PDA

Просмотр полной версии : AVZ 3.75 - тестирование, обсуждение, предложения по доработке



Зайцев Олег
20.08.2005, 21:14
Вышла новая новая версия AVZ - 3.75. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz3.zip)
Радикальные новшества и пределки:

[++] Добавлена поддержка CHM архивов и файлов аналогичного формата (MS ITSF файлов). Кроме проверки содержимого CHM добавлен анализ эвристика - реагирование на подозрительные EXE внутри CHM файла. Это новшестно позволит ловить современных троянов, многие из которых размещаются в CHM
[++] Проверка и лечение потоков NTFS. Тестовый вариант появился в промежуточном билде 3.70, теперь поддерживается официально.
[++] Новый менеджер - "менеджер расширений проводника". Соответственно, новая позиция в исследовании системы и автокарантине
[++] Новая функция - карантин по списку. Позволяет добавить в карантин несколько файлов, сделано специально для упрощения получения от пользователя подозрительных образцов. В списке допустимо указание масок*.
[+] К иконке в трее добавлено меню (с пунктами "Пуск", "Стоп", "Выход")
[+] Доработан анализатор автозапуска - в частности, копирование в карантин и проверка по базе безопасных строк вида "c:\program.exe /param", "cmd.exe trojan.exe", "explorer.exe c:\trojan.exe"
и т.п.
[+] Доработан антируткит. В частности, сбой загрузки базы не приводит к отключению проверки антируткита
[+] Параметр Unpack_Archives=Y|N - по умолчанию N, если задать Y, то в папке AVZ создается папка Unpacked, в ней папки по типам архивов - в них копируются распакованные в ходе проверки файлы

----
В новой версии существенно расширена базы вирусов - добавлено около 500 новых "зверей", большие передалки эвристика. У версии 3.75 в базе 16232 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения, 354 микропрограмы эвристики, 5 микропрограмм восстановления настроек системы, 34357 подписей безопасных файлов
----
*Примечание:
Карантин по списку доступен из меню "Файл" и из окна "Карантин". Список задается в виде строк, по одной строке на файл. Сделано специально для облегчения хелперов (и пользователей, которых просят прислать кучу файлов).
Формат строки: имя файла[>примечание]
Если указано примечание (оно отделяется от имени знаком >), то это примечание помещается в описание файла в карантине.
Имя файла может иметь вид:
c:\folder1\trojan.exe - полное абсолютное имя
c:\folder1\*.exe - маска. В карантин будут помещены все файлы *.exe из папки c:\folder1\. В маске допустимы символы * и ?.
/SYSTEM32\worm.exe - файл в папке System32
%System32%\worm.exe - файл в папке System32
/WINDOWS\worm.exe - файл в папке Windows
%WinDir%\worm.exe - файл в папке Windows
backdoor.exe - файл без указания пути, ищется в системных папках (System32 и Windows)

Geser
20.08.2005, 23:14
В логе расширений проводника обнаружены чёрные дыры которые не удаляются :)

Geser
20.08.2005, 23:19
Положил еще чистых файлов на ФТП

Зайцев Олег
20.08.2005, 23:25
В логе расширений проводника обнаружены чёрные дыры которые не удаляются :)
Не удаляются, если удалять из менеджера ?? У меня аналогичные, кстати, причем на эталонном ПК - наверное, какие-то системные записи. Я изучу это явление подробнее ..
А файлики я в понедельник утащу, спасибо !

Geser
20.08.2005, 23:34
Не удаляются, если удалять из менеджера ??
Угу...

aintrust
21.08.2005, 00:33
'Менеджер расширений IE' работает некорректно, вот пример (http://aintrust.narod.ru/images/avz-ie-extensions.png). Такая же история с 'Менеджером расширений проводника'.

Xen
21.08.2005, 02:04
У меня в софте та же ерунда наблюдается, хоть ПК и далеко не эталонный, но идет сбой чтения на некоторых ключах.

Geser
21.08.2005, 12:05
А можно сделать ключик командной строки так что бы АВЗ отрабатывал тихо не открывая GUI и писал результаты в файл?

Зайцев Олег
21.08.2005, 12:58
А можно сделать ключик командной строки так что бы АВЗ отрабатывал тихо не открывая GUI и писал результаты в файл?
Можно конечно и даже нужно. Можно сделать два варианта:
1. Чисто консольный AVZ. Текущее ядро позволяет такое сделать
2. Ключ у текущей версии, который приведет к полностью скрытому запуску или свертыванию в трей в момент старта и выходу после завершения.
-----
Путь номер 2 проще - я сегодня его реализую.

