Вышла новая новая версия AVZ - 3.60. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz-betta3.zip)
Радикальные новшества:
1. Доработано сохранение протоколов во всех окнах;
2. Исследование системы - теперь полный вариант, полностью переработанный;
3. Заработал менеджер расширений IE, он показывает BHO, панели, модули расширения IE;
4. Появился менеджер автоматического копирования файлов в карантин - он вызывается из окна просмотра карантина и позволяет автоматом занести в карантин объекты, которые не значатся в базе безопансых AVZ (в настройке задаются категории - процессы, DLL, автозапуск и т.п.)
5. Из диспетчера процессов вызывается поиск по реестру (меню по правой кнопке) для поиска по полному илисокращенному имени файла
6. Доработана таблица найденных объектов - добавлена сортировка, отображение категории объекта, отметка объектов по категории
7. Расширен диспетчер автозапуск - добавлены новые источники автозапуска
8. Новый режим действий, доступный для всех категорий зловредных программ - "спросить пользователя" (до этого было только "удалить" и "только отчет)". Если его выбрать, то AVZ для каждого объекта выводит окно с полным именем объекта и названием обнаруженного зверя.

----
Кроме того, расширена база - добавлено около 400 новых "зверей", усовершенствован эвристик. У версии 3.60 в базе 14656 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 290 микропрограммы эвристики, 5 микропрограммы восстановления настроек системы, 30169 подписей безопасных файлов
----
Для фиксации багов по адресу http://avz.virusinfo.info/ Geser разместил сервис BugTracker, за что ему огромное спасибо. Сервис позволяет автоматизировать фиксацию багов в программе.

Не работает приложение "модули пространства ядра"

Access volation at address 004060A8 in module 'AVZ.exe'. Read of address 00000330
W XP sp2 enu

Не работает приложение "модули пространства ядра"

Access volation at address 004060A8 in module 'AVZ.exe'. Read of address 00000330
W XP sp2 enu
Исправлено ... это глюк возник при окончательной сборке 3.60 ... я исправил и обновил архив

Исправлено ... это глюк возник при окончательной сборке 3.60 ... я исправил и обновил архив
Да, теперь работает :)
ps На страничке загрузки не обновлён номер версии.

Ага, есть такой глюк - на стартовой номер нормальный, а на загрузке - старый ... - подправлено.

Зашёл на virusinfo и получил
>>> Опасно: Порт 1034 TCP - I-Worm.Mydoom.m backdoor () :)

В BHO наблюдаются "дырки от бублика".

Олег, я уже описывал следующий баг в прошлой ветке: в отчете "Исследование системы" не выводятся небезопасные библиотеки безопасных процессов, хотя все галки стоят по умолчанию. Например, безопасный IE загружает несколько небезопасных DLL, но в отчете "Исследовании системы" о них ни слова, хотя в "Диспетчере процессов" они есть!

И еще, а нельзя ли в отчете "Исследование системы" цветом фона отделить процессы от библиотек?

Это черные дыры :) Я тоже такое видел и не знаю, как с этм бороться. Причина - был какой-то BHO и он некорретно удален. Т.е. в настройках IE они зарегистрированы, а файла/класса и т.п. - нет. Как в таком случае быть - я не знаю ...

При Автодобавлении через Карантин появляется окошко с ошибкой:

Так, архив обновлен ... исправлнено:
1. Глюк, который нашел DenZ в автокарантине- да, там имел место баг, я его выправил
2. Глюк, который нашел DenZ в Исследовании системы - я исправил обсужденный ранее баг, но как-то не совсем ... сейчас вроде все пошло нормально. Цветовое выделение - это необходимо (или столбец с типом "процесс/библиотека"), но цвета я различаю плохо - поэтому жду предложения по оформлению :)
3. Пустые строки в менеджере BHO- я сделaл вывод сообщения об ошибке в строке + CLSID класса
4. Глюк, который нашел azza - поддержка портов будет переделана, я выкину из базы "неявные" порты, тогда ткие срабатывания исчезнут - на порыт в зоне 1000-2000 срабатывания идет часто и не по делу...

Если Олег не против, то можно начинать пользоваться багтрекером http://avz.virusinfo.info
Олег, только новые версии там прописыавть нужно.

Ещё мысль, сейчас выудил файл безвредный от мелкософта, оказалось что он имеет цифровую подпись, а AVZ на него ругается, может есть смысл проверять наличие цифровой подписи от мышиного короля ? Потому как они последнее время стали активно подписывать "свои" файлы, а так-же сертифицированные дрова и т.д... ? Количество "непонятного" уменьшится раза в 2.

Кстати, это наверное прикол такой, но сама утилита avz.exe не помечена в диспетчере процессов как известная. Тоже самое относится к драйверу avz.sys в "модулях пространства ядра". Олег, это очень-очень нелогично- утилита не узнаёт саму себя как доверенную.

Кстати, это наверное прикол такой, но сама утилита avz.exe не помечена в диспетчере процессов как известная. Тоже самое относится к драйверу avz.sys в "модулях пространства ядра". Олег, это очень-очень нелогично- утилита не узнаёт саму себя как доверенную.
Да, есть такое дело ... сдалано это умышленно и только на время бата тестов - версии постоянно меняются и вводить их в базу просто бессмыссленно ... - после стабилизации версии я конечно всесу ее в базы. В карантин эти файлы кстати не копируются.

Ещё мысль, сейчас выудил файл безвредный от мелкософта, оказалось что он имеет цифровую подпись, а AVZ на него ругается, может есть смысл проверять наличие цифровой подписи от мышиного короля ? Потому как они последнее время стали активно подписывать "свои" файлы, а так-же сертифицированные дрова и т.д... ? Количество "непонятного" уменьшится раза в 2.
Я думал о проверке подписи - но имеет смысл приверять только цифровую подпись MS ... поскольку на "уважающих себя" SpyWare тоже есть цифровые подписи ...

