoSwitcer, DLL от Opera, BitDefender, Symantec; куча DLL от ноутбуков (точпад и т.п.), DLL от мультемедиа клавиатур и мышей - тут лидеры A4 и Logitech). Размер этой базы - 1.5 кб :)

Аналогичный анализ скоро появится в диспетчере процессов - т.е. оценка степени похожести на типового червя, типовой TrojanDownloader ... цифры эти естественно будут говорить только об одном - о похожести исследуемого объекта на некие известные - при анализе это может пригодится

kps
13.03.2005, 21:32
Потестил новую версию - придраться не к чему. Да не, шутка, я всегда найду к чему придраться ;D
1) Индикатор процесса проверки иногда правда шалит. Может, все-таки имеет смысл подсчитывать кол-во проверяемых файлов перед проверкой ? Скажем, выкинуть это в отдельную опцию и чтобы при включении появлялось предупреждение типа "подсчет файлов перед проверкой может занять несколько минут.. Вы уверены?"
2) Часто, когда останавливаешь сканирование (жмешь на "Стоп") происходит такая ошибка и АВЗ зависает ::)
http://kps.sbn.bz/avzscr.gif

3) В большинстве случаев, когда включена эвристич. проверка системы - при сканировании появляется такая ошибка и АВЗ тоже зависает...
http://kps.sbn.bz/avzscr2.gif

Тестировалось под Win98

Зайцев Олег
13.03.2005, 23:26
Потестил новую версию - придраться не к чему. Да не, шутка, я всегда найду к чему придраться ;D

И это правильно :) Самое главное - что все по существу. Итак:
1. В принципе, можно сделать чуть иначе - не ждать подсчета абсолютно всех файлов, а дать потоку подсчета "фору" в виде приоритета и таймаута на N секунд перед запуском сканирования (опционально). Это я продумываю и пробую ...
2, 3 Это баги номер 40 и 41 соотвественно - записываю в базу и начинаю над ними работать;
Что интересно - эти баги вылезают только под Win95/98. И что интересно - под Virtual PC с Win98 их нет. Явно что-то неладно с синхронизацией потоков, сейчас я все это перепроверю ...

14.03.2005, 11:51
2 Зайцев Олег

Надо будет написать статью про нейросети

Хочется добавить: "...чтобы самому наконец-то понять, зачем я вставил нейро-сетевой анализатор в AVZ?" :)


Фокус тут вот в чем - процент показывает, насколько исследуемый файл похож на некий типичный клавиатурый перехватчик (100% - ну очень похож, буквально шаблонное решение; 0% - не похож вообще - или не является перехватчиком, или применен некий нетипичный прием).

Так-так... Ну, давайте посмотрим на "типичность" и "нетипичность" приемов, использованных в каком-нибудь keylogger-е... :)

Берем тот самый присноупомянутый Lingvo. Вот лог AVZ:

>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 2.54%

Итак, нейросеть оценила, что только на 2.5% эта dll - кейлоггер. Что же, проверим, это "ложное срабатывание" или нет... С чего начнем? Ну, к примеру - со списка импортируемых функций (мы, в отличие от нейроанализатора, пользуемся алгоритмическими методами, и знаем, с чего начинать исследование). Что же импортирует LvHook.dll? Смотрим... ага! Да тут стандартный набор hook-овых функций: и CallNextHookEx, и UnhookWindowsHookEx, и GetWindowThreadProcessId, и GetKeyState. Для полного счастья не хватает только SetWindowHookEx! :) И этого набора хватило нейроанализатору только на 2.5%??? ;D

Полагаю, что не далее уже не стоит продолжать исследование LvHook.dll, чтобы дать однозначную оценку следующему утверждению:

Нейросеть уже обучена и почти не дообучается ... и работает верно !

А кто-то когда-то сказал, что "критерием истины является практика". ;D

14.03.2005, 14:51
1) Индикатор процесса проверки иногда правда шалит. Может, все-таки имеет смысл подсчитывать кол-во проверяемых файлов перед проверкой ? Скажем, выкинуть это в отдельную опцию и чтобы при включении появлялось предупреждение типа "подсчет файлов перед проверкой может занять несколько минут.. Вы уверены?"

Может просто на время подсчета заменять прогрессбар на надпись: "Идет сбор данных о файлах для проверки..." Или на что-то еще а этом роде.

Geser
14.03.2005, 17:45
"Сервисы по анализу реестра" глючит рефреш, не работает кнопка "Сохранить протокол" :(
И постарайся найти англоязычную винду, а то на ней почти нет зелёных драйверов, сервисов и процессов :( Или хотя бы кнопочку "Поместить в карантин все неизвестные", я тебе пришлю то что у меня.

Зайцев Олег
14.03.2005, 18:55
Я пропустил обширный кусок флейма выше - у меня HDD сгорел ... :(


"Сервисы по анализу реестра" глючит рефреш, не работает кнопка "Сохранить протокол"

Уже поправлено, в новой версии уже есть возможность копирования всех неизвестных в карантин, сохранение лога тоже сделано - в CSV файл. Английской версии XP у меня к сожалению нет - вероятно, придется действительно ограничиться процессами и сервисами ...
Кроме того, подтвержден баг на Win98 - вылетает ошибка при сканировании диска.

Geser
14.03.2005, 19:14
Уже поправлено, в новой версии уже есть возможность копирования всех неизвестных в карантин, сохранение лога тоже сделано - в CSV файл.
Кстати, везде было бы не плохо добавить дату последнего изменения, и возможность сортировки по ней.

kps
14.03.2005, 20:21
Судя по этому

>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 1176 c:\winnt\system32\fwagvmzk.exe
АВЗ уже умеет с большой долей вероятности обнаруживать маскирующиеся процессы руткита? Классно. Кстати, интересно- в базу безопасных перехватчиков добавлена инфа о мониторе КАВ ? На него ведь часто срабатывает антируткит.

Зайцев Олег
14.03.2005, 20:53
Судя по этомуАВЗ уже умеет с большой долей вероятности обнаруживать маскирующиеся процессы руткита? Классно. Кстати, интересно- в базу безопасных перехватчиков добавлена инфа о мониторе КАВ ? На него ведь часто срабатывает антируткит.

Да, это новшестно AVZ 3.10 - он умеет ловить маскирующиеся процессы. Правда, только при включенном противодействии и только один раз за сеанс - он сравнивает состояние системы до и после нейтрализации руткита. Но могут быть ложные срабатывания - если в ходе противодействия руткиту что-то запустить .... Монитор я добавлю - тут будет особый анализ - будет проверяться программный код перехватчика функции в памяти - иного пути я пока не вижу.

Nika
14.03.2005, 21:25
Протокол антивирусной утилиты AVZ версии 3.10
Сканирование запущено в 14.03.2005 19:54:39
Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
Загружены микропрограммы эвристики: 154
Загружены цифровые подписи системных файлов: 24033
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (559) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=074C00, RVA=074C00)
2. Проверка памяти
Количество найденных процессов: 33
Количество загруженных модулей: 331
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
C:\WINDOWS\System32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.44%
C:\Program Files\Softwin\BitDefender8\bdoe.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 71.01%
C:\WINDOWS\System32\XCOMM.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.39%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 10 TCP портов и 10 UDP портов
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (svchost.exe)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 11805, найдено вирусов 0
Сканирование завершено в 14.03.2005 19:59:55
Сканирование длилось 00:05:15
протестировала новой утилитой и вот что она выдала. Что это? спасибо. Nika.

