Вышла новая новая версия AVZ - 3.65.0. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz-betta3.zip)
Радикальные новшества и пределки:

[-] В ходе проверки архива не работала кнопка "Стоп" - останов происходил только после завершения проверки текущего архива - исправлено
[-] На максимуме эвристики шло ложное срабатывание на каждый файл, извлеченный из архива (сообщение из-за того, что PE файл имеет расширение TMP) - исправлено
[++] Переделан GUI - он стал поддерживать стили XP, вроде бы решились проблемы с копированием лога в буфер обмена
[+] Задание порога размера архива для проверки (по умолчанию - 10 МБ)
[+] Добавлена поддержка архивов формата GZIP и TAR
[+] Добавлена поддержка архивов MHT
[++] Добавлена поддержка проверки писем электронной почты (EML, MSG и все производные от них, в частности вложенные письма, письма с альтернативными фрагментами и т.п.)
[+] Добавлена работа с INI файлами win.ini и System.ini для менеджера автозапуска
[++] Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охратывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п.
Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы
[+] Вывод данных о безопасности процесса в анализаторе портов TCP/IP, если процесс опознан по базе
безопасных
----
В новой версии обновлена базы вирусов - добавлено около 430 новых "зверей", усовершенствован эвристик. Я провел работу над ложными срабатываниями и пополнил базу "правильных" файлов примерно на 3 тыс. образцов. У версии 3.65 в базе 15098 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 289 микропрограммы эвристики, 5 микропрограмм восстановления настроек системы, 33802 подписей безопасных файлов

Только вот теперь я не вижу русских букв. Одни вопросики :( Хоть и стоит использовать русские фонты для не юникод программ :(

Только вот теперь я не вижу русских букв. Одни вопросики :( Хоть и стоит использовать русские фонты для не юникод программ :(
Это полохо - значит, я что-то перемудрил - сейчас попробую это воспроизвести у себя

Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...

Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...
Я работаю над переводом ... вынести строки в ресурсы нереально, очень много строки собираются в динамике (несколько сотен). Сейчас я делаю переводчик, он почти готов - он по базе переводит фразы. Т.е. если, например, в AVZ встречается фраза "Сохранить протокол", то она певодится и перевод "Save log" один раз заносится в базы. И затем переводчик автоматом переведет ее во всех местах программы

Я сейчас запустил АВЗ и она нашла какой-то вирус, но удалять его нехочет, несмотря на то что галочку рядом с "выполнять лечение" я поставил. Может потому что это он в архиве?

C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.inf>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g
C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.dll>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g
Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.

Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.

Найден и удалён

Кстати, в тему (в хелпе пока этого нет) - при обнаружении в архиве чего-то AVZ форматирует имя как .../{тип архива}/... Если архив содержит вложенные архивы, то в "пути" соответственно будет развернута вся цепочка. При этом если просмотреть список найденных вредоносных файлов, то туда попадет именно архив верхнего уровня - это позволяет при желании прибить его вручную.

И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.

И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?
Чисто технически это сделать можно, я нечто похожее как-то уже пробовал - но приведет это к тому, что по Инет начнут гулять "левые" базы "правильных" файлов. Плюс когда мне присылают чистые файлы для базы, то нередко в их рядах вылавливается 2-3 трояна (хотя присылает их сисадмин)... Хотя подумать об этом можно - я уже давно думаю о том, чтобы сделать нечто типа локального списка безопасных файлов (база открытого вида, в TXT или MD5 формате).

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.
вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...

вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...
В идеале возможность добавления в контекстное меню правой кнопки :) Если нет, то типа утилитки

Добрый день!

1. MD5 таки нет еще на сайте с avz.
2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на файл avz992_1.tmp размещенный в папке ...documents and settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
Эффект распаковки зараженного архива?

Добрый день!

1. MD5 таки нет еще на сайте с avz.
2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на файл avz992_1.tmp размещенный в папке ...documents and settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
Эффект распаковки зараженного архива?
1. MD5 нет, моя вина, сегодня положу ...
2. Да, avz992_1.tmp - это файлы, порождаемые при распаковке. avz - префикс имени, 992 - PID процесса AVZ, _1 - уровень вложения - в случае вложенного архива будет 2 и т.п. Значит, монитор учуял вынутый из архива файл и сработал ... это нормально, и AVZ не боится ситуации, связанной с тем, что монитор удалит или заблокирует доступ к такому временному файлу.

taze baida znaki voprosov krugom , chto delat?

taze baida znaki voprosov krugom , chto delat?
Пока идет поиск пути решения - выходом станет версия, нормально работающая в Unicode или англоязычный вариант. Прочто я пока не могу воспроизвести у себя эту ситуацию (все системы, имеющиеся под рукой, такому багу не подвержены. К примеру, у меня на W-2003 Server в региональных настройках для not-Unicode программ стоит Russian и отображение русских букв идет нормально).
to santy
Я поместил MD5 сумму (после описания версии)

У меня что на русской что на английской WinXP SP2 тоже с русским все в норме.

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.

Для админов,безусловно,удобно.А персональщикам оно не всегда и надо. За отдельную утиль! Кому надо- сольют.

Для админов,безусловно,удобно.А персональщикам оно не всегда и надо. За отдельную утиль! Кому надо- сольют.
Так и поступим ...
Доступна версия 3.65.02 - в ней вроде-бы решена проблема с отображением ресских букв в англоязычных операционках. Плюс пойман баг с подвисанием AVZ в ходе сканирования многотомных CAB архивов.

А проверка MIME так и не работает (см. тестовые письма)
пароль на архив: virus

P.S. То администратор: добавьте возможность загружать вложения с расширением rar. Thanks a lot...

При проверке, когда окно сворачивается в трей, неплохо было бы чтоб при наведении курсора показывался индикатор прогресса.

При проверке, когда окно сворачивается в трей, неплохо было бы чтоб при наведении курсора показывался индикатор прогресса.
Логично, сейчас приделаю к иконке в трее Hint с информацией и менюшку.
to Dandy
За образцы спасибо, как оказалось, собака зарыта не в анализаторе MIME, а гораздо выше - в анализаторе типа файла. Дело в том, что AVZ определяет тип по содержимому файла, у EML файла как правило первой строкой идет "Return-Path:" или "From:", а в данном случае - "Date:". Я сейчас подкручу анализатор и все будет работать как надо.

То Олег:
Олег, Вы мое письмо по поводу eml, msg, tnef не получали?! :?
там их было даже два...