Я думал о проверке подписи - но имеет смысл приверять только цифровую подпись MS ... поскольку на "уважающих себя" SpyWare тоже есть цифровые подписи ...
Что я собственно и имел в виду :)
На "уважающей себя" цифровая подпись явно не мышиного короля, а какого нибудь "папуа - новая гвинея" центра сертификации, или вообще не существующего в природе.
Майкрософт кстати поставляет список "доверенных" центров сертификации, который можно выкопать на windowsupdate, если подпись не одного из доверенных, и не самого "мышиного короля", тогда файл Imho автоматом попадает в категорию подозрительных и может с чистой совестью идти прямой дорогой на сдачу анализов. 8)

Если Олег не против, то можно начинать пользоваться багтрекером http://avz.virusinfo.info
Олег, только новые версии там прописыавть нужно.
Да, я сейчас пропишу туда новую версию ... т.е. конечно, баги лучше писать туда, а здесь обсуждать пожелания по усовершенствованию, новым возможностям и т.п.
Вот актуальные вопросы для обсуждения:
1. Сейчас готова "подсистема долечивания", если обзывать ее термином ЛК. Идея подсистемы в том, что удаляемый файл может автоматом отписаться из реестра, убраться из автозапуска всех видов ...). Вопрос - насколько это актуально, полезно и т.п.
2. Чего еще не хватает в исследовании системы ?

Ну да, чогласен на все 100% ... я именно поэтому и не проверяю ЦП, поскольку раздающих подписи развелось как собак неразанных. Если проверять только подпись MSб то польза будет - беру на заметку

1. Сейчас готова "подсистема долечивания", если обзывать ее термином ЛК. Идея подсистемы в том, что удаляемый файл может автоматом отписаться из реестра, убраться из автозапуска всех видов ...). Вопрос - насколько это актуально, полезно и т.п.

Нужно. Иначе после удаления могут появляться всевозможные сообщения об ошибках, а это нервирует людей. Кстати, это реализовано в КАВ2006.

В "Менеджере автозапуска" не перечислены программы из меню "Startup" для пользователя домена, который работает на этом компьютере.

4. Глюк, который нашел azza - поддержка портов будет переделана, я выкину из базы "неявные" порты, тогда ткие срабатывания исчезнут - на порыт в зоне 1000-2000 срабатывания идет часто и не по делу...
Зря ты меня не слушаеш. Для тех операционок где можно определить какои процесс слушает определённый порт нужно делать правила привязанные к процессам. Потому как из за ИЕ отменять проверку портов 1000-2000 для всех процессов не имеет смысла.

Исследование системы.
Ну жн бы наоборот, быделять цветом процессы, а цвет строк подгруженных ими длл что бы совподал с цветом фона. Так же заголовок таблицы (например Автозапуск
) должен отличаться от цвета фона, а все остальмые строки совпадать.
В списке драйверов почему-то в основном отсутствуют названия файлов :(

1. Названия файлов в списке драйверов могут отсутствовать - есть двайвера, у которых не возвращается имя файла ... пример - Beep, Null и т.п. - их можно отфильтровать.
2. Цвета я поменяю (желательны предложения, т.к. я их не очень то и различаю :))
3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247 ... нужно еще aintrust (http://virusinfo.info/member.php?u=1525) послушать, может он выскажет мнение по портам ...

2. Цвета я поменяю (желательны предложения, т.к. я их не очень то и различаю :))

С цветами в общем всё нормально. Просто логика сделана наоборот. Заголовки таблиц должны отличаться о цвету от цвета фона, а сейчас наоборот. Заголовки цветом фона, а всё остальное отличается :)
То же и с процессами. Строки названия процесса должны отличаться от цвета фона, а строки длл совпадать.

А вообще есть проблемка. Одни и те же длл дублируются для разных процессов. Неудобно и засоряет лог. Предлагаю так. Список всех процессов, а ниже список длл, и для каждой длл список PID процессов в которые она загружена. Будет намного нагляднее.

3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247
Так для каждого процесса можно определить не порт, а диапазон портов которые он обычно случает, и ругаться на всё остальное.

Так для каждого процесса можно определить не порт, а диапазон портов которые он обычно слушает, и ругаться на всё остальное.

Извини, может я чего-то не понял, но ведь на тех портах, которые слушает легитимный процесс может и бяка сидеть, или я не прав?

Извини, может я чего-то не понял, но ведь на тех портах, которые слушает легитимный процесс может и бяка сидеть, или я не прав?
Может, но тогда делать нечего. Можно только быдавать предупреждения о нестандартных портах.

Жалко под 2000 не отображается связка "порт-процесс"

Жалко под 2000 не отображается связка "порт-процесс"У меня сейчас, на домашнем, Миранда сегодня сидела на 1034 порту... перезапустил её, перестала :)

У меня порой Нортон тоже 1034 порт использует

У меня такая вешь. При копировании текста из лога АВЗ он становится следующим. Наверное, 866 кодировка используется. Можно и виндовую прикрутить. Хотя, может это только у меня.


Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 3.60
Ñêàíèðîâàíèå çàïóùåíî â 25.06.2005 11:32:52
Çàãðóæåíà áàçà: 14656 ñèãíàòóð, 1 íåéðîïðîôèëü, 55

Известная проблема. Сохранить лог вфайл и всё будет хорошо.

У меня такая вешь. При копировании текста из лога АВЗ он становится следующим. Наверное, 866 кодировка используется. Можно и виндовую прикрутить. Хотя, может это только у меня.

Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 3.60
Ñêàíèðîâàíèå çàïóùåíî â 25.06.2005 11:32:52
Çàãðóæåíà áàçà: 14656 ñèãíàòóð, 1 íåéðîïðîôèëü, 55

После выделения того, что надо скопировать, переключить язык в "Ru" на панели задач. А затем уже копировать.

После выделения того, что надо скопировать, переключить язык в "Ru" на панели задач. А затем уже копировать.
Да, к сожалению есть такой баг - причем он прочвляется во всех писанных на Delphi программах. Я удавлю это в очередной версией перехватом Ctrl-C, Ctrl-Inst и меню по правой кнопке.
----
Я зыбыл анонсировать еще одну "фичу" нового AVZ ... по многочисленным просьбам введен режим действий, доступный для всех категорий зловредных программ - "спросить пользователя" (до этого было только "удалить" и "только отчет)". Если его выбрать, то AVZ для каждого объекта выводит окно с полным именем объекта и названием обнаруженного зверя.