Зайцев Олег
21.08.2005, 12:59
'Менеджер расширений IE' работает некорректно, вот пример (http://aintrust.narod.ru/images/avz-ie-extensions.png). Такая же история с 'Менеджером расширений проводника'.
Ага, причина ясна - подправлю

aintrust
21.08.2005, 13:11
Да, кстати, благодаря предложению Geser-а вспомнил кое-что в дополнение к списку "моих" пожеланий :) (список 1 (http://virusinfo.info/showpost.php?p=53296&postcount=188) и список 2 (http://virusinfo.info/showpost.php?p=53296&postcount=191)):
14) неплохо бы, чтобы AVZ запоминал на выходе свое состояние, т.е. расположение и размер окна (а то сейчас каждый раз приходится его увеличивать при запуске - для моего экранного разрешения 1600x1200 начальный размер окна AVZ слишком мал :(), установки ключей, выбранные ранее для проверки диски/каталоги (а то каждый раз ползать по дереву просто утомительно!) и пр. Там же (в реестре) вместе с этим "состоянием" можно запоминать номер последней версии AVZ, и при загрузке новой версии спрашивать пользователя, хочет ли он использовать установки старой версии. Для случая же с инсталлятором поступать как обычно: при деинсталляции все за собой подчищать.

И еще... Я уже предлагал (http://virusinfo.info/showpost.php?p=53340&postcount=200) вынести предложения по доработке AVZ в отдельную тему, чтобы они не "терялись" при создании новой ветки в случае выхода новых версий и чтобы не смешивать вопросы функционирования AVZ с предложениями по его доработке, и там же помещать все опросы. Так будем или нет?

aintrust
21.08.2005, 13:15
...
2. Ключ у текущей версии, который приведет к полностью скрытому запуску или свертыванию в трей в момент старта и выходу после завершения.
...

Мне больше нравится вариант (2)... :)

Grey
21.08.2005, 15:47
Также поддерживаю 2-й вариант

Зайцев Олег
22.08.2005, 22:57
Мне больше нравится вариант (2)... :)
Ну вот, готово - по варианту 2. Версия 3.75.04 на штатном месте, у нее:
[+] Добавлен ключ, управляющий видимостью GUI. Ключ имеет вид HiddenMode=0|1|2|3. По умолчанию - 0. (0-главное окно
отображается в момент запуска; 1 - главное окно при запуске свернуто в трей; 2 - аналог 1, но заблокирована возможность
развернуть окно или использовать меню иконки в трее; 3-полностью невидимый режим, нет окон и иконки в трее). Особенность - при выборе режима реакции "спросить пользователя" запросы выводятся независимо от режима работы. Режим сделан специально для применения AVZ для работы в пакетном режиме.
[+] Добавлен ключ, управляющий приоритетом AVZ. Возможно два варианта записи ключа Priority=-1|0|+1 (-1 - пониженный приоритет, 0-нормальный, 1-повышенный) или Priority=LOW|NORMAL|HIGH (LOW - пониженный, NORMAL - нормальный, HIGH - повышенный)
Плюс в базу безопасных внесены полеченные за последние два дня безопасные файлы ...

Xen
22.08.2005, 23:01
А с расширениями оболочки не выяснилось в чем был баг?

Зайцев Олег
22.08.2005, 23:08
А с расширениями оболочки не выяснилось в чем был баг?
да, конечно, правда руки не дошли исправить ... см. картинку, которую скинул aintrust в посте №6

Geser
22.08.2005, 23:32
Кстати, проверку потоков не плохо бы включить по умолчанию

Зайцев Олег
22.08.2005, 23:37
Кстати, проверку потоков не плохо бы включить по умолчанию
Да, наверное - я думал, она будет тормозить скаирование - но оказалось, что почти не влияет.

Geser
22.08.2005, 23:47
Ну так, наведём критику
Есть некоторые проблемы с копированием в карантин. при исследовании системы вижу сервис C:\Program Files\VMware\VMware Workstation\vmware-authd.exe не найден в базе чистых. При этом при выполнении автодобавления в карантин он не попадает. Так же драйверы
\??\C:\Program Files\Vba32\Vba32mNT.sys
\??\C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS
В карантин не попадают.
Такое дело в реестре C:\WINDOWS\system32\dumprep 0 -u не находится в базе безопасных, хоть и есть там.
В списке открытых портов тоже не плохо бы помечать файлы найденные в базе безопасных. А лучше помечать их только в том случае если все подгруженные ими длл тоже в базе безопасных.

В списке сервисов по анализу реестра сервисов и драйверов больше чем по данным АПИ. Все дополнительные в карантин не добавляются при автодобавлении. Статус отсутствует.