Fluid
15.03.2005, 12:07
Здравствуйте.
Спасибо за всем помощь, оказанную мне по поводу моего вопроса.
Отдельное спасибо Олегу за письмо и рекомендации :-).
Проблема решена, спайвари убиты, я фанатею от AVZ. :-)
Ещё раз благодарю за внимание и помощь.

15.03.2005, 14:33
Протокол антивирусной утилиты AVZ версии 3.10
Сканирование запущено в 15.03.2005 14:13:35
Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
Загружены микропрограммы эвристики: 154
Загружены цифровые подписи системных файлов: 24033
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessW (77) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:CreateRemoteThread (78) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:DebugActiveProcess (89) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:ExitProcess (145) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:FreeLibrary (200) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:GetProcAddress (344) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:LoadLibraryExW (488) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:OpenThread (540) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:TerminateProcess (722) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:TerminateThread (723) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:WriteProcessMemory (798) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=07F7E0, RVA=07F7E0)

как можно вычислить, кто эти перехватчики установил?!
При выборе Блокировки - все корректно блокируется (при следующих проверках ничего не находит) , но после перезагрузки - все встает на свои места.

Заранее благодарен

Зайцев Олег
15.03.2005, 15:01
как можно вычислить, кто эти перехватчики установил?!
При выборе Блокировки - все корректно блокируется (при следующих проверках ничего не находит) , но после перезагрузки - все встает на свои места.

Заранее благодарен

Тут можно сделать несколько выводов:
1. Это точно перехват - иначе AVZ бы или вылетел с ошибкой после лечения, или бы увидел перехват при повторном сканировании (наличие перехвата при выходе из AVZ и повторном его запуске - норма. Дело в том, что AVZ "лечит" руткита только для своего процесса);
2. Набор функций немного странный для руткита - больше похоже на некий антивирусник, Firewall или отладчик.

Для более точного определения стоит снять лог HijackThis и сбросить его для анализа ... или поочередно выгружать запущенные программы и повторять сканирование без блокирования RootKit до пропадения перехвата. Хотя установлено, что при выгрузке некоторых антивирусных мониторов (в частности KAV) перехват остается

15.03.2005, 15:08
Было бы класно , если было бы возможно точно определить какая программа перехватывает . Если не возможно это сделать с помощью самой AVZ , может какой плагин придумаете ?
Спасибо .

Зайцев Олег
15.03.2005, 15:55
Было бы класно , если было бы возможно точно определить какая программа перехватывает . Если не возможно это сделать с помощью самой AVZ , может какой плагин придумаете ?
Спасибо .

Да тут беда не к сожалению не в плагине (написать что-то как раз легко), а в методике.... - нет хорошей методики определения. Дело в том, что AVZ "видит" изенения в коде функции, в большинстве случаев может найти тело функции-перехватчика. Но ассоциировать ее с приложением пока не выходит (к примеру, программа Х может внедрить в чужой процесс перехватчик, но при этом проследить связь между перехватчиком и внедрившей его программой Х очень затруднительно) ... но работы в этом направлении ведутся. Пока идея только одна - сигнатуры для опознания известных перехватчиков ....

azza
15.03.2005, 17:38
Заранее предупреждаю, что я чайник в этом вопросе, поэтому прошу отнестись к тому, что я предложу снисходительно, но нельзя ли как-то спровоцировать хозяина перехватчика проявить себя, сэмулировав события, которые он перехватывает? :)

15.03.2005, 18:43
Тут можно сделать несколько выводов:
1. Это точно перехват - иначе AVZ бы или вылетел с ошибкой после лечения, или бы увидел перехват при повторном сканировании (наличие перехвата при выходе из AVZ и повторном его запуске - норма. Дело в том, что AVZ "лечит" руткита только для своего процесса);
2. Набор функций немного странный для руткита - больше похоже на некий антивирусник, Firewall или отладчик.

Для более точного определения стоит снять лог HijackThis и сбросить его для анализа ... или поочередно выгружать запущенные программы и повторять сканирование без блокирования RootKit до пропадения перехвата. Хотя установлено, что при выгрузке некоторых антивирусных мониторов (в частности KAV) перехват остается


методом исключения выяснилось - виновник Tiny Personal Firewall....

Зайцев Олег
15.03.2005, 22:24
Заранее предупреждаю, что я чайник в этом вопросе, поэтому прошу отнестись к тому, что я предложу снисходительно, но нельзя ли как-то спровоцировать хозяина перехватчика проявить себя, сэмулировав события, которые он перехватывает? :)

Можно и достаточно логично это сделать. AVZ применяет это как один из элементов охоты на кейлоггеры - он имитирует нажатие клавиш и перемещение мыши и "смотрит" на реакцию системы. Нечто подобное я пытаюсь применить для руткита ....
Posted by: Dandy
Понятно - значит, Tiny контролирует создание/становку процессов и загрузку библиотек ... - это логично для Firewall

hitretz
16.03.2005, 04:02
Здравствуйте Олег.Я вобщем-то недавно столкнулся с вашей программой и она мне очень помогла.Хотел только спросить-а почему нет поиска обновлений и их загрузка?Спасибо

pig
16.03.2005, 12:22
Так бета же. Всё будет. Первым делом - самолёты. А шашечки - потом.

17.03.2005, 10:59
Объясните, пожалуйста, что означает "таблица экспорта найдена в секции .text" ? Это что-то нехорошее?

И ещё вопрос - не знаю куда написать -
вчера при выключении компа вылезло уведомление о не отвечающей программе со странным названием CiceroUIWindFrame - что это может быть не могу нигде найти. Проверяла Кашперским, AVZ, AntiSpyWare - никто ничего не находит. Кто нибудь знает что это такое?

Зайцев Олег
17.03.2005, 13:36
Объясните, пожалуйста, что означает "таблица экспорта найдена в секции .text" ? Это что-то нехорошее?

И ещё вопрос - не знаю куда написать -
вчера при выключении компа вылезло уведомление о не отвечающей программе со странным названием CiceroUIWindFrame - что это может быть не могу нигде найти. Проверяла Кашперским, AVZ, AntiSpyWare - никто ничего не находит. Кто нибудь знает что это такое?

"таблица экспорта найдена в секции .text" - это отладочное сообщение, просто констатация факта ... в окончательно релизе я наверно это уберу.
Название CiceroUIWindFrame вроде как принадлежит системному окну - вот описание похожего глюка:
http://www.tech-archive.net/Archive/Outlook/microsoft.public.outlook/2004-03/9167.html

azza
17.03.2005, 14:47
И ещё вопрос - не знаю куда написать -
вчера при выключении компа вылезло уведомление о не отвечающей программе со странным названием CiceroUIWindFrame - что это может быть не могу нигде найти.

Вот здесь почитай:
http://groups.google.nl/groups?hl=nl&ie=UTF-8&oe=UTF-8&q=CiceroUIWndFrame&sa=N&tab=wg&lr=
А поможет наверное это:
http://www.attention-to-details.com/newslog/391-remove-cicerouiwndframe-to-avoid-crashes.asp#a281

Alexey P.
18.03.2005, 09:59
Как отключить распознавание речи и рукописного ввода в Microsoft
Office XP
Код статьи : 326526
Последний просмотр : 8 апреля 2003 г.
Редакция : 1.0

Данная статья была ранее опубликована под номером RU326526

Содержание
Аннотация
Удаление компонентов из установки Office
 Отключение распознавания рукописного ввода
Отключение распознавания речи
Ссылки

Продукт Microsoft Office содержит компоненты распознавания речи и
рукописного ввода.