В "Исследовании системы" есть проблемы с выделением цветом процессов и DLL, они часто путаются, т.е. некоторые процессы имеют цвет DLL, и наоборот.
Поддерживаю предложение Geser'а:
Одни и те же длл дублируются для разных процессов. Неудобно и засоряет лог. Предлагаю так. Список всех процессов, а ниже список длл, и для каждой длл список PID процессов в которые она загружена. Будет намного нагляднее. И тогда можно забыть про выделение цветом строк и выделять только шапки таблицы.
Кстати, неплохо бы, как раньше, выделять безопасные файлы зеленым цветом (и/или шрифтом).

Еще хорошо бы в таблицы добавить колонки с размерами файлов. Будет проще отделить безопасные файлы от "зверей", которые имеют, как правило, небольшой размер.

Олег, пару раз высылал вам системные файлы с расширением *.IME, *.TSP, а в базе безопасных их нет...

В "Исследовании системы" есть проблемы с выделением цветом процессов и DLL, они часто путаются, т.е. некоторые процессы имеют цвет DLL, и наоборот.
Поддерживаю предложение Geser'а: И тогда можно забыть про выделение цветом строк и выделять только шапки таблицы.
Кстати, неплохо бы, как раньше, выделять безопасные файлы зеленым цветом (и/или шрифтом).

Еще хорошо бы в таблицы добавить колонки с размерами файлов. Будет проще отделить безопасные файлы от "зверей", которые имеют, как правило, небольшой размер.

Олег, пару раз высылал вам системные файлы с расширением *.IME, *.TSP, а в базе безопасных их нет...
С *.IME, *.TSP проблема скоро разрешиться - как легко видеть из доработок AVZ я открываю сезон охоты на "правильные" файлы.
Теперь насчет размеров - есть два пути - добавить колонки или сделать имя файла гиперссылкой - при ее нажатии будет выскакивать окно со свойствами файла (размер, полные копирайты, данные о формате, упаковщике ...). Экспериментальный вариант есть - через обычный alert в javascript.
По поводу цветов - получается, что нужны цвета:
1. Цвет фона
2. Цвет и оформление заголовка
3. Цвет и оформления безопасного файла
4. Цвет и оформления небезопасного файла
плюс для выделения DLL
5. Цвет и оформления безопасного DLL файла
6. Цвет и оформления небезопасного DLL файла
Есть предложения ? (т.е. прямо цыета в HEX виде, я их забью в AVZ

Насчет предложения сделать DLL отдельно, без повторов - это и хорошо, и не очень ... выход таков - я делаю опцию, которая становится доступной при включении птички "Библиотеки процессов" - с помощью этой опции можно будет выбрать режим (как сейчас или два списка - exe и DLL). Для раздельного списка я в списке DLL добавляю столбец PID, там список PID процессов, причем каждый будет гиперссылкой для прыжка на строку процесса в списке процессов.

3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247 ... нужно еще aintrust (http://virusinfo.info/member.php?u=1525) послушать, может он выскажет мнение по портам ...
Насчет отображения "безопасных" и "опасных" портов надо подумать и попробовать накопить какую-то мало-мальскую статистику использования портов системными процессами (для начала). На мой взгляд, речь должна идти только о портах в режиме 'listening', т.к. все остальное может быть непредсказуемо и меняться как угодно, но таких портов будет совсем немного, хотя уже даже это исключит большую часть предупреждений.

И еще: пользователя смущает сообщение "Опасно... и.т.д.", связанное с обнаружением номера порта из базы "опасных" портов. Подобная ситуация была (и есть до сих пор) с нейросетью и кейлоггерами. Большинство народа почему-то сразу же решило, что если обнаружен кейлоггер, то это нечто страшное. Я говорил тебе об этом с самого начала, и потом пришлось долго еще объяснять, что имелось ввиду совсем другое. :) Так и здесь! В подавляющем большинстве случаев сообщение об "опасных" портах неправильно отражает действительность, и никакой реальной опасности нет вообще - поэтому как минимум его нужно заменить на более мягкое "Предупреждение...", чтобы не пугать пользователей. :)

Помимо этого, стоит проверять (эвристикой или еще как-то), нет ли в системе следов "зверя", который связан с этим опасным портом и сказать об этом пользователю (типа найдено/нет)

Кроме того, для процессов, инициированных .exe-шниками Microsoft, обязательно нужно проверять цифровую подпись и, возможно, целостность модуля в памяти (надо подумать об этом на досуге). :) Если все ОК, то сообщение об "опасном" порте, к примеру TCP/5000 для сервиса UPnP, можно вообще не выдавать.

Иными словами, стоит подумать не только о накоплении статистики по портам и возможной реализации предложения Geser-а, но также и о том, как можно "улучшить" существующее на сегодяшний день решение.

И еще: документация! Надо в доке побольше разъяснять, что и как! Хотя хелпы редко кто читает, но все же! Это могло бы снять часть недоуменных вопросов.

сообщение об "опасном" порте, к примеру TCP/5000 для сервиса UPnP, можно вообще не выдавать.
UPnP, вообще-то, сервис сам по себе небезопасный...

UPnP, вообще-то, сервис сам по себе небезопасный...
А какой, по вашему мнению, безопасный? :)

А что касается именно UPnP, то, к сожалению, во многих случаях это "неизбежное зло", как, впрочем, и большинство системных сервисов.

А какой, по вашему мнению, безопасный? :)

А что касается именно UPnP, то, к сожалению, во многих случаях это "неизбежное зло", как, впрочем, и большинство системных сервисов.
тут просто проблема в том, что это для нас понятно - опасный, безопасный ... а беда в том, что увидев такое предупредление пользователь может поубивать подозрительные файлы :)

тут просто проблема в том, что это для нас понятно - опасный, безопасный ... а беда в том, что увидев такое предупредление пользователь может поубивать подозрительные файлы :)
Если делать расчет на неподготовленного пользователя, то, по хорошему, убедившись, что TCP/5000 прослушивает легитимный процесс от Microsoft, надо тихонечко и мягко предупредить, что мол все ОК, проверено, модуль от MS и, скорее всего, волноваться не стоит. Но есть другая сторона: этот сервис может быть включен по-умолчанию у пользователя, которому он вообще не нужен. В такой ситуации, естественно, надо предупреждать и, возможно, давать рекомендации по отключению (останову сервиса) - т.е. снова возвращаемся к доке или FAQ-у! Стоит ли специально разбираться с такими случаями? Не знаю... :)
Но на вопрос "предупреждать/не предупреждать?" ответ для меня однозначен: предупреждать! Иными словами: "Предупрежден - значит вооружен!"