То Олег:
Олег, Вы мое письмо по поводу eml, msg, tnef не получали?! :?
там их было даже два...
Нет - если можно, повторите на [email protected] ...
Кстати, в одном из писем-образцов еще одна штука поймалась - анализатор AVZ как-то криво X-UUE отрабатывает (тип определяет, но в раскодированном варианте "зверя" не видит)

P.S. То администратор: добавьте возможность загружать вложения с расширением rar. Thanks a lot...
Dobavil

Олег
Выслал Вам AdWare MyWebSearch

Олег
Выслал Вам AdWare MyWebSearch
Спасибо, сейчас загоню его в базы ...

Чего пока не умеет AVZ по сравнению с hijackthis ? Или уже покрывает как бык овцу :)

Олег, в отчет "Исследование системы" в некоторых случаях попадают файлы, известные AVZ как безопасные (см. фрагмент лога), хотя стоит галка исключать их из протокола.
Например, spidernt.exe (известный AVZ как безопасный) в "Службах" и "Автозапуске" закрашен как небезопасный, хотя файл один и тот же, но AVZ почему-то его не опознает.
Кстати, в "Автозапуске" часто не "опознаются" безопасные файлы, запускаемые с ключами или без расширений (например, C:\WINDOWS\system32\dumprep 0 -k).

Чего пока не умеет AVZ по сравнению с hijackthis ? Или уже покрывает как бык овцу :)
Да вроде уже всё умеет

При сканировании архивов в логе постоянно появляются строки вида:

...
C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_1.tmp Invalid file - not a PKZip file
D:\Soft\Other\2002\Office XP\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01593C48
D:\Software\bigle3d.zip Cannot create file "C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_10.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
D:\Software\Fonts\Fontog35.zip Cannot create file "C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_10.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
...
Причем последних строк очень много, меняются только название архивов, а временный файл, который не может создать AVZ, в текущем сеансе везде один.
Антивирусный монитор отключен, что мешает AVZ создать временный файл?

Выводы:
Опытным путем удалось выяснить, что сбой происходит при проверке архива VMX86_01.CAB (Access violation at address 00402680 in module 'avz.exe') и последующие архивы перестают проверяться, т.к. AVZ не может создать временный файл (avz_1744_10.tmp), который сам уже создал ранее при проверке VMX86_01.CAB и продолжает его использовать до выхода из AVZ!

AVZ 3.65.02 TE ZE SAMQE GLUKI S KODIROVKOI NA ENGL VINDE RANSHE TAKGOO NE BQLO V VINDE PODERZKA RUSKIH SHRIFTOV VKLU4ENA,, GDE BQ SKA4AT PREZNIE RABO4IE VERSII?NA SAITE IH UZE NET DLA SKA4KI

О, я смотрю появился version.txt. Это хорошая идея :)

Да вроде уже всё умеет
может, тогда изменить рекомендации к разделу "Помогите", убрав hijackthis? Юзерам проще иметь дело с одной программой

может, тогда изменить рекомендации к разделу "Помогите", убрав hijackthis? Юзерам проще иметь дело с одной программой
Пока что для контроля hijackthis оставим, но один лог, а второй будет от АВЗ. Вдруг АВЗ чего-то не знает. Вечером подредактирую инструкцию.

О, я смотрю появился version.txt. Это хорошая идея :)
Это у меня склерозная книжка :) Чтобы знать, что в какой версии менялось - я теперь такой файлик во все версии буду помещать, с описанием, что и где поменялось.
to Denz

Выводы:[/B][B]Опытным путем удалось выяснить, что сбой происходит при проверке архива VMX86_01.CAB (Access violation at address 00402680 in module 'avz.exe') и последующие архивы перестают проверяться, т.к. AVZ не может создать временный файл (avz_1744_10.tmp), который сам уже создал ранее при проверке VMX86_01.CAB и продолжает его использовать до выхода из AVZ!
Судя по всему этот VMX86_01.CAB многотомный ... баг понятен, исправляю


Пока что для контроля hijackthis оставим, но один лог, а второй будет от АВЗ. Вдруг АВЗ чего-то не знает. Вечером подредактирую инструкцию.
Совершенно верно, убирать лог Hijack нельзя ... у него есть свои плюсы и есть шанс, что Hijack поймает что-то, чего не ловит AVZ (а в исследовании системы нет пока данных про файл Hosts и еще нескольких моментов - но они скоро появятся)

proinformiruyte plz kak gluk s nadpisami v avz budet ispravlen,a to se4as odni ???????????????????? znaki voprosov

proinformiruyte plz kak gluk s nadpisami v avz budet ispravlen,a to se4as odni ???????????????????? znaki voprosov
Версия 3.65.02 проходила тестирование на англоязычных системах - все работает. Возможно, что-то некорретное на самом ПК ?

Вроде писал позавчера, а поста нету?
Еще раз. При идущей прверке и свертывании в трей неплохо было бы при наведении курсора на значок АВЗ неплохо было ьы видеть индикатор прогресса, а не надпись Антивирусная утилита АВЗ

Прикол, только заметил опрос :)

Версия 3.65.02 проходила тестирование на англоязычных системах - все работает. Возможно, что-то некорретное на самом ПК ?

Подтверждаю. У меня все стало нормально отображаться (W2k SP4 Server)

)))nado ze u mena okazqvaetsa winda xp eng na inoplanetnom yazqke)))

win xp sp2 eng . sp2

Версия 3.65.02 проходила тестирование на англоязычных системах - все работает. Возможно, что-то некорретное на самом ПК ?
Я проверил на английском XP prof. SP2. Если в ОС указано, что не UNICODE - это кирилица, тогда все нормально, в противном случае (например -немецкий) тогда знаки "?" :?

Я проверил на английском XP prof. SP2. Если в ОС указано, что не UNICODE - это кирилица, тогда все нормально, в противном случае (например -немецкий) тогда знаки "?" :?
Да, в моем тесте кстати аналогично - не Unicode стоит кирилица, тогда все нормально ...

Да, в моем тесте кстати аналогично - не Unicode стоит кирилица, тогда все нормально ...

Но это было и в предыдущей версии.
Все таки хотелось бы в будущем увидеть именно Unicode ну или английский GUI.

Но это было и в предыдущей версии.
Все таки хотелось бы в будущем увидеть именно Unicode ну или английский GUI.
Я не хочу делать Unicode - с ним может быть проблема на ПК с Win9x ... а вот англоязычная версия готовится

Я не хочу делать Unicode - с ним может быть проблема на ПК с Win9x
Конечно, будет, куда денется. Прикольно сделать две версии морды в разных DLL и при запуске выбирать в соответствии с платформой. Впрочем, это не горит, нам интереснее ехать.