Вы можете использовать распознавание речи, чтобы диктовать текст в
любом приложении Office. Также, Вы можете выбирать пункты меню,
панели инструментов, диалоговые окна (только в Англоязычной версии)
и элементы панели задач (только в Англоязычной версии), пользуясь
Вашим голосом. Распознавание речи устанавливается как часть таких
типов установок Office, как "Обычная" и "Полная". Если выбран режим
установки "Выборочная", то программа установки Office установит эти
компоненты как часть компонента "Альтернативный ввод данных" из
раздела "Общие средства Office".

Использование распознавания рукописного ввода для ввода текста в
любое приложение Microsoft Office позволяет писать, вместо того
чтобы печатать. Вы можете писать, используя мышку или используя
устройства рукописного ввода сторонних производителей. Приложения
Office могут автоматически преобразовывать этот ввод в напечатанный
текст. В Microsoft Word и Microsoft Outlook (если Word является
редактором для почты) рукописный ввод может быть сохранен в виде
объекта "картинка" Вашей личной подписи. Функция распознавания
рукописного ввода поддерживает функции рисования, и поэтому Вы
можете вставлять в Ваши документы Word рисунки, сделанные от руки.

После установки Office XP и включения компонентов распознавания речи
и рукописного ввода эти компоненты становятся частью операционной
системы и не могут удалены, даже если Вы удалите эти компонеты в
режиме "Сопровождение" программы установки Office XP.

В данной статье описывается, как отключить распознавание речи и
рукописного ввода.

К началу статьи

Удаление компонентов из установки Office

Внимание! Некорректное использование редактора системного реестра
может привести систему в неработоспособное состояние и потребовать
проведения полной переустановки операционной системы. Microsoft не
несет ответственности за некорректное использование редактора
реестра.

Примечание: Поскольку в различных версиях Windows процедура
выполнения следующих действий может отличаться, руководствуйтесь
прилагаемой к системе документацией.

1. Нажмите комбинацию клавиш "CTRL+ALT+DEL" и запустите "Диспетчер
задач".
Прейдите на вкладку "Процессы". Если процесс "CTFMON.EXE"
2. находится в списке, то следует выделить его и нажать кнопку
"Завершить процесс".
3. Закройте окно "Диспетчера задач".
4. Нажмите кнопку "Пуск" и откройте "Панель управления".
5. Откройте элемент "Установка и удаление программ".
6. Выберите из списка продуктов "Microsoft Office XP" и нажмите
кнопку "Изменить".
7. Выберите параметр "Добавить/удалить компоненты" и нажмите кнопк
"Далее".
В окне "Устанавливаемые компоненты" выполните следующие
действия:

Раскройте ветвь "Microsoft Office".

Раскройте ветвь "Microsoft Excel for Windows", щелкните по
значку рядом с компонентом "Текст в речь" и выберите вариан
установки "Недоступно".
Раскройте ветвь "Общие средства Office".

Раскройте ветвь "Альтернативный ввод данных".
8.
Щелкните по значку рядом с компонентом "Речь" и выберит
вариант установки "Недоступно".
Щелкните по значку рядом с компонентом "Рукописный ввод
и выберите вариант установки "Недоступно".
Раскройте ветвь "Средства проверки правописания".

Раскройте ветвь "Французский", щелкните по значку рядом
с компонентом "Английский - Французский перевод" и
выберите вариант установки "Недоступно".
Раскройте ветвь "Испанский", щелкните по значку рядом с
компонентом "Английский - Испанский перевод" и выберите
вариант установки "Недоступно".
9. Нажмите кнопку "Обновить".
10. После завершения обновления нажмите кнопку "Пуск" и запустите
команду "Выполнить".
В строке "Открыть" введите команду regsvr32 /u msctf.dll и
11. нажмите кнопку "ОК". При появлении сообщения об успешном
выполнении программы нажмите кнопку "ОК".
12. Нажмите кнопку "Пуск" и запустите команду "Выполнить".
13. В строке "Открыть" введите команду regedt32.exe и нажмите кнопку
"ОК".
14. Откройте следующий раздел системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\
15. Правой кнопкой мыши щелкните по параметру "Ctfmon.exe", выберите
команду "Удалить" и нажмите кнопку "Да".
16. Закройте редактор реестра.

Повторите шаги с 1-го по 16-й для каждого профиля на данном
компьютере.

К началу статьи

Отключение распознавания рукописного ввода

1. Нажмите кнопку "Пуск" и откройте "Панель управления".
2. Откройте элемент "Язык и региональные стандарты".
3. Перейдите на вкладку "Языки" и нажмите кнопку "Подробнее".
4. Нажмите кнопку "Языковая панель".
5. Установите флажок "Выключить дополнительные текстовые службы".
6. Нажмите кнопку "ОК". При запросе о подтверждении изменений
нажмите кнопку "Да". Нажмите кнопку "ОК".

К началу статьи

Отключение распознавания речи

1. Нажмите кнопку "Пуск" и откройте "Панель управления".
2. Откройте элемент "Язык и региональные стандарты".
3. Перейдите на вкладку "Языки" и нажмите кнопку "Подробно".
4. В списке "Установленные службы" выберите "Распознавание речи" и
нажмите кнопку "Удалить", затем нажмите кнопку "ОК".
Нажмите кнопку "ОК", чтобы применить все изменения.
5.
Перезагрузите компьютер.

К началу статьи

Ссылки

За дополнительной информацией по компонентам распознавания речи и
рукописного ввода обратитесь к следующим статьям Microsoft Knowledge
Base:
321768 OFFXP: Computer Runs Slowly When You Use Handwriting
Recognition and Speech Recognition Components
315765 PRB: Random Characters Appear in Office XP Documents or the
Internet Explorer Address Bar After You Install Speech Recognition
К началу статьи

----------------------------------------------------------------

Информация в данной статье применима к:

Microsoft Office XP Standard Edition
Ключевые слова: kbhowto kbhowtomaster kbdta KB326526

. 2005 Корпорация Microsoft. Все права защищены.

Зайцев Олег
18.03.2005, 11:38
Вышла новая версия AVZ - версия 3.11
Изменения:
1. Изловлена ошибка, возникающая в Win 98 при сканировании (из-за этого и выпущена версия)
2. Обновлены базы, разные мелкие доработки в антирутките, нейросети ...
3. Новая база: 10362 сигнатуры, 1 нейропрофиль (пошедший очередное обучение), 19 микропрограмм лечения, 161 микропрограмма эвристики, 24681 безопасных файла (в базу безопасных файлов занесено более 500 файлов, на которые ругался антикейлоггер - большое спасибо всем, кто прислал эти файлы на анализ)
4. Немного доработаны просмотрщики процессов и сервисов - из диспетчера процессов теперь можно копировать в карантин все процессы (и все DLL процесса), которые отсутсвуют в базе безопасных файлов AVZ. В диспетчере процессов появилось первое подобие протокола в CSV формате

Geser
18.03.2005, 11:45
4. Немного доработаны просмотрщики процессов и сервисов - из диспетчера процессов теперь можно копировать в карантин все процессы (и все DLL процесса), которые отсутсвуют в базе безопасных файлов AVZ. В диспетчере процессов появилось первое подобие протокола в CSV формате

Наконец-то :) Сколько у тебя твой ящик выдерживает? Я тебе сейчас скину много много чистых файлов с англоязычной винды :)
Лучше по FTP :)

Geser
18.03.2005, 11:57
В диспетчере процессов появилось первое подобие протокола в CSV формате

Не нашел.