Логично, для порта 5000 я написал отдельную статью FAQ - http://z-oleg.com/secur/avz_doc/index.html?faq_4.htm

При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.

При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.
Такого не должно быть ... сейчас проверю

Есть такое. Причем и в предыдущей версии было так же.

Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)

...мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)
А мне кажется ответ дан в 41-м посте (http://virusinfo.info/showpost.php?p=50117&postcount=41). Тоже самое, но про совпадения с опасными портами.

Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)

Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" :)). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.

Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.

Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" :)). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.

Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.
да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.
------
В связи с вышесказанным вышла новая версия AVZ 3.60.5, все на прежнем месте:
1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом
2. Устранен глюк с тем, что не срабатывало удаление обнаруженной заразы
3. Устранен баг с прогресс-индикатором в случае проверки диска в режиме "проверять все файлы"
4. Доработан антируткит - для опознанных по базе безопаснхы драйверов в лог пишется информация о том, что драйвер легитимный
5. база зверей - 14718 сигнатур ...
Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...

Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...
может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....

может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....
Логично - я уже дано задумываюсь о введение номера сборки, тем более что Delphi считает их автоматом ...

А можно окно исследования системы привести в нормальный вид. А то оно у меня покорёжено всё, и даже кнопки "Пуск" не видно

А можно окно исследования системы привести в нормальный вид. А то оно у меня покорёжено всё, и даже кнопки "Пуск" не видно

v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры. И еще переделано окно "Модули пространства ядра" - там тоже была кривизна ...

да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.

В случае множественного перехвата, естественно, отследить цепочку перехватов не представляется возможным. Другое дело - восстановление KiServiceTable: ты восстанавливаешь сразу до уровня "правильных" системных сервисов, т.е. до тех адресов, что прописаны в оригинальной KiServiceTable в ntoskrnl.exe. В связи с этим случай множественного перехвата представляет интерес чисто для возможного более глубокого анализа, а отображение такой информации пользователю ничего интересного не даст. Что касается "галочки", то ее, полагаю, надо будет со временем ввести.

v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры.Ну и для полного счастья... осталось внедрить информацию о current build выложенной версии на страничке загрузки. Чтобы наверняка знать стоит ли её качать. :) Спасибо.

1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом
Эти гиперссылки не работают. PID в колонке "Используется процессами" почему-то не совпадают с PID самих процессов.

Ага - есть такой баг, я не заметил его, т.к. проявляется от только на 9x (PID процесса там большой и число форматируется как Integer, а не как DWORD ... отсюда и глюк - сейчас исправлю)

Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.

Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.
Аналогичный баг был с карантином (он проверялся). С Infected я сейчас разбирусь, это неправильное поведение - копии файлов в Infected конечно не должны проверяться и удаляться. Просто у них расширене DAT, оно по умолчанию не проверяется ... - сейчас доработаю алгоритм проверки.

Привет!
у меня есть просьба:
а нельзя ли что б репорт файл сохронялся в формате unicode? у меня например из-за того что default non-Unicode стоит не на cyrillic то все опции видны в ????????????... а что не так, на русском...

http://img98.echo.cx/img98/2143/1117kl.jpg

а когда пытаюсь сохранить или копировать репорт то всё выходит вот так:

Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 3.20
Ñêàíèðîâàíèå çàïóùåíî â 06/05/2005 19:15:46
Çàãðóæåíà áàçà: 12964 ñèãíàòóðû, 1 íåéðîïðîôèëü, 43 ìèêðîïðîãðàììû ëå÷åíèÿ
Çàãðóæåíû ìèêðîïðîãðàììû ýâðèñòèêè: 226
Çàãðóæåíû öèôðîâûå ïîäïèñè ñèñòåìíûõ ôàéëîâ: 29483
Ðåæèì ýâðèñòè÷åñêîãî àíàëèçàòîðà: Ñðåäíèé óðîâåíü ýâðèñòèêè
1. Ïîèñê RootKit è ïðîãðàìì, ïåðåõâàòûâàþùèõ ôóíêöèè APIп.с.
я знаю что есть версия более новая чем на скиншоте что я дал (3.60.7), но там тоже самое...

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана

Попытка запуска с сетевого диска, само собой с сети драйвер грузить нельзя, поэтому и обламывается, может имеет смысл на время проверки в таком случае копировать драйвер в %Temp%, и запускать оттуда ?

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана

Попытка запуска с сетевого диска, само собой с сети драйвер грузить нельзя, поэтому и обламывается, может имеет смысл на время проверки в таком случае копировать драйвер в %Temp%, и запускать оттуда ?
Да, это старинная ошибочка... По хорошему копировать драйвер в %Тemp% надо во всех случаях, не только для сетевого расположения avz, а сам драйвер имело бы смысл хранить не отдельно, в виде avz.sys, а в ресурсе .exe модуля, как это, к примеру, сделано у всех продуктов SysInternals или у BlackLight от F-Server.

Сильно не бейте если не в тему.
Уважаемые разработчики и эксперты у меня такая проблема. Завёлся на машине 5й svchost.exe . Мой антивирь в этом вообще невидит никакой проблемы. А ваш ( за что вам огромное спасибо!!! ) ВИДИТ!!! Но к сожалению ничё сделать с ним неможет :'-( пишет >> опасно: порт 5000 TCP - Сервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe) при удалении требует перегрузки. Может быть можно сделать так чтоб прога при необходимости сама перегружала и делала необходимые операции (конешно после запроса пользователя) Потомушто я сам перегружаю но к сожалению он не лечится. а может я чёто не так делаю? Может кто знает как с этим в ручную бороться? :pray:

Сильно не бейте если не в тему.
Уважаемые разработчики и эксперты у меня такая проблема. Завёлся на машине 5й svchost.exe . Мой антивирь в этом вообще невидит никакой проблемы. А ваш ( за что вам огромное спасибо!!! ) ВИДИТ!!! Но к сожалению ничё сделать с ним неможет :'-( пишет >> опасно: порт 5000 TCP - Сервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe) при удалении требует перегрузки. Может быть можно сделать так чтоб прога при необходимости сама перегружала и делала необходимые операции (конешно после запроса пользователя) Потомушто я сам перегружаю но к сожалению он не лечится. а может я чёто не так делаю? Может кто знает как с этим в ручную бороться? :pray:
Не нужно его удалять. Это системный процесс. АВЗ иногда ругается не по делу на открытые порты.