WakenUp
23.08.2005, 21:21
Прошу извинить, вроде везде посмотрел, но не уяснил- что AVZ делает в трее?
И простите за офтоп, уважаемый Олег, а APS развивается?

Granat
23.08.2005, 21:28
Здравствуйте господа вирособорцы! Собсвенно это мой первый пост на этом форуме, поэтому прошу не пинать. История такова, некоторое время назад проникся AVZ... :) Использовал версию 3.50. Сегодня скачал и установил 3.75. При сканировании собственно возникли множественные ошибки с архивными файлами. Лог прилагается...Только вот так криво к сожалению...Прикреплялка нихт функционирен :embarasse
В версии 3.50 такого не было.

Протокол антивирусной утилиты AVZ версии 3.75.04
Сканирование запущено в 23.08.2005 21:36:24
Загружена база: 16273 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения
Загружены микропрограммы эвристики: 354
Загружены цифровые подписи системных файлов: 34746
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 351
Проверка памяти завершена
3. Сканирование дисков
C:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000
C:\Distrib\miranda_nightly3103.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\Distrib\Outpost\Outpost\ac-weo10.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\Distrib\Outpost\Outpost\Tauscan.1.65.0.1212_CRK EXE-FFF.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
.................................................. .............................................
C:\Program Files\Mozilla Firefox\chrome\toolkit.jar Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\WINDOWS\Mozilla\Profiles\default\vt5a45qs.slt\m ultiviews.jar Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 29 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 21345, извлечено из архивов: 2889, найдено вирусов 0
Сканирование завершено в 23.08.2005 21:44:41
Сканирование длилось 00:08:17



ЗЫ: Позднее лог "правильный" вставил, с характерной строкой

C:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000

DenZ
23.08.2005, 22:03
При сканировании собственно возникли множественные ошибки с архивными файлами. Лог прилагается...
Я тоже уже описывал такой баг. При проверке архива VMX86_01.CAB из дистрибутива MS Office XP Pro Rus в AVZ возникает ошибка: "Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000" и все последующие архивы перестают проверяться из-за проблем с временным файлом...

Зайцев Олег
23.08.2005, 23:44
Я тоже уже описывал такой баг. При проверке архива VMX86_01.CAB из дистрибутива MS Office XP Pro Rus в AVZ возникает ошибка: "Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000" и все последующие архивы перестают проверяться из-за проблем с временным файлом...
Я одну ошибку в этом районе поймал и пофиксил ... значит, что-то еще осталось - надо будет еще разок проанализировать работу распаковщика. Тут, к сожалению, есть доля моей вины - извлечение из CAB я доверил системе, штатному распаковщику Windows ...
Сейчас мне удалось найти этот архив, он действительно падает, за пределами AVZ - вызывается системная API FDICopy, и ошибка проходит внутри нее (спотыкается он на последнем файле этого архива - wfcclean.exe. Как следствие, проверяемый CAB и временный файл остаются открытыми (т.к. открывает их FDICopy). Наверное, придется писать распаковщик CAB (короче говоря, повтор ситуации с CHM). А сам по себе CAB нормальный, тот-же RAR его открывает

Зайцев Олег
24.08.2005, 00:06
ЗЫ: Позднее лог "правильный" вставил, с характерной строкой
Спасибо, лог помог в охоте на ошибку ...

santy
24.08.2005, 08:14
было еще такое пожелание. Может быть, "термометр" сканирования переместить вниз, в статусную область, где показаны сканируемые объекты и прочее? (как в spybot&destroy? или так уже было?)

Geser
24.08.2005, 13:41
Не плохо бы в отчёте писать версию операционки

Grey
25.08.2005, 15:20
Олег, при установлении "Отчет о чистых обектах" и сканировании большого объема инфы, объем памяти занимаемой AVZ очень сильно растет, у меня было больше 200 метров. В обем то понятно почему, т.к. лог выводится в Мемо, при том полностью весь. Может быть в таком случае кешировать частично лог в файл, а в Мемо отображать только его часть? Или хотя бы сделать опцию "Писать лог о чистых обектах в файл"

Зайцев Олег
25.08.2005, 15:23
Не плохо бы в отчёте писать версию операционки
Логично, добавляю.
to Grey
Да, есть такой баг - я тоже как-то недавно нарвался. вариант с кешированием когда-то был, но AVZ ожно пускать с CD или по сети - там кешировать некуда. Сейчас я думаю сделать порог - при достижении логом некоторого объема (скажем, 1 мб), автмоатом начинать кеширование в папку temp

Зайцев Олег
25.08.2005, 15:24
было еще такое пожелание. Может быть, "термометр" сканирования переместить вниз, в статусную область, где показаны сканируемые объекты и прочее? (как в spybot&destroy? или так уже было?)
Это было в одном из приватных вариантов, но получалось немного кривовато - в статусной области места мало, градусник получался короткий по длинне

Grey
25.08.2005, 15:45
Логично, добавляю.
Сейчас я думаю сделать порог - при достижении логом некоторого объема (скажем, 1 мб), автмоатом начинать кеширование в папку temp
Неплохой вариант, пускай будет так, там посмотрим.