Кнопки "Скопировать в карантин всё неизвестное" нету диспетчере процессов и драйверов :(

Сортировка добавилась с диспетчере процессов, это хорошо, но не хватает сортировки по дате созданиай/изменения файла

Зайцев Олег
18.03.2005, 12:25
Не нашел.

Кнопки "Скопировать в карантин всё неизвестное" нету диспетчере процессов и драйверов :(

Сортировка добавилась с диспетчере процессов, это хорошо, но не хватает сортировки по дате созданиай/изменения файла

Ой, пардон ... действительно нет ... сейчас исправлю

Зайцев Олег
18.03.2005, 12:48
Ой, пардон ... действительно нет ... сейчас исправлю

Все, на прежнем месте поправленная версия ... извиняюсь, ошибочка вышла - функцию то я сделал, а про кнопочки забыл :)

kps
18.03.2005, 14:04
В общем так, критика ;D
1) Наверно архив логичнее назвать avz-betta3, но это так, мелочи.
2) Я как то давал пару чистых файлов для базы - пока они не внесены... лежат вот тут (http://kps.sbn.bz/template_img/goodP.zip) АВЗ тоже не внесен ;D
3) Помнишь, я как-то присылал примерчик окошка запроса подтверждения - он все еще подозревается в том, что он бэкдор :)
4)
Запускаю АВЗ
Вот кусок лога
---
3. Сканирование дисков
//Вот тут при сканировании диска E: я нажимаю на "стоп" и вот что пишется в лог :)
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\OOBE\IMAGES\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\OOBE\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\
Операция прервана пользователем
Ошибка при сканировании каталога e:\
---
надо бы пофиксить.

З.Ы А индикатор проверки порадовал.

Зайцев Олег
18.03.2005, 14:44
В общем так, критика ;D
1) Наверно архив логичнее назвать avz-betta3, но это так, мелочи.
2) Я как то давал пару чистых файлов для базы - пока они не внесены... лежат вот тут (http://kps.sbn.bz/template_img/goodP.zip) АВЗ тоже не внесен ;D
3) Помнишь, я как-то присылал примерчик окошка запроса подтверждения - он все еще подозревается в том, что он бэкдор :)
4)
Запускаю АВЗ
Вот кусок лога
---
3. Сканирование дисков
//Вот тут при сканировании диска E: я нажимаю на "стоп" и вот что пишется в лог :)
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\OOBE\IMAGES\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\OOBE\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\SYSTEM\
Операция прервана пользователем
Ошибка при сканировании каталога e:\WINDOWS\
Операция прервана пользователем
Ошибка при сканировании каталога e:\
---
надо бы пофиксить.

З.Ы А индикатор проверки порадовал.

Индикатор пока кривоват еще ... но работы идут :)
4. Это баг - сегодня его изничтожу
3. Присланные файлы погибли вместе с моим HDD - они не успели попасть в резервную копию, файлы п.п. 2 тоже :( Так что если не трудно, повтори их пожалуйста ...
2. За файлы спасибо - заношу в базы ...
1. Да, давно пора - просто наверное скоро опять пойдут апдейты с именем архива по дню ... а то сейчас поступает масса жалоб от пользователей, качающих его через кеширующий прокси ... (часто возвращается старая версия архива из кеша)

Alexey P.
18.03.2005, 18:42
В общем так, критика ;D
1) Наверно архив логичнее назвать avz-betta3, но это так,

Лучше beta.

kps
18.03.2005, 23:17
Я только что откопал маленький баг, но сразу скажу - отловить его сложно, т.к. его трудно воспроизвести.
В общем он происходит на Вин98, если во время проверки запущенных процессов нажать на "стоп", но воспроизводится он не всегда :-\
Появляется такое сообщения и АВЗ зависает
http://kps.rbcmail.ru/avzscr3.gif



Так что если не трудно, повтори их пожалуйста ...


Без проблем, сейчас скину в личку.

Geser
19.03.2005, 13:13
Вопрос такой, вот эта кнопка "Сохранить протокол" в драйверах/сервисах она сохраняет протокол только загруженных драйверов/сервисов, или всех?
И потом, не помешала бы возможность копирования в карантин не только всех неизвестных процессов, но и всех неизвестных библиотек загруженных ими. Есть такая кнопочка для отдельного процесса, но нужна еще одна, которая будет копировать вообще всё неизвестное что есть в памяти.

Зайцев Олег
19.03.2005, 14:25
Вопрос такой, вот эта кнопка "Сохранить протокол" в драйверах/сервисах она сохраняет протокол только загруженных драйверов/сервисов, или всех?
И потом, не помешала бы возможность копирования в карантин не только всех неизвестных процессов, но и всех неизвестных библиотек загруженных ими. Есть такая кнопочка для отдельного процесса, но нужна еще одна, которая будет копировать вообще всё неизвестное что есть в памяти.

Сейчас кнопка "сохранить протокол" сохраняет то, что видно в таблице на экране - т.к. с учетом текущих фильтров.
Поиск всего неизвестного в памяти - это логично - я думаю сделать для этого отдельное окно (т.е. будет построен список всех программ и библиотек без повторов, затем список будет отфильтрован по базе известных - тогда неопознанные exe/dll будет легко увидеть все оптом (это упростит анализ) и копировать в карантин.

20.03.2005, 09:52
Наблюдается проблема, когда не открыто ни одного порта. Щелкаю "Открытые порты TCP/UDP", выскакивает диалог с ошибкой "Access violation at address 00405547 in module 'AVZ.EXE'. Read of address FFFFFFFF."
P.S. ОС Windows 98 SE
AVZ версия 3.11 от 18.03.2005

20.03.2005, 09:54
Sorry за дубль. :-)

Зайцев Олег
20.03.2005, 10:32
Наблюдается проблема, когда не открыто ни одного порта. Щелкаю "Открытые порты TCP/UDP", выскакивает диалог с ошибкой "Access violation at address 00405547 in module 'AVZ.EXE'. Read of address FFFFFFFF."
P.S. ОС Windows 98 SE
AVZ версия 3.11 от 18.03.2005

Я попробую поймать это баг. Предположительно по какой-то причине не удается построить список открытых портов ... но Access violation точно быть не должно

21.03.2005, 20:03
Реально ли сделать возможным закрыть открытый порт прямо из AVZ? У меня AVZ постоянно ругается на открытый порт 5000 и я не могу понять где и как его ещё можно закрыть, т.к. его нет в списке открытых портов. Можно ли сделать опцию "закрытия" из AVZ?

drongo
21.03.2005, 20:20
я не могу понять где и как его ещё можно закрыть, т.к. его нет в списке открытых портов.

жми сюда (https://grc.com/x/portprobe=5000)



что написано ?

21.03.2005, 20:33
Такое вот написано

Port
Status Protocol and Application

5000
Stealth upnp-evnt
Universal Plug N' Play Event


Что это означает?

APS при проверке говорит что этот порт заная другой программой - svchost.exe если судить по АВЗ.