Сильно не бейте если не в тему.
Уважаемые разработчики и эксперты у меня такая проблема. Завёлся на машине 5й svchost.exe . Мой антивирь в этом вообще невидит никакой проблемы. А ваш ( за что вам огромное спасибо!!! ) ВИДИТ!!! Но к сожалению ничё сделать с ним неможет :'-( пишет >> опасно: порт 5000 TCP - Сервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe) при удалении требует перегрузки. Может быть можно сделать так чтоб прога при необходимости сама перегружала и делала необходимые операции (конешно после запроса пользователя) Потомушто я сам перегружаю но к сожалению он не лечится. а может я чёто не так делаю? Может кто знает как с этим в ручную бороться? :pray:
Это скорее всего системный сервис. Эта стиуация простая и описана в FAQ - http://z-oleg.com/secur/avz_doc/faq_4.htm
Тем не менее, если есть подозрения на то, что на ПК "живет" зверь - тогда нужно в разделе "Помогите" согласто правилам создать раздел - посмотрим логи, вынесем вердикт.

Новый релиз - 3.60.12
Из доработок:
1. Доработано исследование системы, устранены обнаруженные там ошибки
2. AVZ при сворачивании окна сворачивается в Tray
3. Появилась проверка архивов (в настоящее время поддерживаются ZIP, WinZIP, CAB, JAR) - выключатель "Проверять архивы" на закладке "Типы файлов". Естетсвенно, что включение проверки архивов приводит к ощутимым тормозам ...
4. Устранена ошибка в защите от рекурсивного лечения собственной папки Infected

Максимальный уровень эвристики, расширенный анализ, включена проверка архивов. Получился очень большой лог, содержащий многократно повторяемую строчку:
C:\DOCUME~1\6EED~1\LOCALS~1\Temp\avz_3696_1.tmp - PE файл с нестандартным расширением(степень опасности 5%)

Кроме того, при проверке большого архива (например, i386\driver.cab) нет реакции на кнопку «стоп», сканирование останавливается только после окончания проверки этого архива.

Максимальный уровень эвристики, расширенный анализ, включена проверка архивов. Получился очень большой лог, содержащий многократно повторяемую строчку:
C:\DOCUME~1\6EED~1\LOCALS~1\Temp\avz_3696_1.tmp - PE файл с нестандартным расширением(степень опасности 5%)

Кроме того, при проверке большого архива (например, i386\driver.cab) нет реакции на кнопку «стоп», сканирование останавливается только после окончания проверки этого архива.
Да, такие эффекты имеют место ... я заблокирую реакцию AVZ на его временные файлы (avz_3696_1.tmp расшифровывается как временный файл AVZ с PID=3696, уровень вложенности 1 - на макс. уровне с расширенным анализом он ругается на каждый извлекаемый из архива exe файл). С большими архивами я сейчас разбираюсь - функция остановки поиска в движке разархивачии есть, но судя по всему срабатывает пока не до конца.

Ну что ..прежде всего..не совсем по теме..но надо. Прога просто супер...Эту версию ещё не тестировал,но предидущие очень понравились :0) Так держать !

На днях использовал АВЗ не по назначению. Не ставился алкоголь, говорил, драйвер уже загружен. Выдавал ошибку, перегруз и чистка реестра не помогли. Запустил АВЗ - дисптчер драйверов - и вуаля - находим драйвер и удаляем. Еще раз спасибо за отличную программу.

В исследовании системы нужно добавить птичку "Считать MD5"

Поиск по сигнатуре нужен - что-то типа искать по -
6F ?? 6B ?? 32 ?? 4D ?? 65 *10 20 ?? 41 ?? 70 ?? 70 в файле.
?? - любой байт
*10 - "дырка" от 0 до 10 любых байт.

В исследовании системы нужно добавить птичку "Считать MD5"
Добавлю. Но тогда его в логи придется выводить, что собственно не трудно ... - только места по ширине больше займет.


Поиск по сигнатуре нужен - что-то типа искать по -
6F ?? 6B ?? 32 ?? 4D ?? 65 *10 20 ?? 41 ?? 70 ?? 70 в файле.

Такой поиск тормозить будет ... хотя привернуть такой искатель можно, польза от этого будет - тем более что ядро в принципе умеет искать по таким сигнатурами, т.е. изобретать ничего не придется

приостанавливается работа поиска-провеки,

Такой поиск тормозить будет ... хотя привернуть такой искатель можно, польза от этого будет - тем более что ядро в принципе умеет искать по таким сигнатурами, т.е. изобретать ничего не придется
Ну и пусть тормозит. Главное чтобы искал, иногда требуется, приходится изобретать каждый раз.

Ну и пусть тормозит. Главное чтобы искал, иногда требуется, приходится изобретать каждый раз.
Тогда решено... может, и не будет особых тормозов при поиске. Сделаем так - если введена строка поиска, то ищется строка. Если строка вида $SIGN(...) - включается сигнатурный поиск.

1)Олег, я вам высылал MIPro.dll, и в какой то недавней версии он был включен в базу безопастных, а сейчас же с версией 3.60.12 он снова попал "Нейросеть: файл с вероятностью 98.65% похож на типовой перехватчик событий клавиатуры/мыши"
2)Проверка в архивах - это очень хорошо, но на данный момент очень частое не правильное определение файла на момент что он является архивом: "C:\Tools\Delphi\Components\SpellCheck\Speller\Spel ler.dcp Invalid file - not a PKZip file". И так почти все DCP файлы.