Я не хочу делать Unicode - с ним может быть проблема на ПК с Win9x ... а вот англоязычная версия готовится

А есть смысл поддерживать win9x, при том, что и ad-ware под него пишут мало?

А есть смысл поддерживать win9x, при том, что и ad-ware под него пишут мало?
Есть конечно - подавляющее большинство AdWare отлично чувствуют себя под 9x ... и у меня в сети ПК с 9х сотни. Так что поддерживать 9х придется еще долго.

Да, в моем тесте кстати аналогично - не Unicode стоит кирилица, тогда все нормально ...
neponal , eto zavisit ot versii vindq ili nado ru4kami vqstavit ne unicode a cirilicy ?kstati v bolee ranih versiah avz 2,6.... s nadpisami bqlo vse ok moget vernut vse kak bqlo ranshe?

neponal , eto zavisit ot versii vindq ili nado ru4kami vqstavit ne unicode a cirilicy ?kstati v bolee ranih versiah avz 2,6.... s nadpisami bqlo vse ok moget vernut vse kak bqlo ranshe?
В версиях W2K и WinXP необходимо в настройках системы поставить, что программы, не поддерживающие Unicode - кирилица. Тогда все работает.
Не знаю, как было раньша, а с предыдущей версии ничего визуально не изменилось.

Есть конечно - подавляющее большинство AdWare отлично чувствуют себя под 9x ... и у меня в сети ПК с 9х сотни. Так что поддерживать 9х придется еще долго.
аналогично.... с фингалом под глазом, за правое дело. сорри......

Вышел новый AVZ ver 3.65.07
Изменения и дополнения:
[+/-] Исправлены различные баги с проверкой архивных и почтовых файлов, доработаны алгоритмы
[+] Усовершенствовано эвристическое удаление файлов
[+] Добавлен переключатель "Проверять чистые объекты по базе безопасных" на закладку "Типы файлов" - при его включении все "чистые" по мнению AVZ файлы проверяются по базе безопасных и результат проверки вносится в протокол.
[+] В процессе сканирование во всплывающую подсказку иконки в трее и значка на панели выводится выполняемая операция, процент выполнения и ориентировочное время до завершения
[+] Улучшено копирование в карантин
[+] Доработано отложенное удаление файла (в частности, при ручном запуске
отложенного удаления предлагается произвести автоматическую зачистку
ссылок на него в системе)
[+] Обновлена справка по работе с программой
-----------
У новой версии в базу добавлено примерно 400 новых сигнатур, в обновленной базе 15506 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 294 МП эвристики, 33802 цифровых подписей системных файлов. В базе переработан эвристик - добавлено детектирование ряда новых зверей

1. Зачистка реестра не работает при удалении файла в результатах поиска файлов, а надо бы.
2. А почему нет возможности удалять BHO, а только возможность отключить?

А вообще, нашел у меня на рабочем компе адварь BHO эвристиком :)
Он, конечно был уже отключен в ИЕ, т.к. давно показался мне подозрительным, но как-то забыл покопать дальше. В общем хорошая программа выходит :)

Олег
Xoтел сегодня опробовать новую версию на работе, но увы...
На машинах, где не установлена поддержка русского, в GUI (меню и т.д.) - "крякозаблы"... :(
Планируется Multiple language support?
По крайней мере английский?...
Программа сделана добротно, быстро развивается и жаль, если её можна юзать только на машинах с предустановленной поддержкой русского языка...
Тем более, это не сложно сделать...

Планируется Multiple language support?
Да. См. выше по тексту.

Да. См. выше по тексту.
В том то и дело, что я не имею в виду вариант:
В версиях W2K и WinXP необходимо в настройках системы поставить, что программы, не поддерживающие Unicode - кирилица. Тогда все работает., а по крайней мере англоязычную версию, обещанную Олегом...

1. Зачистка реестра не работает при удалении файла в результатах поиска файлов, а надо бы.
2. А почему нет возможности удалять BHO, а только возможность отключить?

А вообще, нашел у меня на рабочем компе адварь BHO эвристиком :)
Он, конечно был уже отключен в ИЕ, т.к. давно показался мне подозрительным, но как-то забыл покопать дальше. В общем хорошая программа выходит :)
1. Да, это я обязательно сделаю
2. Упущение, обазательно добавлю такую кнопочку

Адварь я посмотрел - ее обнаружение внесено в эвристик недавно, оказалось, это действительно "зверь"

Запуск из сетевых папок опять "поломатый"

В том то и дело, что я не имею в виду вариант:

В версиях W2K и WinXP необходимо в настройках системы поставить, что программы, не поддерживающие Unicode - кирилица...
, а по крайней мере англоязычную версию, обещанную Олегом...
Так ведь и я об этом.

AVZ ver 3.65.07
s ETOI NADPISI VSE OK , NAKONEC TO

Запуск из сетевых папок опять "поломатый"
Моя вина - причина найдена, исправляю ...

При сканировании в одном файле "подозрение на троян .... " Я почти уверен, что это ложное срабатывание. Нужно ли прислать этот файл и если да, то куда.

Конечно отправить!
Как: самое простое ;-)) - запустить программу АВЗ ->справка->о программе. Там написано.
Удачи.

Конечно отправить!
Как: самое простое ;-)) - запустить программу АВЗ ->справка->о программе. Там написано.
Удачи.
Отправил.

А можно в диспетчере процессов выделять цветом еще одну категорию процессов? i.e. хочется, если процесс проходит по базе как безопасный, но у его подгружены dllки, которые по базе безопасных файлов не проходят - выделять скажем красным цветом? А то сейчас пол часа рылся, в попытках найти из какого процесса была загружена вирусяка.

А можно в диспетчере процессов выделять цветом еще одну категорию процессов? i.e. хочется, если процесс проходит по базе как безопасный, но у его подгружены dllки, которые по базе безопасных файлов не проходят - выделять скажем красным цветом? А то сейчас пол часа рылся, в попытках найти из какого процесса была загружена вирусяка.
Это удобнее делать по логу исследования системы

Олег, Geser
В инете (http://lenta.ru/news/2005/08/04/icqvirus/) появилась ''устрашающая'' инфа:
В российском сегменте Интернета обнаружен новый вирус, активно распространяющийся по популярной системе интернет-пейджинга ICQ. Обычно вирус первично проявляется в виде сообщения от кого-либо знакомого (по всей видимости, уже зараженного) из контакт-листа ICQ, сообщение содержит вопрос о том, нет ли у получателя webmoney ("Есть webmoney?", "Привет, у тебя случайно нету webmoney?" и другие).
Затем обычно следует призыв посмотреть "прикольный флешь" или фраза "Смотри флашка прикольная!" (возможны другие варианты), которая сопровождается ссылкой на лежащий на одном из сайтов в российском Интернете исполняемый файл (зафиксировано название "chipes.exe", размер 22 308 байт).