Насчет градусника, как по мне, так и в текущем варианте для него подобранно подходящее место

DenZ
26.08.2005, 07:12
Олег, вот это можно поправить?

При копировании (автодобавлении) подозрительных файлов в Карантин неплохо бы сохранять их даты создания (модификации) в avzXXXXX.ini (и присваивать avzXXXXX.dta дату оригинального файла).
По этим датам можно отличить вирус от "хорошего" файла, например, когда новый софт в этот период не ставился, т.к. обычно дата вирусного файла совпадает с датой попадания в систему. До AVZ 3.65 даты avzXXXXX.dta были правильными...

Гость
26.08.2005, 11:01
Что-то не понятно с обновлением баз, каждый раз полностью скачивать всю прогу?

Зайцев Олег
26.08.2005, 11:17
Что-то не понятно с обновлением баз, каждый раз полностью скачивать всю прогу?
Да - я по мере совершенствования программы периодически меняю формат базы, и часть ядра находится в главном EXE. Если вынести ядро в базу, то полученный объем изменений будет примерно равен объему текущего архива с программой. Поэтому пока отдельное обновление баз нецелессобразно (исключение - daily.avz для оперативного лечения заразы, обнаруженной у пользователей)

azza
26.08.2005, 14:02
Не плохо бы в отчёте писать версию операционки
И версию IE по аналогии с hijackthis.

Granat
26.08.2005, 19:25
Вот еще лог, спотыкнулся опять...

Гость
27.08.2005, 20:06
почему md5 в даунлоаде неверные?

Зайцев Олег
27.08.2005, 21:06
почему md5 в даунлоаде неверные?
Пардон - локально я у себя их паменял, а обновить сраничку забыл ... - поправлено

Xen
28.08.2005, 12:38
Тут в соседнем топике подняли бучу из-за софтинки, которая юзает порт с номером, использующимся ЛейзиАдмином. Вот чисто ИМХО, нафиг не нужна эта база открытых портов в АВЗ. Вы давно вживую видели BackOrifice, GirlFriend, DeepThroat и прочие старые добрые listener'ы? А на портах по умолчанию? Большая часть здесь присутствующих даже не знает, что это вообще за названия такие... а юзеры пугаются почем зря =)

Sanja
28.08.2005, 18:00
угу.. имхо намного лучше просто писать статистику по соединениям ака нетстат... полезней :)

Xen
28.08.2005, 18:08
Если делать статсы по открытым портам - то с привязкой к процессу.

Зайцев Олег
28.08.2005, 18:17
угу.. имхо намного лучше просто писать статистику по соединениям ака нетстат... полезней :)
Так оно и делается - только не во время сканирования, а в менеджере TCP/UDP.
to Xen
Привязка к процессу идет в XP и W3K. В 2K можно извратится и привязаться к процессам, но я это не делал ...

Sanja
29.08.2005, 00:59
>В 2K можно извратится и привязаться к процессам, но я это не делал ...

Попробуй через обращение к Device/Tcp ; Device/Udp - В 2к тоже будет работать..

Xen
29.08.2005, 01:03
В WinPCap'e вроде сделано что-то типа того...

Гость
30.08.2005, 13:00
Планируется ли в AVZ запуск с ключами из командной строки? Или они и сейчас существуют?

Grey
30.08.2005, 13:19
Планируется ли в AVZ запуск с ключами из командной строки? Или они и сейчас существуют?
Есть и сейчас :)
Описание в документации. Хотя вроде там не все существующие ключики описаны.

Зайцев Олег
30.08.2005, 14:10
Есть и сейчас :)
Описание в документации. Хотя вроде там не все существующие ключики описаны.
Да, тем процентов 80% ключей - я как раз описываю их сейчас. И есть уже корпоративный AVZ - у него управление идет внешней микропрограммой (ее пишет и тестирует админ, в микропрограмме оговорены действия, которые AVZ должен сделать на автомате). Тесты уже пректически завершены, на этой неделе я публикую версию с этой фичей (она, кстати, есть и в текущем AVZ - но не документирована)

Grey
30.08.2005, 15:55
И есть уже корпоративный AVZ - у него управление идет внешней микропрограммой (ее пишет и тестирует админ, в микропрограмме оговорены действия, которые AVZ должен сделать на автомате). Тесты уже пректически завершены, на этой неделе я публикую версию с этой фичей (она, кстати, есть и в текущем AVZ - но не документирована)

Вах! :)
AVZ растет не по дням, а по часам, что не может не радовать.