1)Олег, я вам высылал MIPro.dll, и в какой то недавней версии он был включен в базу безопастных, а сейчас же с версией 3.60.12 он снова попал "Нейросеть: файл с вероятностью 98.65% похож на типовой перехватчик событий клавиатуры/мыши"
2)Проверка в архивах - это очень хорошо, но на данный момент очень частое не правильное определение файла на момент что он является архивом: "C:\Tools\Delphi\Components\SpellCheck\Speller\Spel ler.dcp Invalid file - not a PKZip file". И так почти все DCP файлы.
MIPro.dll я обязательно проверю - дело в том, что я переделываю базы и периодически могут быть некие нестыковки ... наверное, он "вылетел" из баз, такой глюк недавно имел место.
Насчет Spel ler.dcp - если не трудно, пришлите мне их штуки 2-3 (из тех, на которые AVZ ругается). Скорее всего они по сигнатуре похожи на архив, вот он и срабатывает ( not a PKZip file ... я потом уберу, но на время тестов он ругается на "архивы", которые не может открыть)

хочу поблагодарить автора етого замечятельнго софта очень качерный продукт , сериозное чистит безжалостно , однао не без упреков кое чего сериозное пропускает, я толко сегодня нашел етот форум посему сожалею что раньше о нем не знал однако я проводил свои собственные иследования сравнения антиспаев , хотелсь бы чтобы автор программы как то прокоментировал их , хотя и проиграла по несколким параметрам парочке других софтин я остаюсь поклонником етой програмы мой тест проведенный з апоследние 2 месаца можно посмотреть вот тут http://members.lycos.co.uk/steelrats/forum/viewthread.php?forum_id=21&thread_id=111&rowstart=20 .respect

SORRY for my gramm errors in txt , i use transliterator ))

хочу поблагодарить автора етого замечятельнго софта очень качерный продукт...

Спасибо, конечно, за хорошие слова в адрес AVZ, мне она тоже очень нравиться. Но вот эта фраза из вашего "теста" заставляет брать это слово в кавычки :(


фтин от стеганос весает сйстемку XP. природа конфликта неизвестна обший вывод гавнецо ...РЕКОМЕНДУЮ дла ежедневной поверхностной чистки XOFTSPY

(орфография сохранена)

СОВЕРШЕННО ВЕРНО !!!! НО !!! придется вам прочесть тест антиспаев))до КОНЦА на моей тачке в реалным условиях ( а я ловил ранше по 200 сотни спаев в день).если у вас хватит терпения )) так вот я тестил из того что было под рукой и если лутчим на данный момент среди кандидатов был Xoftspy значит он )) в конце же стоит фраза о нем kak- кукичистилка ! )))а если глянуть на last график то уворень протекта около 0000)) тест надо смотреть по релевантности :D по поводу ошибок в текстах, они у меня на всех языках )) тем более если юсать транслитератор)............кроме того не надо выдирать выборочно цитаты ведь FULL фраза звучала так ,---
РЕКОМЕНДУЮ дла ежедневной поверхностной чистк XOFTSPY работает очен быстро и достаточно качественно ,большая база сигнатур хотя и пропускает заразу в небольших количествах скажем так болше чистит куки чем сериознуу новуу заразу однако быстрее и боле мене хорошо ловит в качестве махимал зашиты вижу толко одно средство АВЗ отечественого производителя ,работает медлено .очен медленно на режиме мах евристике 27 гб за 1,16 часа но зато по всем показателям лутче других плус очем много очем полезных птючек я бы сказал единственыж сериозны софт по теме
-------------
И ЕТО СТАВИТ ВСЕ НА СВОИ МЕСТА

ЯСЕНь ПЕНь ТЕСТЫ ЛЮБИТЕЛСКИЕ ! НО В РЕЛьНЫХ УСЛОВИЯХ А НЕ НА ВИРТУАЛьНЫХ ТЕСТ МАШИНАХ

Новый релиз - 3.60.12
Из доработок:
....
3. Появилась проверка архивов (в настоящее время поддерживаются ZIP, WinZIP, CAB, JAR) - выключатель "Проверять архивы" на закладке "Типы файлов". Естетсвенно, что включение проверки архивов приводит к ощутимым тормозам ...


Раз уж пошла такая пьянка... а сигантуры/MD5 дистрибутивов в базе будут? Хотя бы винда. И офис. И ИЕ :). а то как начнётся глобальная распаковка, так и любой антивирус достанет. А так, проверить, допустим, MD5 от контрольных сумм файлов и другой служебной информации архива - и вуаля! яразу ясно, распаковвываем или пропускаем, ибо архив целенький.

capture-2a.jpg - типовая проблема. Места на экране много, а столбцы показываются урезанными.

При просмотре карантина, когда там много пунктов, нижняя стрелка скролбара прячется (на capture-1.png это видно). Соответственно, видно только пол-строки с именем и прочим...

может быть не в тему однако вопрос к тем кто юзал MS antispyware 1 beta , где там у неев меню папка с карантином ??добратся не могу могет другой путь есть если с менюшки нету

Раз уж пошла такая пьянка... а сигантуры/MD5 дистрибутивов в базе будут? Хотя бы винда. И офис. И ИЕ :). а то как начнётся глобальная распаковка, так и любой антивирус достанет. А так, проверить, допустим, MD5 от контрольных сумм файлов и другой служебной информации архива - и вуаля! яразу ясно, распаковвываем или пропускаем, ибо архив целенький.
Сигнатуры стандартных архивов и их контрольные суммы однозначно будут в базе безопасных (только немного иначе, чем для файлов - я внесу в базе размер, полнуж MD5 и CRC первых 2 кб - если размер и первые 2к архива совпадут, я проведу просчет всей CRC и в случае совпадения архив проверяться не будет).
to Vegas
Насчет очень медленной работы AVZ в обзоре и то, что на макс. эвристике он работает "очень долго" - это скорее всего немного ерунда :) Уровень эвристики вообще не влияет на скорость сканирования - это по сути (и по реализации) просто регулятор порога: все выше порога идет в лог, все ниже - игнорируется. Т.е. если просканировать ПК с нулевой эвристикой и на максимуме, то получим одинаковое время. У меня на тесте 20 ГБ (35 тыс. файлов, из них штук 300-500 архивов (мелкие CAB с разными зверями)) проверяется за 2 мин 37 сек. 1-2 часа можно получить, если сканировать AVZ при включенном мониторе какого-либо антивиря ...

capture-2a.jpg - типовая проблема. Места на экране много, а столбцы показываются урезанными.