Получатели, открывшие этот файл, подвергаются заражению. В настоящее время, после звонка корреспондента "Ленты.Ру" хостинг-провайдеру сайта, где был размещен файл с фирусом, (российской компании в одном из крупных городов) изначальный источник распространения вредоносной программы был нейтрализован. В то же время, существует вероятность, что вирус распространяется еще через какие-либо сайты.

Пока неизвестно, что именно делает вирус на зараженном компьютере помимо дальнейшей рассылки себя по ICQ. Известно, что некоторые пользователи ICQ-аккаунтов, которыми воспользовался вирус, не могут получить доступ к своей "аське". По всей видимости, работающие в области компьютерной безопасности компании вирус еще не изучили, так как популярные антивирусные средства его не опознают. Подробной информации специалистов об особенностях его поведения на уже зараженных машинах пока нет (в "диспетчере задач" процесс chipes.exe отсутствует, в процедурах автозапуска не прописывается). Всем пользователям ICQ рекомендуется ни в коем случае не открывать подозрительные .exe и другие исполняемые файлы из Интернета.
Хотелось бы услышать Ваш комментарий.
Дружит ли он с AVZ?

Олег, Geser
В инете (http://lenta.ru/news/2005/08/04/icqvirus/) появилась ''устрашающая'' инфа:
Хотелось бы услышать Ваш комментарий.
Дружит ли он с AVZ?
Пока информация и образец вируса лично мне не поступал, появится - внесу в базы. Мне кажется, что слухи об "супевирусе" в Инет существенно преувеличены. Для запуска вируса нужно иметь ICQ, полезть по присланной непонятно кем ссылке, выбрать запуск Exe (а не его сохранение) - слишком все сложно для эпидемии. Но пострадавшие явно будут

Данный "ICQ вирус" изучен, его поймали разработчики VBA и поделились образцом для анализа. Вот описание вируса http://virusinfo.info/showthread.php?p=52533#post52533, а в аттаче - обновление AVZ для его поиска
Вирус, как оказалось, детектируется эвристиком AVZ, т.к. обладает руткит-механизмом.
Вот пример лога AVZ
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys

...в аттаче - обновление AVZ для его поиска
Вирус, как оказалось, детектируется эвристиком AVZ, т.к. обладает руткит-механизмом.
Aй да Зайцев! Ай да молодец! :appl:
Вот это заслуживает особой похвалы!
А куда ложить daily.avz? В подпапку Base без переименований?
И когда планируется обновление AVZ с автоматическим его удалением?
Тем более, ты собирался сделать несколько поправок... :D

Для интереса сразу после AVZ с daily.avz запустил Ad-Aware SE с definitions file:SE1R60 04.08.2005:

Ad-Aware SE Build 1.05
Logfile Created on:4 августа 2005 г. 19:37:52
Using definitions file:SE1R60 04.08.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
AlertSpy(TAC index:1):1 total references
MRU List(TAC index:0):34 total references
Tracking Cookie(TAC index:3):20 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

04.08.2005 19:37:52 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS5\system32\
#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS5\system32\
#:4 [services.exe]
InternalName : services.exe
#:5 [lsass.exe]
OriginalFilename : lsass.exe
#:6 [svchost.exe]
InternalName : svchost.exe
#:7 [svchost.exe]
#:8 [svchost.exe]

@@@@@@@@@@@@@@@@@@@@@@@@@@@ - ОБРЫВАЮ

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
AlertSpy Object Recognized!
Type : Regkey
Category : Misc
Rootkey : HKEY_USERS
Object : S-1-5-21-343818398-1682526488-1343024091-1003\software\local appwizard-generated applications\alertspy

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1

Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : [email protected][1].txt
Category : Data Miner
Comment : Hits:38
Value : Cookie: ккккк@ad4.bannerbank.ru/
Expires : 03.09.2005 23:12:46
LastSync : Hits:38
UseCount : 0
Hits : 38
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,\\ ОБРЫВАЮ

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : [email protected][1].txt
Category : Data Miner
Comment : Hits:3
Value : @ad9.bannerbank.ru/
Expires : 04.09.2005 5:55:02
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : @revenue[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:@revenue.net/
Expires : 10.06.2022 7:05:42
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 20
Objects found so far: 21

Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS5
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21

Disk Scan Result for C:\WINDOWS5\System32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21

Disk Scan Result for C:\DOCUME~1\MISHAT~1\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21


Scanning Hosts file......
Hosts file location:"C:\WINDOWS5\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 21
....................................
Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 55

19:44:02 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:06:10.783
Objects scanned:68679
Objects identified:21
Objects ignored:0
New critical objects: 21
На эти 21 critical objects (Data Miner) AVZ не заточен?

Для интереса сразу после AVZ с daily.avz запустил Ad-Aware SE с definitions file:SE1R60 04.08.2005:

На эти 21 critical objects (Data Miner) AVZ не заточен?
Куки детектить смысла нет. Никакой опасности они не представляют.

Куки детектить смысла нет. Никакой опасности они не представляют. Ну не от скуки ведь это делает Ad-Aware? ;)

Aй да Зайцев! Ай да молодец! :appl:
Вот это заслуживает особой похвалы!
А куда ложить daily.avz? В подпапку Base без переименований?
И когда планируется обновление AVZ с автоматическим его удалением?
Тем более, ты собирался сделать несколько поправок... :D
Да, daily.avz нужно положить в папку Base - после этого AVZ видит сможет детектировать и удалять зверя. Тут еще нужно специалистов VBA поблагодарить - без их помощи "зверь" появился бы у меня только к вечеру.


Ну не от скуки ведь это делает Ad-Aware?