WakenUp
03.09.2005, 23:18
Люди, объясните все-таки парню с рабочей окраины
есть ли смысл оставлять AVZ висеть в трее, или это только для удобства вызова.
Вообще я много пользуюсь ей и не по назначению (порты, реестр, поиск).
На одном из форумов ссылку на AVZ скрыли за пятью постами, варез.

Geser
03.09.2005, 23:20
Люди, объясните все-таки парню с рабочей окраины
есть ли смысл оставлять AVZ висеть в трее, или это только для удобства вызова.
Вообще я много пользуюсь ей и не по назначению (порты, реестр, поиск).
На одном из форумов ссылку на AVZ скрыли за пятью постами, варез.
Пока нет смысла. Может скоро будет.

Зайцев Олег
03.09.2005, 23:23
Люди, объясните все-таки парню с рабочей окраины
есть ли смысл оставлять AVZ висеть в трее, или это только для удобства вызова.
Вообще я много пользуюсь ей и не по назначению (порты, реестр, поиск).
На одном из форумов ссылку на AVZ скрыли за пятью постами, варез.
С технической точки зрения всящий в трее AVZ текущей версии ничего полезного не делает - просто висит ... так что пользы от его висения действительно никакой нет

UFANych
05.09.2005, 15:10
Есть предложения по доработке -
Вот я открыл список процессов, обозреваю список DLL-ек у explorer.exe - там присутствует vbsys2.dll, впоследствии опознанная как некая гадость. Но она не выделена красным, а могла бы! Это трудно сделать? (блин, пропустил, надо было MD5 посчитать, а вдруг там сразу отмечает...)
И второе - была зверюга, спрятавшаяся под user mode rootkit, выделена красным. Но AVZ её не знает. Руткитность убрал, а процесс остался. Может, всё же такие процессы сразу в крантин и эвристическую чистку системы?

Вот ещё: Поиск файлов на диске. Отмеяаю, удаляю - список не изменился. Ага, понял, "Для удаления файла необходима перезагрузка". Жму Обновить - файла больше нет. Ну уж или перезагрузка, но он ещё есть, или совсем нет. Непонятно.

Зайцев Олег
05.09.2005, 17:15
Есть предложения по доработке -
Вот я открыл список процессов, обозреваю список DLL-ек у explorer.exe - там присутствует vbsys2.dll, впоследствии опознанная как некая гадость. Но она не выделена красным, а могла бы! Это трудно сделать? (блин, пропустил, надо было MD5 посчитать, а вдруг там сразу отмечает...)
И второе - была зверюга, спрятавшаяся под user mode rootkit, выделена красным. Но AVZ её не знает. Руткитность убрал, а процесс остался. Может, всё же такие процессы сразу в крантин и эвристическую чистку системы?

Вот ещё: Поиск файлов на диске. Отмеяаю, удаляю - список не изменился. Ага, понял, "Для удаления файла необходима перезагрузка". Жму Обновить - файла больше нет. Ну уж или перезагрузка, но он ещё есть, или совсем нет. Непонятно.
1. А на основании чего считать vbsys2.dll годастью ? Если ее сигнатур нет в базе, то в принципе оснований для этого нет ... Теоретически можно сделать проверку файлов по базе зверей, но это приведет к еще большим тормозам диспетчера процессов
2. Если включено "Копировать подозрительные в карантин", то процессы руткита теоретически туда попадут ... а вот процесс на автомате не убивается - мало ли что это - есть неопасных ряд программ, маскирующих свои процессы
3. Удаление файлов включает их переименование (чтобы файл не смог запуститься) и отложенное удаление. Раз поиск не нашел файлы при втором заходе, то это означает, что AVZ не смог их удалить, но смог переименовать и переименованные файлы были записаны на отложенное удаление. Сообщение я прикручу отдельно ...

Зайцев Олег
05.09.2005, 17:16
Вышла новая версия - 3.80 - или перевая корпоративная, как ститать - поэтому для ее обсуждения я делаю отдельную ветку.

Палыч
28.02.2007, 03:18
Тема закрыта, как не актуальная по версии AVZ и времени размещения последнего поста.

Пост NO-REG скопирован в актуальную тему.