При просмотре карантина, когда там много пунктов, нижняя стрелка скролбара прячется (на capture-1.png это видно). Соответственно, видно только пол-строки с именем и прочим...
такой глюк имеет место - беру на заметку, в новой версии постараюсь устранить

sorry za translit pishu naspeh , situazia takaya , znakomqy burzuy obratilsa z apomoshiyu mpervqy vzlad poijmall vir ,delau restore 4tobq hot rabotat mona bqlo namesac nazad, dalee skanu MC antispy poimal 1 )) dalee idet mcafee interprise 8.0i nashel 3 esho vo vremya installa i 96 na skane ,s 5 popqtki udaos zagruzit ne bitqi avz s homepagi xz po4emu no winrar glu4ul , ok skanu AVZ nahozu esho 71 (boshka smotret log se4as tam ku4a esho podozritelnqh , k olegu vopros popodozritelnqm 4to deystvitelno tam pdozritelno a chto ne'???sooru migren lomit dumat ne mogu , failo nalovlenoe o zveriem poslat ne mogu komp ne moi sro4no 4ishu )) logi prilozenq ....PO POVODU VREMA SKANA XZ VREMA NA VERSII 3 MECACHNOY DAVNOSTI BQLO IMENNO TAKOE POSKOLKU YA TESTIL TOLKO NA MAX EVRISTIKI TO SDELAL NAVERNO NEKOREKTQY VQVOD , VOOBSHEM SE4AS SKANIT OKOLO 30GB ZA 15 MIN PO4EMU TAK OBIASNIT NE MOGY PRI TEH ZE NASTOYKAH (( esho RAZ SORRY ZA TRANSLITE zavtra zajdu perekodiruyu v kirilicu sechas boleu i tachka ne moua )

... A0006248.sys>>> подозрение на Backdoor.Win32.Haxdoor.gen ... - Это опасный зверь, его трудно вытравить из системы (если он там прописался). Все подозрительные файлы стоит прислать мне на [email protected] для разборки, что это за звери

Сигнатуры стандартных архивов и их контрольные суммы однозначно будут в базе безопасных (только немного иначе, чем для файлов - я внесу в базе размер, полнуж MD5 и CRC первых 2 кб - если размер и первые 2к архива совпадут, я проведу просчет всей CRC и в случае совпадения архив проверяться не будет).

ИОПТ. У tar надо считать всё. У zip полный каталог лежит в конце (а jar - это который java zip?). И я видел подделки ZIP. Наверное, надо учитывать не первые 2к, а по формату.

И ещё, а что если карантин архивировать в 7z-формате? Я проверил, если на моём карантине avz-zip даёт 34 Mb, то 7z с опциями (из хэлпа) для исполняемых файлов дал 23 Mb! Ощутимо!

И ещё, а что если карантин архивировать в 7z-формате? Я проверил, если на моём карантине avz-zip даёт 34 Mb, то 7z с опциями (из хэлпа) для исполняемых файлов дал 23 Mb! Ощутимо!
7z - хорошо, но вопрос, сколько времени уйдет на архивирование? Стоит ли оно того?

Как вариант: в таком случае можно просить Олега сделать опционально указать каким архиватором жать карантин, т.е. указать полностью строку для запуска архивирования карантина, если это все таки нужно...

Как вариант: в таком случае можно просить Олега сделать опционально указать каким архиватором жать карантин, т.е. указать полностью строку для запуска архивирования карантина, если это все таки нужно...
Насчет 7-zip я даже не знаю ... zip выбран из-за того, что это пу сути стандарт - алгоритм и формат открыт и практически не меняется, я применяю базовую компрессию - такой архив откроется где угодно и чем угодно (WinZip, Rar, тот-же 7-zip). Вот проверку 7-zip архивов делать придется

СОВЕРШЕННО ВЕРНО !!!! НО !!! придется вам прочесть тест антиспаев))до КОНЦА
Я затрудняюсь читать такой текст, извините.


на моей тачке в реалным условиях ( а я ловил ранше по 200 сотни спаев в день).если у вас хватит терпения )) так вот я тестил из того что было под рукой и если лутчим на данный момент среди кандидатов был Xoftspy значит он )) в конце же стоит фраза о нем kak- кукичистилка ! )))

http://www.virusinfo.info/showthread.php?t=1397&highlight=XOFTSPY

Или поиск по форуму по слову XoftSpy.

AntiOfftopic:
Олег, а можно архивировать файлы сразу при помещении их в карантин? А то SpiderGiard часто файлы из карантина выхватывает :(
Можно и с нулевым сжатием архивировать (хоть и нежелательно, ИМХО), но с паролем.

Я затрудняюсь читать такой текст, извините.
Олег, а можно архивировать файлы сразу при помещении их в карантин? А то SpiderGiard часто файлы из карантина выхватывает :(
Можно и с нулевым сжатием архивировать (хоть и нежелательно, ИМХО), но с паролем.
Можно - я уже думаю о том, что не сживать файлы, а шифровать их чем-то примитивным типа XOR. Иначе действительно антивусные мониторы их прибивают.

2 OLEG ,vopros a moget bqt' proshe sdelat system restore na datu kogda u nego ne bqlo etogo virusa? (vrema prosto netu vozitsa s ego kompom imeno se4as hotya i zutko intersno) naskolko takou metod priemlem ?(u nego vse ravno winda golaya ves soft ego eto 3 antivirusnqh progi chto ya emu proinstallil) poprpbuyu na dnyah prislat eti podozrielnqe ..

что не сживать файлы, а шифровать их чем-то примитивным типа XOR.
Отличная идея :)

Можно - я уже думаю о том, что не сживать файлы, а шифровать их чем-то примитивным типа XOR. Иначе действительно антивусные мониторы их прибивают.

Тоже вариант, но менее желателен. Т.к. тогда файлы можно будет извлечь только с помощью AVZ. А так любой архиватор подойдет, если пароль известен.

7z - хорошо, но вопрос, сколько времени уйдет на архивирование? Стоит ли оно того?
Ну не знаю, стоит ли... кому какая разница, отправить 34 мегабайта или 23... :(

кстати об архивах. А можно будет сделать возможность создавать собственные/локальные/не_для_распространения базы сигнатур архивов?
Обычно ведь некогда разбираться, где архивы, а где нет, поставишь галочку диску С и вперёд... Хотя это уже получится гибрид с adinf и его клонами.

Прошу прощение за вторжение.
Я начал использовать утилиту совсем недавно. Что было бы хорошо и чего я не нашел, это кнопка проверки новой версии и/или update сигнатур.