Детектировать кукизы AVZ не будет ... а зачем они в других продуктах - объясню. Во первых для объема базы (вот, в тестах антиспайверов - ловить некая программа X ничего не умеет, а база - 100 тыс. сигнатур), во вторых - для рекламы работы - типа никто ничего не поймал, а вот наша программа X - штук 50 разных паразитов нашла и удалила.
Техническая справка - кукиз IE - это небольшой текстовый файлик, он не может быть запущен или каким-то образом выполнен и опасности по сути не несет. Охота на кукизы многих антиспайверов доходит до паранои, один из лидеров - Ad-Aware SE - они к примеру ловят куки от Rambler, download.ru и т.п. Я занимаю радикальную позицию в этом вопросе, в моей статье КомпьютерПресс 7'2005 я довольно резко прошелся по этому поводу - по ловле кукизов в целов и по Ad-Aware + кукизы в частности

Права человека вообще и Privacy в частности - это пунктик у западных граждан. Священная корова, не приносимая в жертву даже антитеррористической кампании. Так что tracking cookies - это не технический вопрос, а идеологический.

Права человека вообще и Privacy в частности - это пунктик у западных граждан. Священная корова, не приносимая в жертву даже антитеррористической кампании. Так что tracking cookies - это не технический вопрос, а идеологический.
Да, согласен. Тут есть еще один моментик (важный для пользователя) - приходят к юзеру сети "люди в черном" и говорят - "служба безопасности ! Отвечайте, в интернет не выходил ? Порнуху/кректи/троянов не качал ?". Пользователь конечно "никак нет" - а те смотрят - а в кеше IE куча файлов + тьма кукизов - по ним сразу видно, что и в порнуху ходил, и креки качал ... и каюк :) (естественно, имеются в виду неподконтрольные ПК, типа ноутбуков ... - где есть возможность выхода в инет через модем). Вот отсюда, мне кажется, и культ "чистки следов"

У меня предложение. Сделать включенной по умолчанию птичку напротив опции «Добавить протокол последнего сканирования AVZ» в диалоге "Исследование системы".
Уже пару раз приходили логи исследования системы без лога сканирования.
Предлагаю также сохранять последний лог сканирования AVZ в папке программы и добавлять его в протокол исследования системы, если в текущей сессии сканирование не проводилось.

Предлагаю сделать AVZ опен сурс и выложить на sourceforge.net =)

Да, согласен. Тут есть еще один моментик (важный для пользователя) - приходят к юзеру сети "люди в черном" и говорят - "служба безопасности ! Отвечайте, в интернет не выходил ? Порнуху/кректи/троянов не качал ?". Пользователь конечно "никак нет" - а те смотрят - а в кеше IE куча файлов + тьма кукизов - по ним сразу видно, что и в порнуху ходил, и креки качал ... и каюк :) (естественно, имеются в виду неподконтрольные ПК, типа ноутбуков ... - где есть возможность выхода в инет через модем). Вот отсюда, мне кажется, и культ "чистки следов"
Я бы предложил в будущем добавить нахождение и удаление кукиз по желанию пользователя и ууж точно не по умолчанию, но это далеко не первоочередная задача.

Я бы предложил в будущем добавить нахождение и удаление кукиз по желанию пользователя, но это далеко не первоочередная задача.
Для чистки кукизоф и временных файлов полно бесплатных программ.

Олег, может быть можно снова начать выкладывать обновления баз отдельно?

Детектировать кукизы AVZ не будет ... а зачем они в других продуктах - объясню...
Я занимаю радикальную позицию в этом вопросе, в моей статье КомпьютерПресс 7'2005 я довольно резко прошелся по этому поводу - по ловле кукизов в целов и по Ad-Aware + кукизы в частности Позиция понятная и аргументированная...
А под руками ссылки на эту статью нет?

Позиция понятная и аргументированная...
А под руками ссылки на эту статью нет?
КомпьютерПресс кажется не публикует статьи в Инет (или публикует с существенной задержкой)

Олег, может быть можно снова начать выкладывать обновления баз отдельно?
Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...

Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...
А пытаешься уменьшить размер баз за счет чего?
Когда планируется выпустить перевод на английский?

Когда планируется выпустить перевод на английский?
Да, народ требует английского :) Может помочь с переводом?

Вчера тестировал AVZ в боевых условиях - чужая "запущенная" машина плюс жесткая нехватка времени. Симптомы: сильно грузит сеть, периодически дохнет taskmgr. netstat -a -n -o показал, что процесс с определенным ID (отсутствующим в taskmgr) сканит 445-й порт.

Качаю AVZ, запускаю сканирование памяти (на сканирование дисков времени нет). При сканировании памяти обнаруживается парочка известных зверей, штук пять подозрений, наличие API-rootkit (сорри за отсутствие лога) и два скрытых процесса. Запускаю встроенный в AVZ диспетчер процессов, вижу оба этих процесса. Выделяю, жму "копировать в карантин". Файлы скопировались, но процессы остались. Убиваю процессы. Смотрю на наличие файлов в SYSTEM32 - нету (тут я тормознул: rootkit-то все еще активен).

Перезагружаю систему - оба процеса опять присутствуют. Соображаю, что так и должно быть - ведь "Копировать в карантин" это именно копировать, а не переместить. На том я и остановился - на перезагрузку в safe mode времени уже не было (да и не было уверенности, что она поможет).

Кстати, заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.

Выслал эти файлы (вместе с подозрительными) на newvirus@z-oleg.

В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"? :) Или просто "Переместить в карантин"?
3. Исправить access violation при попытке убить уже убитый процесс.

В дополнение к вышенаписанному: просканил все 6 файлов на www.virustotal.com.

В результате обнаружилось, что первый и третий - это (по классификации symantec) backdoor.berbew.n, второй (по symantec) - w32.ifbo.a, четвертый - вообще не вирус, а часть софтины Mercury QuickTest. Пятый определяется касперским как not-a-virus:porn-dialer.win32.minidial.a, шестой им же как Trojan-Downloader.Win32.Axload.a.

...заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.

В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"? :) Или просто "Переместить в карантин"?
3. Исправить access violation при попытке убить уже убитый процесс. Толковое предложение. :good:
ИМХО, будет удобно...

А в моем случае как раз помогла только перезагрузка в safe mode...

Олег, а как ты умудряешься удалить ''особо-коварных'' без safe mode?

Толковое предложение. :good:
ИМХО, будет удобно...

А в моем случае как раз помогла только перезагрузка в safe mode...

Олег, а как ты умудряешься удалить ''особо-коварных'' без safe mode?
Если процесс защищается от убиения, то прибить без SafeMode (а иногда и отключения HDD для его подключения к здоровому ПК; или загрузки с CD, на которой Linux или урезанный XP) не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит.
to RobinFood
Я изучил маскирующегося "зверя" - это сетевой червяк Net-Worm.Win32.Padobot.z по классификации AVP. И он неплохо маскируется - файлы и процессы не видны.