Зайцев Олег
21.03.2005, 20:46
Иконка "мой компьютер" - меню о правой кнопке - "Управление" - в открывшейся консоли выбираем "Службы и приложения", там - "Службы". В списке служб ищем "Служба обнаружения SSDP" и вызываем ее свойства (двойной клик по службе или меню по правой кнопке для службы - пункт "свойства"). В свойствах ставим тип запуска "Отключено" и нажимаем кнопку "Стоп" для останова службы. Затем закрываем окно свойств по кнопке "ОK" и закрываем консоль управления. Повторяем сканирование при помощи AVZ - порт 5000 должен исчезнуть из лога

drongo
21.03.2005, 20:48
это было проба порта 5000 из вне . всё в порядке , из вне "дверь" не видима 8)

21.03.2005, 20:59
отключила службу - потерялась в сети и пропал Нет. Значит, нужна зачем-то...
Ну, если "снаружи" двери не видно, тогда пусть живёт.
Спасибо за подсказки!

drongo
21.03.2005, 21:04
отключила службу - потерялась в сети и пропал Нет. Значит, нужна зачем-то...
Ну, если "снаружи" двери не видно, тогда пусть живёт.
Спасибо за подсказки!

очень странно , инет не должен пропадать из -за этого . может новый зверь завёлся ???

21.03.2005, 21:17
очень странно , инет не должен пропадать из -за этого . может новый зверь завёлся

ТТТ!!! Чур меня!

При этой отключённой службе рутер не присуждает моему компу адрес. Поэтому ни сети, ни Нета...

azza
21.03.2005, 21:22
На свежеустановленном WinXP SP2 eng: ???

4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "" --> отсутствует файл C:\WINDOWS\system32\rsvpsp.dll
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 16

Файл rsvpsp.dll на месте, всё работает. Где ошибка?

И почему-то при копировании лога из окна программы через буфер обмена в текстовый файл вместо русских букв получаются крякозябры.

pig
22.03.2005, 02:17
При копировании переключаетесь на русскую раскладку?

Geser
22.03.2005, 09:59
На свежеустановленном WinXP SP2 eng: ???Файл rsvpsp.dll на месте, всё работает. Где ошибка?

И почему-то при копировании лога из окна программы через буфер обмена в текстовый файл вместо русских букв получаются крякозябры.

Можно сохранить лог в файл прямо из АВЗ. Тогда никаких проблем.

azza
22.03.2005, 11:21
При копировании переключаетесь на русскую раскладку?

Она стоит изначально. Кстати, под Win98SE копируется нормально.



Можно сохранить лог в файл прямо из АВЗ. Тогда никаких проблем.

Это я знаю. Но хочется иметь возможность по-быстрому скопировать фрагмент лога.

Зайцев Олег
22.03.2005, 12:13
На свежеустановленном WinXP SP2 eng: ???Файл rsvpsp.dll на месте, всё работает. Где ошибка?

И почему-то при копировании лога из окна программы через буфер обмена в текстовый файл вместо русских букв получаются крякозябры.

А версия AVZ какая - такое впечатление, что это некая промежуточная версия из кеша прокси сервера.

Сегодня обновился AVZ - версия 3.15: 10454 сигнатуры, 1 нейропрофиль, 20 микропрограмм лечения, 161 микропрограмма эвристики и 28736 подписей безопасных файлов (включая файлы от XP SP1 eng). Доработки в приниципе затронули в основном базы и микропрограммы - усовершенствовано лечение разных зловредных зверей, в частности, наконец вроде-бы сделано полное излечение Look2me (хотя он стремительно меняется).

Geser
22.03.2005, 12:30
А как там с утилитай строящей список автозагрузки?

Iceman
22.03.2005, 12:47
И версия 3.15 :)
Протокол антивирусной утилиты AVZ версии 3.15
Сканирование запущено в 22.03.2005 12:49:42
Загружена база: 10454 сигнатуры, 1 нейропрофиль, 20 микропрограмм лечения
Загружены микропрограммы эвристики: 162
Загружены цифровые подписи системных файлов: 28736

Зайцев Олег
22.03.2005, 13:05
А как там с утилитай строящей список автозагрузки?

Пишется - осталось уже немного ...

Posted by: Iceman
Да, 3.15 - это я уже зарапортавался ...

azza
22.03.2005, 14:05
А версия AVZ какая - такое впечатление, что это некая промежуточная версия из кеша прокси сервера.

Странно, но это действительно оказалась 3.10. Вот дурень, не посмотрел. :-[
С LSP в 3.11 всё ОК.

22.03.2005, 17:13
Здравствуйте!
А в jpg . файлах вирусы водятся? ;)

Протокол антивирусной утилиты AVZ версии 3.15
Сканирование запущено в 22.03.2005 14:39:39

C:\WINDOWS\system32\oobe\html\mouse\images\bulzano .jpg>>> подозрение на Backdoor.Win32.Roxe.a ( 0ED6B00C 0F9FDD22 002BA086 0026C99B 72921)

22.03.2005, 17:33
всё бывает :)
http://64.233.161.104/search?q=cache:ABYy81xAbwwJ:www.securityfocus.org/archive/1/392622/2005-03-07/2005-03-13/0+bulzano.jpg&hl=ru&ie=UTF-8

Energizer
22.03.2005, 19:02
На свежеустановленном WinXP SP2 eng: ???Файл rsvpsp.dll на месте, всё работает. Где ошибка?

4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "" --> отсутствует файл C:\WINDOWS\system32\rsvpsp.dll
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
...


Кстати, про LSP :)
Yesterdays (то есть вчерась :)) чистил шефу комп от всяческих излишеств нехороших. Всякие проги умные использовал, в том числе и АВЗ, есс-но... Процесс очистки удачно подходил к завершению, когда коллега посмотрев на АВЗ захотел свой рабочий комп ради интереса проверить. Для полной крутизны он выставил все по максимуму, в том числе и автоматическое лечение LSP... Я-то сначала этого не знал :)
Ну, он проверил, все типа пучком, но сеть у него просто пропала. Тык-мык -> нифига, а если... нифига, а вот так попробуем... нифига... В итоге, переставили всю систему с нуля.
Но это еще не все! Я люблю находить причину всяких "случайностей", поэтому думал-думал и догадался, что он поставил галочку в АВЗ для автоматического исправления ошибок LSP. Хех... Догадался - надо проверить! ;D Ну, я на свежевычищенном компе шефа и проверил! Результат - комп сети не видит никак. Тоже пришлось ставить систему заново... Блин ::)

Система в обоих случаях Вин2000 сп4.

Напрашивается вопрос: что не так и где я не тут? ???

Geser
22.03.2005, 19:06
Напрашивается вопрос: что не так и где я не тут? ???


Наверное была старая версия, в которой баг был. Хотя всегда лучше сначала посмотреть без автолечения.

Energizer
22.03.2005, 19:14
Наверное была старая версия, в которой баг был. Хотя всегда лучше сначала посмотреть без автолечения.

Версия самая свежая на вчерашний день.
И раньше я всегда и запускал без автолечения, но вот коллега любопытный попался... :)

Geser
22.03.2005, 19:17
Версия самая свежая на вчерашний день.
И раньше я всегда и запускал без автолечения, но вот коллега любопытный попался... :)


А если просканировать сегоднешней, находит ошибки или нет?

Energizer
22.03.2005, 19:23
А если просканировать сегоднешней, находит ошибки или нет?

Хех! У меня завтра намечена чистка компа 1-го зама генерального... Вот есть возможность проверить ;D

Зайцев Олег
22.03.2005, 19:47
Кстати, про LSP :)
...
Напрашивается вопрос: что не так и где я не тут? ???


Да, судя по фрагменту лога это баг. Он давно пофиксен, и что интересно - эта версия лежала на сайте прмиерно 20 минут - короче говоря, закон Мерфи в чистом виде (плюс прокси или некое кеширование у моего провайдера - вероятно, нужно всетаки опять приходить к смене имени файла). Этот баг с правкой LPS был связан с доработкой для совместимости с некоторым LSP провайдерами, которые не прописывают полный путь к своим DLL. Надо было мне написать ...мы бы ПК шефа восстановили бы в лучшем виде. Но нет худа без добра - в новую версию AVZ я внесу опцию "восстановить эталонные настройки LSP" - для восстановления настроек в любой ситуации.