Данные проблемы обсуждались. Это пока ещё бета-версия и Отец-Создатель-автор ;-))) (Олег Зайцев) пока не реализовал данные вещи в текущем виде программы для широких масс пользователей по ряду причин. Как не имеющие горящей необходимости. Все обновления афишируются в данной ветке, кроме того, с главной страницы есть переход на сайт и, отдельно, - на закачку данной программы. Следите за новостями!

Мне кажется распаковка архивов не самая приоритетная задача. Очень не хватает англоязычной версии. Да и база чистых файлов очень медленно пополняется.

Меня глючит или AVZ|Диспетчер автозапуска не проверяет строку shell= в system.ini /Win9x ???

Меня глючит или AVZ|Диспетчер автозапуска не проверяет строку shell= в system.ini /Win9x ???
Просто в текущей версии нет проверки system.ini ... по каким-то причинам эта проверка туда не попала, надо бужет добавить

Мне кажется распаковка архивов не самая приоритетная задача. Очень не хватает англоязычной версии. Да и база чистых файлов очень медленно пополняется.
Базой безопасных я сейчас занимаюсь, она уже подрасла на 3 тыс. файлов. А с архивами приходится воевать - сейчас много заразы разной идет в CAB, JAR, CHM ... в RAR и 7-ZIP я почти не встречал. Много шпиенов идет в формате WISE и аналогов - просто включены в дистрибуцию.

Очень расстроило то, что пользовательский интерфейс написан не а unicode.

Олег, если надумаете сделать поддержку Unicode, тогда пригодятся TNT контролы (http://www.tntware.com/delphicontrols/unicode/)

HELP ME!
Есть проблема. Несколько машин работают под winXP (Compaq Evo). при запуске AVZ
в режиме Блокировать работу ROOTKit - дохдит до загрузки драйвера и машина перегружается. Помогите, pls.

HELP ME!
Есть проблема. Несколько машин работают под winXP (Compaq Evo). при запуске AVZ
в режиме Блокировать работу ROOTKit - дохдит до загрузки драйвера и машина перегружается. Помогите, pls.
Нужен лог в режиме без блокирования .... скорее всего есть какой-то перехватчик, деактивация которого приводит к таким последствиям

Протокол антивирусной утилиты AVZ версии 3.60.12
Сканирование запущено в 16.07.2005 18:08:28
-------------------------------------------------------------
Функция ZwConnectPort (1F) перехвачена (805894AD->81886BB8), перехватчик не определен
Проверено функций: 284, перехвачено: 1, восстановлено: 0
-----------------
Олег спасибо за вашу работу.
Объясните что значит данная запись в файле протокола.

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\LPK.DLL --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\LPK.DLL>>> Нейросеть: файл с вероятностью 0.60% похож на типовой перехватчик событий клавиатуры/мыши
E:\WINDOWS\system32\cabinet.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\cabinet.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
-----------------------------------------------------------------
Олег, в продолжение темы.
Эти файлы проверил у Касперского,ответ в норме.Мой Нортон тоже не видит в них плохого. Как можно проверить ещё.
Спасибо.

-----------------------------------------------------------------
Олег, в продолжение темы.
Эти файлы проверил у Касперского,ответ в норме.Мой Нортон тоже не видит в них плохого. Как можно проверить ещё.
Спасибо.

Я не Олег ;-)), но попробую предложить скачать ВБА32
(_ftp://anti-virus.by/pub/vba32-console-scanner-beta-20050707.zip)
Скачать приаттаченный ключ (заменить расширение на*.key) и прогнать на компе. У ВБА весьма сильный эвристик.

Эти файлы проверил у Касперского,ответ в норме.Мой Нортон тоже не видит в них плохого. Как можно проверить ещё.
Спасибо.
Собственно выслать Олегу. Адрес указан на его сайте.

Протокол антивирусной утилиты AVZ версии 3.60.12
Сканирование запущено в 16.07.2005 18:08:28
-------------------------------------------------------------
Функция ZwConnectPort (1F) перехвачена (805894AD->81886BB8), перехватчик не определен
Проверено функций: 284, перехвачено: 1, восстановлено: 0
-----------------
Олег спасибо за вашу работу.
Объясните что значит данная запись в файле протокола.
Какая-то программа перехватывает, странно что одну эту функцию. Можно проверсти исследование системы (или посмотреть модули пространства ядра) и посмотреть, нет ли там подозрительных драйверов. Проще смотреть в исследовании системы - там автоматом исключаются все опознанные файлы.

VOBSHEM podqtozu svou to4ku zrenia , AVZ good , very good no nedostato4nen na 100% (NO I NEZAMENIMAYA V SVOEM LASSE UTILITA )skoree kak sushestenoe dopolennie k antivirusu i antispyware u kotorogo est monitor, otli4ie ogromnoe avz V TOM 4to lovit kankretno realnqe spyware ,4erez monitoring zapushenqh procesov, toest kak pokazal moi test avz ne lovit ne zapushennqe spyware, ,--- pojelaniya k softu , 1 sdelat' knopo4ku update. 2 bqlo kodirovku primenit takuyu 4tobq na lubo vinde bez predustanovki kirilicq pokazqvalo korektno ,3dobavit kak otdelnqy ili vkuchennqy modul monitoringa ( no pri etom zelatelno samu avz ili ves kompleks ostavit kak est ne trebovani k instalcii , VO VSEM OSTALNOM VSE GOOD

Собственно выслать Олегу. Адрес указан на его сайте.
OK.
С уважением

Олег, я недавно скачал программку, автоматический переключатель клавиатуры, а AVZ, на него ругаеться. не мог бы ты посмотреть?
Ссылка на программу: http://www.intelife.net/ninja/

Олег, я недавно скачал программку, автоматический переключатель клавиатуры, а AVZ, на него ругаеться. не мог бы ты посмотреть?

Вышли файл C:\Program Files\Keyboard Ninja\ninja.dll сюда: [email protected]. Олег внесёт его в базу безопасных.

Олег, я недавно скачал программку, автоматический переключатель клавиатуры, а AVZ, на него ругаеться. не мог бы ты посмотреть?
Ссылка на программу: http://www.intelife.net/ninja/
Да, это от переключалки раскладки - ушло в базы безопасных ...