Если процесс защищается от убиения, то прибить без SafeMode не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит. Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
Я несколько раз вручную удалял в SafeMode.
Иногда действительно достаточно переименовать файл и перезагрузиться...

Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
Я несколько раз вручную удалял в SafeMode.
Иногда действительно достаточно переименовать файл и перезагрузиться...
Обычно AVZ пробует все методы - попробовал один, если не срабоатло - другой и т.п. Если простое удаление не работает, то файл обязательно ставится на отложенное удаление - вот об этом информация попадает в лог и в хвосте обязательно пишется, что обязательна перезагрузка.

Только что убедился в том, что у AVZ первоклассный эвристик.
Просканировал один "больной" комп и эвристик среагировал на
intelii32.exe>>> подозрение на Trojan.Win32.Agent.ba
NHelper.dll>>> подозрение на AdvWare.NavExcel.h

Проверка на вирустотале показала, что эти два файла действительно "звери".

Это удобнее делать по логу исследования системы
Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.

Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.
В логе исспедования системы видны все dll. Там можно найти все неизвестнте.

Вышла версия 3.70. Радикальные переделки:
[++] Переделан формат AV баз. В результате объем баз уменьшился примерно на 120 кб. Это пожалуй самое радикальное изменение. Усилен эвристик, переработаны имеющиеся микропрограммы.
[++] Эвристическое удаление - усовершенствован алгоритм
[++] Эвристическое удаление подключено к расширенному протоколу и поиску файлов - выводится запрос о том, как удалять файлы
[+] В исследовании системы добавлена опция, позволяющая автоматически архивировать протокол в ZIP архив
[+] Доработана поддержка ключей командной строки с учетом новых возможностей программы
[+] Интрефейс: Доработана панель статуса (ее размеры меняются при масштабировании окна)
[+] Обновлена справка по работе с программой
---------
База в новой версии содержит 15727 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 299 микропрограмм эвристики, 5 микропрограмм восстановления настроек системы, 34126 подписей безопасных файлов
---------
На очереди - добавление в карантин по списку, поиск файлов с поиском не толкьо подстроки, но и сигнатуры - это войдет на подверсии 3.70

Почему загружается старая версия - 3,65,7 ???

Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"

Далее ищем кто-же такой "@" страшный -
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}]
@="Java Plug-in 1.5.0_04 <applet> redirector"
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}\InprocServer32]
@="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll"
"ThreadingModel"="Apartment"

Оказавается всеми любимая Java :)

Олег, возможно ли какая-нибудь "механизация" этих раскопок ?

Я к тому, что HJT всё-же смог "докопаться" до "истины" -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

Почему загружается старая версия - 3,65,7 ???
Наверное, берется из кеша прокси или еще что-то похожее. На сайте у меня лежит файл размером 1.050.102 байта.

Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"

Далее ищем кто-же такой "@" страшный -
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}]
@="Java Plug-in 1.5.0_04 <applet> redirector"
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}\InprocServer32]
@="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll"
"ThreadingModel"="Apartment"

Оказавается всеми любимая Java :)

Олег, возможно ли какая-нибудь "механизация" этих раскопок ?

Я к тому, что HJT всё-же смог "докопаться" до "истины" -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
Ссылка на ссылку ... такое раскрутить можно - рекурсивно. Сейчас переделаю алгоритм и AVZ станет раскручивать цепочки ссылок.

Олег, ИМХО добавлять поддержку других архиваторов принципиально не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут? :)
Вот exe пакеры дело другое.

В настройках протокола исследования системы есть пункт добавления результатов последнего сканирования, но при отсутсвии сканирования естественно ничего не добавляется.
Может имеет смысл добавить функцию сканирования с требуемыми (для раздела помогите) параметрами при подготовки протокола исследования с соответствующим пунктом настройки ((*) произвести сканирование при отсутствии протокола) включённым по умолчанию.

Олег, ИМХО добавлять поддержку других архиваторов принципиально не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут? :)
Вот exe пакеры дело другое.
Полностью поддерживаю. По моему мнению архивароты вообще не нужны кроме cab. А вот наиболее распространённые пакеры, хоть UPX, не помешает добавить.
А еще очень хочется английскую версию :(

Полностью поддерживаю. По моему мнению архивароты вообще не нужны кроме cab. А вот наиболее распространённые пакеры, хоть UPX, не помешает добавить.
Ещё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
PS: Всё есть Imho :)

Олег, в "Менеджере автозапуска" и "Исследовании системы - Автозапуск" AVZ не "находит" некоторые файлы, хотя система их видит и благополучно запускает!
Первые три файла в примере (см. фрагмент лога) AVZ не хочет копировать в Карантин (видимо, не может найти, хотя они там есть и система их запускает при загрузке!), а последние два - вообще входят в базу безопасных файлов AVZ (проверено!), но они почему-то закрашены как небезопасные...

Олег, в "Менеджере автозапуска" и "Исследовании системы - Автозапуск" AVZ не "находит" некоторые файлы, хотя система их видит и благополучно запускает!
Первые три файла в примере (см. фрагмент лога) AVZ не хочет копировать в Карантин (видимо, не может найти, хотя они там есть и система их запускает при загрузке!), а последние два - вообще входят в базу безопасных файлов AVZ (проверено!), но они почему-то закрашены как небезопасные...
1. Это интересно - а какие конкрено файлы - каков их метод автозапуска ?
2. Да, момент с копированием в карантин известен - я пока ище пути решения. Суть в том, что файлы с параметрами. Получается проблема при их проверке по базе безопасных и при копировании.
Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe

Ещё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
PS: Всё есть Imho :)
С распаковкой архивов я согласен - это легко видеть и по поддерживаемым видам архивов - я поддерживаю то, что может быть распаковано системой. RAR тоже наверное стоит поддерживать - он популярен ... RAR, ACE и 7zip поддерживать очень легко - но поддержка каждого дает плюс 50-90 кб объема. Сейчас я добиваю CHM и MSI
С пакерами все хитрее - поддерживать их надо, но есть три пути
1. Плюнуть и проверять память ... помогает в большинстве случаев, но прозволяет проверить только запущенные процессы
2. эмулятор кода. Тестовый пример есть, но он сыроват - идея проста - трассировать до первого вызова API или достижения N шагов программы (чтобы не повиснуть)
3. Распаковщики на каждый упаковщик
В идеале хорошо сочетание всех трех методов, я собираюсь для начала реализовать метод 1 с медленным и тщательным сканированием запущенных процессов - подобное дает хорошие результаты в DrWEB. А затем методы 2+3 ... - но это сложнее



Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"

Я изловил данную ситуацию и сделал рекурсивный просмотр таких цепочек с антизацикливанием (интересно, что будет с системой, если замкнуть ссылку типа 08B0E5C0-4FCB-11CF-AAA5-00401C608501 в кольцо :) )

Олег, такое предложение - как-то дать понять юзеру в менеджере автозапуска, что надо еще и службы посмотреть. Либо прямо показывать в менеджере автозапуска небезопасные работающие службы, либо сделать кнопку на панели с соотв. подсказкой.