Posted by: J.F.
В базах AVZ есть несколько JPEG (в основном от разных троянов - в частности это обманки, применяемые для имитации окон приложений ... и несколько JPEG - эксплоитов). Данное срабатывание - скорее всего ложное срабатывание эвристика. Описание этого зверя есть у Symantec - http://securityresponse.symantec.com/avcenter/venc/data/backdoor.roxe.html, он действительно живет в JPEG - он построен на уязвимости библиотек обработки JPEG, описанных в http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx ... судя по всему Backdoor.Win32.Roxe.a был изготовлен именно из этого bulzano.jpg.

azza
22.03.2005, 20:07
Кстати, про LSP :)
Система в обоих случаях Вин2000 сп4.

;D А почему у меня свежеустановленный Win XP?
Потому что до этого стоял Win2000 Sp4, ну и ...

Geser
22.03.2005, 20:09
;D А почему у меня свежеустановленный Win XP?
Потому что до этого стоял Win2000 Sp4, ну и ...

Любители лечить всё подряд ;D

santy
23.03.2005, 09:49
по моему, virus.zip не совсем практичное наименование для архива с зараженными телами? ругаются больно почтовые антивирусы.
(только что пытался переслать трояна-downloader-а, найденного AVZ 3.15. Trojan-Downloader.JS.Small.aq, определяется только KAV, AntiVir и AVZ! :) )
а какое имя архива формируется в карантине?

Зайцев Олег
23.03.2005, 11:44
по моему, virus.zip не совсем практичное наименование для архива с зараженными телами? ругаются больно почтовые антивирусы.
(только что пытался переслать трояна-downloader-а, найденного AVZ 3.15. Trojan-Downloader.JS.Small.aq, определяется только KAV, AntiVir и AVZ! :) )
а какое имя архива формируется в карантине?

В карантине - любое - при создании архива выводится окно с запросом имени файла, там можно не только выбрать путь, но и поменять имя архива. А вот пароль "virus" задается автоматически. Далее в карантинной папке и в архиве файлам дается имя вида avzNNNNN.dta (где NNNNN - порядковый номер считая с 1), к каждому файлу карантина парно создается текстовый файл avzNNNNN.ini, содержащий информацию о исходном положении файла, его размере и причине карантина - его можно смотреть в блокноте, структура очень простая:


[InfectedFile]
Src=E:\oracle\ora92\bin\OCI.dll
Infected=avz00001.dta
Virus=Модуль пользователем из диспетчера процессов
Date=17.03.2005 17:33:38
Size=114688

azza
24.03.2005, 16:57
Поскольку AVZ эффективно борется с руткитами, планируется ли как-то обеспечить защиту от убиения процесса AVZ каким-нибудь продвинутым руткитом?

Зайцев Олег
24.03.2005, 19:14
Поскольку AVZ эффективно борется с руткитами, планируется ли как-то обеспечить защиту от убиения процесса AVZ каким-нибудь продвинутым руткитом?

В принципе какую-то защиту сделать я планирую. Правда AVZ пока не настолько известен, чтобы писатели руткитов стали бороться с AVZ (проще написать kernel-mode руткит, который почти невозможно обнаружить :) ). Кроме того, приложение с привилегией Debug может убить любой процесс ... и защититься от этого очень трудно

coffeepot
25.03.2005, 11:00
Win2ksp4
Запускаю avz под ЮЗЕРОМ (как текущий пользователь) - выдает:

5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Stardock\Object Desktop\wbhelp.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\wbhelp.dll>>> Нейросеть: файл с вероятностью 2.18% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Stardock\Object Desktop\WBlind.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\WBlind.dll>>> Нейросеть: файл с вероятностью 0.27% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\CursorXP\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\CursorXP\CurXP0.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши
Так же сидя под ЮЗЕРОМ запускаю как АДМИНИСТРАТОР - все чисто, ничего не находит.

Получаетя проверку надо делать под каждым пользователем?

OFF кстати такую же бацду заметил при проверке AdAware...один и тот же зараженный файл лежал в c:\Documents and Settings\ЮЗЕР\Local Settings\Temp\~vis0000\ и в c:\Documents and Settings\администратор\Local Settings\Temp\~vis0000\ ...при проверке как администратор находит файл только в \Documents and Settings\администратор\Local Settings\Temp\~vis0000\, в \Documents and Settings\ЮЗЕР\Local Settings\Temp\~vis0000\ - нет...и наоборот
???

Зайцев Олег
25.03.2005, 11:28
Win2ksp4
Запускаю avz под ЮЗЕРОМ (как текущий пользователь) - выдает:Так же сидя под ЮЗЕРОМ запускаю как АДМИНИСТРАТОР - все чисто, ничего не находит.

Получаетя проверку надо делать под каждым пользователем?

Сканер AVZ проверяет все (хотя пускать его стоит из под админа). А вот мониторинг запущенных процессов, поиск руткитов, кейлоггеров ... может различаться - некий процесс X может стоять в автозапуске у юзера (т.е. при входе под юзером этот процесс стартует, при входе админом или другим юзером - нет).
В данном случае так и получилось - CursorXP, Stardock и примочки от Logitech явно проинсталлены под юзером - при входе админом они не стартуют.
Файлы:
C:\Program Files\Stardock\Object Desktop\wbhelp.dll
C:\Program Files\Stardock\Object Desktop\WBlind.dll
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll
C:\Program Files\CursorXP\CurXP0.dll
стоит прислать мне на [email protected] для включения в базы безопасных объектов

26.03.2005, 18:18
АВЗ ругается на /Messenger PLus! 3/MsgPlusH.dll, считает этот файл кейлоггером. Вам его прислать на проверку или можно просто игнорировать эти предупреждения?

kps
26.03.2005, 21:31
АВЗ ругается на /Messenger PLus! 3/MsgPlusH.dll, считает этот файл кейлоггером. Вам его прислать на проверку или можно просто игнорировать эти предупреждения?

Версия последняя (3.15) ? Если да, то присылайте его на [email protected]
Если файлик безопасный, то, скорее всего, будет добавлен в базу чистых файлов.

28.03.2005, 17:37
Версия 3.15, точно. Я зазиповала как велено, но даже зип получается 1 мег. Можно ли послать такой большой файл? Жду вашего разрешения :)

Ещё сегодня Кашпер выловил /system32/consys99.exe говорит, что это Trojan-Downloader.Win32.small.amr , а АВЗ его не обнаружил. Сам вирус зазиповать чтобы послать вам в коллекцию не удалось, нет доступа почему-то до него, пришлось просто удалить.

Зайцев Олег
28.03.2005, 18:50
Версия 3.15, точно. Я зазиповала как велено, но даже зип получается 1 мег. Можно ли послать такой большой файл? Жду вашего разрешения :)

1 Мб - это не много для ящика [email protected], так что можно присылать, я внесу файл в базы известных объектов и AVZ не будет на него ругаться

HATTIFNATTOR
29.03.2005, 20:48
В поиске файла на диске - "дата создания" и "дата изменения" принимает дату вида 6498198.6494948.год .Год проверяет корректно.

Зайцев Олег
30.03.2005, 08:15
В поиске файла на диске - "дата создания" и "дата изменения" принимает дату вида 6498198.6494948.год .Год проверяет корректно.