Олег, такое предложение - как-то дать понять юзеру в менеджере автозапуска, что надо еще и службы посмотреть. Либо прямо показывать в менеджере автозапуска небезопасные работающие службы, либо сделать кнопку на панели с соотв. подсказкой.
Я в принципе для подобных целей задумывал исследование системы - там сводный отчет всего небезопасного. Я просто не хочу перегружать окна, это связанос быстродействием - менеджеры для каждого файла просчитывают полную CRC, если включен антивирусный монитор и просчитать CRC 200-300 файлов, то тормоза будут страшные ...

1. Это интересно - а какие конкрено файлы - каков их метод автозапуска ?
Да нет, я имел в виду как раз проблемы проверки файлов с параметрами и копировании их в карантин.

Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe
Может, проверять оба и копировать в карантин, если файла(ов) нет в базе безопасных?

Предлагаю отбрасывать с конца пути ключи запуска, начинающиеся с "/", "-", "," и т.п., до тех пор, пока файл не "найдется" на диске.
А если расширение у файла отсутствует, то пытаться добавлять наиболее распространенные для исполняемых файлов (exe, com, dll, sys и т.п.).

Да нет, я имел в виду как раз проблемы проверки файлов с параметрами и копировании их в карантин.

Может, проверять оба и копировать в карантин, если файла(ов) нет в базе безопасных?

Предлагаю отбрасывать с конца пути ключи запуска, начинающиеся с "/", "-", "," и т.п., до тех пор, пока файл не "найдется" на диске.
А если расширение у файла отсутствует, то пытаться добавлять наиболее распространенные для исполняемых файлов (exe, com, dll, sys и т.п.).
Что-то типа того я и сделаю. Т.е. попробую разделить имя файла и параметры ... алгоритмов несколько штук я придумал, но универсальность пока невысокая (я рассуждаю аналогично - или искать расширение исполняемого файла, или остепенно отсекать параметры. Плюс еще кавычки - их нужно будет убрать. Короче говоря завтра будет апдейт, я включу в него реализацию этого анализа

Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe

i to i drugoe :) a esho nado parsit takie veshi kak rundll32.exe virus.dll,entrypoint

Как бы не совсем в тему, однако помогите разобраться пожалуйста

Почему на моей машине AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic)
В общем замучал меня этот вопрос, натолкните на мысль
Заранее спасибо

А еще очень хочется английскую версию
Всецело поддерживаю.
Олег, эту тему ты в последнее время не ''замечаешь'' специально? :)
Или это в более дальних планах и не входит в приоритетные задачи?

...
Почему на моей машине AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP).
...
Система W2K SRV SP4 c TS
...

"Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте! :) Для начала запустите, пожалуйста, AVZ с параметром DEBUG=Y и запостите протокол работы сюда.

"Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте! :) Для начала запустите, пожалуйста, AVZ с параметром DEBUG=Y и запостите протокол работы сюда.

Прицепил...

Что-то типа того я и сделаю. Т.е. попробую разделить имя файла и параметры ... алгоритмов несколько штук я придумал, но универсальность пока невысокая (я рассуждаю аналогично - или искать расширение исполняемого файла, или остепенно отсекать параметры. Плюс еще кавычки - их нужно будет убрать. Короче говоря завтра будет апдейт, я включу в него реализацию этого анализа
А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32

А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32
..."Program Files"... ?


Вообще способы запуститься через Ж. Imho не так много -

cmd.exe /c c:\i`m.exe
explorer.exe c:\i`m.exe
rundll32.exe c:\i`m.dll (i`m.exe?)
command.com /с c:\i`m.exe
mmc.exe c:\i`m.msc
explorer.exe c:\i`m.exe

не уверен, но может тоже прокатит -
hh.exe i`m.chm ???
runonce.exe c:\i`m.exe ???
iexplore.exe ???


Можно и по шаблонам разобрать.

А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32
Все хорошо, только в именах файлов и пути часто встречаются пробелы и поиск по частям может ничего не дать. Вот если откидывать от конца пути часть до пробела (запятой) и пытаться найти то, что откинули, и то, что осталось - так может что-то получиться...

Примеры:
C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe /k
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Как будем анализировать?

Поиск обязательно производить в тех местах, откуда система может сама запускать файлы без конкретного пути (PATH, %systemroot%, %systemroot%\system, %systemroot%\system32, %userprofile%\Мои документы, Program Files, корни дисков и т.д.).

..."Program Files"... ?

Можно и по шаблонам разобрать.
Мда, не подумал :)
А если так, сначала выбрасываем из строки всё вида
/\w+ что отбросит все ключи. Потом ищем всё что имеет вид ".*" это должны быть файлы. Вырезаем всё найденное из строки. Оставшееся пытаемся найти как файл постепенно отбрасывая справа части отделённые пробеламии запятыми.

Потом ищем всё что имеет вид ".*" это должны быть файлы.
А как быть с этим (реальный пример, так система в автозапуск написала):
C:\WINDOWS\system32\dumprep 0 -k
Без подстановки расширений не обойтись...
А если в исполняемом файле несколько точек?

Поиск обязательно производить в тех местах, откуда система может сама запускать файлы без конкретного пути (PATH, %systemroot%, %systemroot%\system, %systemroot%\system32, %userprofile%\Мои документы, Program Files, корни дисков и т.д.).

Тогда лучше анализировать переменные окружения (+ определенные фиксированные пути, такие как корневые каталоги и т.п)

О службах и автозапуске.

Я в принципе для подобных целей задумывал исследование системы - там сводный отчет всего небезопасного.
Я понимаю. Я говорил о продвижении AVZ в массы. :) Поясню на примере. Полупродвинутый юзер только-только включил комп, проверился на вирусы - все хорошо. Запустил taskmanager, а там болтается процесс "abcd.exe". Юзер запускает рекомендованный ему AVZ, идет в автозапуск - а там "abcd.exe" нет. "AVZ - отстой!!"
ИМХО прямо в менеджере автозапуска надо сказать о том, что для полной информации надо смотреть еще и службы. Помощь ведь никто не читает. Если на панель поставить кнопку для вызова "Диспетчер служб и драйверов" это отъест много ресурсов?

Всецело поддерживаю.
Олег, эту тему ты в последнее время не ''замечаешь'' специально? :)
Или это в более дальних планах и не входит в приоритетные задачи?
Будет версия англицкая, будет ... не замечаю, потому что работаю над ней :)
Если все будет хорошо, через неделю выпущу ее

Будет версия англицкая, будет ... не замечаю, потому что работаю над ней :)
Если все будет хорошо, через неделю выпущу ее
Ура!!!

Как бы не совсем в тему, однако помогите разобраться пожалуйста

Почему на моей машине AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic)
В общем замучал меня этот вопрос, натолкните на мысль
Заранее спасибо
Это интересный глюк, спасибо за лог, сейчас будеу разбираться

Пара глючков:
1. Если включить "Отчет о чистых объектах", то независимо от "Проверять чистые объекты по базе безопасных" в лог пишется "чист, найден в базе безопасных (в базе безопасных НЕ значится)"
2. Если убрать птичку "Не проверять архивы более N мб", архивы > N mb все равно не проверяются

Будет версия англицкая, будет ... не замечаю, потому что работаю над ней :)
Если все будет хорошо, через неделю выпущу ее
Обрадовал!!!
Спасибо!
Тогда не будем мешать... :)

Пара глючков:
1. Если включить "Отчет о чистых объектах", то независимо от "Проверять чистые объекты по базе безопасных" в лог пишется "чист, найден в базе безопасных (в базе безопасных НЕ значится)"
2. Если убрать птичку "Не проверять архивы более N мб", архивы > N mb все равно не проверяются
1. Глюк - исправлен
2. Глюк - исправлен
Спасибо !

Обрадовал!!!
Спасибо!
Тогда не будем мешать... :)
Спасибо будет, когда english версия выйдет :) На самом деле там проблема в том, что очень много разных сообщений (в отчетах, в ходе рахных проверок и т.п.). Они размазаны по коду, выносить в ресурсы их - коряво, в сумме более 1000 строковых констант, некоторые склоняются (например, 1 вирус, 2 вируса ...). Перевод интерфейса - это ерунда по сравнению с проблемой этих констант

Спасибо будет, когда english версия выйдет :) На самом деле там проблема в том, что очень много разных сообщений (в отчетах, в ходе рахных проверок и т.п.). Они размазаны по коду, выносить в ресурсы их - коряво, в сумме более 1000 строковых констант, некоторые склоняются (например, 1 вирус, 2 вируса ...). Перевод интерфейса - это ерунда по сравнению с проблемой этих констант
Думаю неправильные склонения все переживут :)

Да ну. Выносите все строки в дефайны, а дефайны определяете для каждого интернационального билда свои... Я с самого начала так делаю обычно

Глюк - не глюк, но фича нарылась интересная. Проверял компьютер с блокировкой руткитов (только User Mode; драйвер, правда, для проверки всё равно загружался). Нашёл ноль зверей, обрадовался и решил музыку завести. Не заработало. Полез в панель управления, в настройку звуков. Выбираю, жму "Воспроизвести" - делает вид, что воспроизводит... молча... в течение минуты... стандартный ding... в общем, я не стал дожидаться окончания этого "воспроизведения". После перезагрузки всё заработало.

Windows XP SP2 с хотфикcами по июль. AVZ 3.70

Короче, Олег, в новом мега-парсере файлнеймов не забудьте про НТФС потоки. Мне щас один мегаБХО прописался прямиком в System32:tjaa.dll =))

по процедуре исследования системы:

на мой взгляд, несколько нестандартный подход к формированию отчета.
предлагаю: имя выходного файла назначить по умолчанию avz_sysinfo;
использовать кнопки start/stop(пуск/стоп) запуск/прерывание исследования системы;
по окончанию исследования выдавать сообщение, типа "исследование системы завершено"-ок;
и открывать в окне исследования кнопку просмотра отчета (как в главном окне программы, где просмотр протокола сканирования) браузером по умолчанию.
может быть, еще изготовить режим "ведение-просмотр истории исследования системы"?
типа, имя лога формировать с датой исследования.

Короче, Олег, в новом мега-парсере файлнеймов не забудьте про НТФС потоки. Мне щас один мегаБХО прописался прямиком в System32:tjaa.dll =))
Да, потоки не плохо бы проверять :)

Думаю неправильные склонения все переживут :)
Солидарен.
Тем более, параллельно бы что-то еще там ''находили'', более существенное...

Между тем вышла новая версия 3.70.05. Изменения
[+] Доработан анализатор BHO и все системы, работающие с CLSID - введена поддержка
ссылок (когда один CLSID явняется ссылкой на другой)
[++] Введена проверка/лечение потоков NTFS + эвристик на исполняемые потоки
[+] Вывод в протокол информации о том, включено лечение или нет
[-] Исправлена работа переключателей, управляющих проверкой архива и размера
архива
---------
Обновилась база: Загружена база: 15775 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, микропрограммы эвристики: 299, подписи файлов: 34273

Нет изменений в пункте "о программе"

Нет изменений в пункте "о программе"
да, ошибочка вышла - я обновил архив, все исправлено. Кстати, в обновленную версию я внес обну поправочку - я забыл, что NTFS потоки бывают не только у файлов - они бывают и у каталогов ... я прикрутил соответтсвующую проверку. Если у кого есть время - просьба потестировать

Потестировал. Всё нормально.

Ща заценим. Стало интересно, насколько АВЗ обгоняет мои по актуальности базы.

Кстати, может на сайте стоит обновить доку по текущей минорной версии?

Антивирусная утилита АВЗ.. #13#10 идет проверка... #13#10 осталось...

так и задумано или там другие символы подразумевались? на моей дефалтной в2к они отображаются в виде двух узких прямоугольников, но никак не переносами строк

Ништяк. Половину нашел (с включенным эвристиком). Правда, в потоках нихрена не нашел =))

Ништяк. Половину нашел (с включенным эвристиком). Правда, в потоках нихрена не нашел =)) Уточни свои заключения...