Это глюк - буду сейчас ловить.
Интересная вещь - в базы AVP наконец-то включили Spy.WildTangent (он упоминался в данном обсуждении), правда AVP видет примерно одну разновидность из 20.

Casper
30.03.2005, 21:38
Привет Олег,
Вот вырезка из лога AVZ:

"5. Поиск клавиатурных шпионов (Keylogger)
>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll>>> Нейросеть: файл с вероятностью 98.75% похож на типовой перехватчик событий клавиатуры/мыши"

Как насчет того, чтобы внести LvHook.dll в список доверенных? Мне надо его прислать?

Зайцев Олег
31.03.2005, 10:47
Привет Олег,
Вот вырезка из лога AVZ:

"5. Поиск клавиатурных шпионов (Keylogger)
>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll>>> Нейросеть: файл с вероятностью 98.75% похож на типовой перехватчик событий клавиатуры/мыши"
Как насчет того, чтобы внести LvHook.dll в список доверенных? Мне надо его прислать?

Да, его однозначно нужно вносить в базы правильных - если не трудно, пришли его мне ... у меня в базе их уже штук десять, не менее :) (но иных путей нет - LvHook.dll является классическим кей-хуком, поэтому единственный путь задавить срабатывания - это поместить его в базу правильных файлов)

Geser
31.03.2005, 11:08
Что-то давно ничего новенького не было :) (в смысле обновлений АВЗ)

Iceman
31.03.2005, 11:20
Что-то давно ничего новенького не было :) (в смысле обновлений АВЗ)


;D Поддержамс. Хотя всё работает, вроде.

agnec
31.03.2005, 13:08
Олег грозился 3.16 выложить, но пока пусто

Iceman
31.03.2005, 13:11
Олег грозился 3.16 выложить, но пока пусто

Да мы так, для оживляжу ;D

Зайцев Олег
31.03.2005, 15:49
Олег грозился 3.16 выложить, но пока пусто

3.16 на штатном месте :) (10878 сигнатур, 1 нейропрофиль, 23 микропрограммы лечения, 180 микропрограмм эвристики и 28825 подписей безопасных файлов)

Никаких интересных изменений в самом AVZ почти нет - руки не дошли, но тем не менее:
1. Добавлено еще 20 микропрограмм эвристики - т.е. шансы поиска неизвестных разновидностей зверей возрастают (одна микропрограмма = 1 семейство)
2. Разблокирован список автозапуска - там пока отображается голая таблица из того, что гарантировано работает. Это так, первая проба пера ...
3. В базы помещены новые МП лечения - в частности убивалка look2me и т.п.
4. Пофиксен ряд мелких багов, в частности с датой в поиске файлов
5. В базы безопасных попала очередная сотня файлов ... - а в базы сканера все, что пробегало на форуме за неделю + еще куча свежего зверья

agnec
31.03.2005, 15:59
дождались :)
дружно бежим качать ;)

Geser
31.03.2005, 18:22
XP SP2 при клике на список автозапуска вылетает ошибка "invalid class string"

Iceman
31.03.2005, 19:43
Хмммм, а у меня нормально. Правда XP SP2- русская (Не MUI)/

Geser
31.03.2005, 19:48
Хмммм, а у меня нормально. Правда XP SP2- русская (Не MUI)/

А у меня нерусская :P

kps
31.03.2005, 22:14
У меня архив не распаковывается, Winrar пишет
! F:\avz-betta3.zip: The archive is corrupt
а Powerarchiver ругается так:
missing bytes in zipfile
Zip file structure invalid :(

Iceman
31.03.2005, 22:18
У меня архив не распаковывается, пишет
! F:\avz-betta3.zip: The archive is corrupt :(



А почему avz-betta3.zip? Должно быть avz-betta2.zip
По кнопочке справа, в разделе ссылки, спасибо Geser'у :)

kps
31.03.2005, 22:21
А почему avz-betta3.zip? Должно быть avz-betta2.zip
По кнопочке справа, в разделе ссылки, спасибо Geser'у :)

Так это то и есть - я его просто переименовал в avz-betta3.zip, чтобы не запутаться :)

Iceman
31.03.2005, 22:23
Может упакован более новым архиватором?

kps
31.03.2005, 22:40
Все, получилось. Вопрос снят.

agnec
01.04.2005, 00:26
как это снят ?
а может еще у кого не паспакуется.
открой тайну ! ;)

Shu_b
01.04.2005, 07:45
XP SP2 при клике на список автозапуска вылетает ошибка "invalid class string"
sp2 enu mui - щёлкал и правой и левой.... ничего не присходит... работает.

Зайцев Олег
01.04.2005, 08:20
как это снят ?
а может еще у кого не паспакуется.
открой тайну ! ;)

Открываться должен - там стандартынй zip. А вот файл я переименую - название bеtta2 держится из-за того, что масса народа качает его по прямой ссылке ... для замены имени архива мне придется сделать страничку для ошибки 404 - по дефолту если файл не найден, вылезает страница сайта Agava.
Posted by: Geser
Этот вероятно глюк, я проверю, но ничего неожиданного там нет - код анализатора автозапуска сырой до безобразия ...

По ходу еще один глюк поймался - при полном сканировании AVZ по прежнему ругается на Backdoor.Win32.Roxe.a ...

Geser
01.04.2005, 10:35
Кстати, Олег, поставь по умолчанию эвристику на максимум, только расширенный анализ не включай. Так проще будет писать инструкции для создания логов для форума.

HATTIFNATTOR
01.04.2005, 11:14
По ходу еще один глюк поймался - при полном сканировании AVZ по прежнему ругается на Backdoor.Win32.Roxe.a ...


Нет, это моя невнимательность, вместо 3.16 запустил 3.15 (на машине несколько папок с разными версиями АВЗ). В 3.16 все нормально, ложного срабатывания нет.

kps
01.04.2005, 11:45
а может еще у кого не паспакуется.
открой тайну ! ;)


Временные файлы инета почистил и скачал снова.

Зайцев Олег
01.04.2005, 11:56
Кстати, Олег, поставь по умолчанию эвристику на максимум, только расширенный анализ не включай. Так проще будет писать инструкции для создания логов для форума.

Это можно - только разницы между максимумом и средним почти нет, можно максимум сделать по дефолту. Для логов в конференцию я почти дописал анализатор типа HijackThis, просто никак не найду времени довести его до ума

Geser
01.04.2005, 13:38
Это можно - только разницы между максимумом и средним почти нет
По максимуму он выдаёт список процессов которые могут работать с сетью. Это бывает полезно.

santy
05.04.2005, 09:10
Добрый день!

Протокол антивирусной утилиты AVZ версии 3.16
Сканирование запущено в 05.04.05 12:10:11
...
3. Сканирование дисков
c:\WINDOWS\SYSTEM\ia.dll>>>>> Вирус !! Dialer.E-Group успешно удален
c:\WINDOWS\SYSTEM\VVSN_SCNC0704Inst.exe>>> подозрение на Spy.SaveNow.Inst ( 0A1E4380 0AF7BFD6 0024F62F 0024E793 106568)
c:\WINDOWS\Downloaded Program Files\VLoading.inf>>>>> Вирус !! Dialer.VLoading успешно удален
c:\WINDOWS\Downloaded Program Files\msits.exe>>>>> Вирус !! Trojan-Downloader.Win32.Delf.cb успешно удален
c:\WINDOWS\Temporary Internet Files\Content.IE5\49E3GPMN\index[2].htm>>>>> Вирус !! Trojan-Downloader.VBS.Small.e успешно удален
c:\WINDOWS\Temporary Internet Files\Content.IE5\X0WK1QAR\msits[1].exe>>>>> Вирус !! Trojan-Downloader.Win32.Delf.cb успешно удален
c:\WINDOWS\loadclean.exe>>>>> Вирус !! Trojan-Downloader.Win32.Delf.cb успешно удален
c:\arhives\AVIRUS\hijacThis1_99\hijackthis1_99\bac kups\backup-20050201-133604-368.dll>>>>> Вирус !! Backdoor.Agent.ah успешно удален
Проверка завершена
...
Просканировано файлов: 10821, найдено вирусов 7
Сканирование завершено в 05.04.05 12:15:56
Сканирование длилось 00:05:44

Олег, по логу есть такие предложения:

1. указать количество найденных вирусов, количество удаленных вирусов.
2. может быть, при начальном сканировании диска, каталога без "лечения" имеет смысл создавать таблицу зараженных файлов, а при повторном сканировании с "лечением", лечить-удалять только уже обнаруженные файлы. В результате... известно что, быстродействие программы увеличивается.
(подобный механизм используется в ad_aware, pestpatrol, microsoft antispyware)

Geser
05.04.2005, 09:26
2. может быть, при начальном сканировании диска, каталога без "лечения" имеет смысл создавать таблицу зараженных файлов, а при повторном сканировании с "лечением", лечить-удалять только уже обнаруженные файлы. В результате... известно что, быстродействие программы увеличивается.
(подобный механизм используется в ad_aware, pestpatrol, microsoft antispyware)

Тогда уже сделать просто возможность лечения всего найденного без повторного сканирования. Кстати, ad aware делает именно так.

05.04.2005, 09:46
Добрый день. Привожу кусок лога програмы AVZ 3.16

5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши


Неужели в Аваст какая-то зараза залезла или ложное срабатывание АВЗ?

Geser
05.04.2005, 09:53
Добрый день. Привожу кусок лога програмы AVZ 3.16

5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши


Неужели в Аваст какая-то зараза залезла или ложное срабатывание АВЗ?

Ложное срабатывание. Нужно прислать на [email protected] с пометкой что это ложное срабатывание антикейлоггера.

05.04.2005, 09:59
Понятно.Высылаю :)

kps
05.04.2005, 10:03
Тогда уже сделать просто возможность лечения всего найденного без повторного сканирования. Кстати, ad aware делает именно так.

Такое же уже есть - кнопочка "Просмотр протокола"

Geser
05.04.2005, 10:07
Такое же уже есть - кнопочка "Просмотр протокола"

:) Вот что значит ничего никогда лечить не нужно было :)

Зайцев Олег
05.04.2005, 10:15
Добрый день. Привожу кусок лога програмы AVZ 3.16

5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши

Неужели в Аваст какая-то зараза залезла или ложное срабатывание АВЗ?

По идее ложного срабатывания быть почти не может - раз AVZ ругается, значит по крайней мере определенно можно сказать, что AhJsctNs.dll внедряется в чужие процессы - это свершившийся файкт. А вот зачем он внедряется - это совершенно другое дело - для анализа файл нужно прислать мне на [email protected] Если файл безопасный, то он будет добавлен в базы известны
Posted by: Geser
Это уже есть :) (только не документировано). Можно прогнать поиск без лечения, затем нажать кнопку справа от протокола - открывается таблица найденных зверей. Там можно пометить любые файлы и нажать "удалить" (идеалогия как в AdWare). При этом для удаления сработают положенные микропрограммы лечения, при необходимости будет проведено отложенное удаление и т.п.

santy
05.04.2005, 10:24
Posted by: Geser
Это уже есть :) (только не документировано). Можно прогнать поиск без лечения, затем нажать кнопку справа от протокола - открывается таблица найденных зверей. Там можно пометить любые файлы и нажать "удалить" (идеалогия как в AdWare). При этом для удаления сработают положенные микропрограммы лечения, при необходимости будет проведено отложенное удаление и т.п.

угу, это имел ввиду, отложенное удаление - это удаление после перезагрузки?

Зайцев Олег
05.04.2005, 10:36
угу, это имел ввиду, отложенное удаление - это удаление после перезагрузки?

Да, у AVZ есть два механизма:
1. Системное отложенное удаление - оно разное для W9x и NT/W2K/XP, но идея одинакова - файл прописывается в системе на удаление в ходе очередной перезагрузки;
2. Переименование файла - т.е. некий DLL может переименоваться в BAK - при следующей перезагрузке система не найдет файл и он не будет загружен, что позволит его удалить

Зайцев Олег
05.04.2005, 14:18
Я разместил обновление, версия 3.17, изменения:
1. В базу добавлено более 1500 разновидностей новых зверей (выходные прошли с пользой);
2. Добавлено штук 20 микропрограмм эвристики
3. Доработан антикелоггер, выправлен ряд его мелких глюков
4. Расширена база безопасных объектов
5. В AVZ появилась возможность проверить отдельный файл по базе безопасных объектов - см. меню "Сервис".

Geser
05.04.2005, 14:25
Менеджер автозапуска у меня по прежнему не работает :(
А чистые файлы не добавлялись? А то то что я высылал вроде по прежнему не зелёное.

Зайцев Олег
05.04.2005, 14:30
Менеджер автозапуска у меня по прежнему не работает :(
А чистые файлы не добавлялись? А то то что я высылал вроде по прежнему не зелёное.

До менеджера автозапуска руки пока не дошли, а чистые файлы потихоньку добавляются с каждым апдейтом ... но добавлены еще не все.

kps
05.04.2005, 15:07
Чуть чуть критики
1) Надо бы писать в протокол, что файлик будет удален после перезагрузки. У меня AVZ хоть и удалил зверя после перезагрузки, но явно об этом не предупредил - написал только "ошибка удаления" и лишь в конце протокола, что для завершения лечения нужна перезагрузка, а хотелось бы так:

2. Проверка памяти
Количество найденных процессов: 17
Количество загруженных модулей: 154
e:\windows\system\mimtcore.dll>>>>> Вирус !! AdvWare.MediaBack.a ошибка удаления //Вот тут надо бы писать "будет удален после перезагрузки"
Проверка памяти завершена

2) По-моему для кнопочки "Просмотр протокола" лучше подошло бы название "Действия над объектами" например. Т.к. название "просмотр протокола" не совсем правильно отражает назначение этой кнопки, протокол и так виден в главном окне утилиты. Да и картинку к этой кнопке я бы сменил на более подходящую по значению.

azza
06.04.2005, 11:57
Было бы неплохо, если бы в протоколе AVZ аналогично Hijack писались данные об ОС и IE.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

santy
06.04.2005, 12:31
в hijackthis отчет сразу перенаправляется в файл... может быть, имеет смысл по завершении сканирования выводить диалог для сохранения протокола в файл... или по кнопочке открывать уже сохраненный файл.

kps
06.04.2005, 12:48
santy
Так есть же кнопочка "Сохранить протокол"

santy
06.04.2005, 12:56
santy
Так есть же кнопочка "Сохранить протокол"

так это ж надо на кнопочку еще нажать :) ...хотя, если несколько раз выполнять сканирование, тогда уж действительно лучше один раз сохранить протокол...

userr
06.04.2005, 13:29
Так есть же кнопочка "Сохранить протокол"

Так обсуждалось уже. А если сканирование прервется? Олег вроде обещал добавить опцию сразу писать протокол.