Вышла новая новая версия AVZ - 3.80. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz3.zip)
Радикальные новшества и пределки:

[++] Внешние скрипты для управления AVZ (для его автоматического запуска на множестве ПК и управления действиями без участия пользователя). Описание языка в справке, подключение скрипта - при помощи ключа Script=<имя файла скрипта>
[++] Новый менеджер - менеджер внедренных DLL. По идее это аналог антикейлоггера, только детализированный.
[++] Новый менеджер - менеджер расширений системы печати. Отображает мониторы печати и провайдеры. Подключен к исследованию системы и автокарантину. Позволяет отключать любое расширение системы печати - несколько новейших видов троянов прописываются как монитор принтера, что делает их практически необнаружимыми для пользователя
[+] Сохранение даты/времени файла при помещении файла в карантин
[+/-] Переделки в области проверки CAB архивов - частично устранен сбой, возникающий на одном из CAB файлов из Office XP.

----
В новой версии существенно расширена базы вирусов - добавлено около 300 новых "зверей" и, что самое существенное, около 6000 безопасных файлов - я собрал их с большого кол-ва ПК, в сумме проанализировав около 4 ТБ файлов.
У версии 3.80 в базе 1 нейропрофиль, 55 микропрограмм лечения, 355 микропрограмы эвристики, 5 микропрограмм восстановления настроек системы, 40004 подписей безопасных файлов
----
Примечание:
Описание скриптововго языка - в хелпе или в документации на моем сайте http://z-oleg.com/secur/avz_doc/index.html, раздел "8. Скрипты управления". По воводу скриптового языка - его можно расширять до бесконечности, жду пожелания по командам ...
----
Завтра я сделаю еще одну тему - с полным перечнем всех пожеланий и предложений, которые прозвучали в разделе по 3.75 - чтобы все пожелания собирать единым списком, как предлагал aintrust

А английская версия опять откладывается?:(


Менеджер расширенний проводника, так и остались чёрные дыры.
Менеджер внедрённых длл вылетает с ошибкой, скриншот ниже.

Кстати, залил новые файлы на ФТП, и что-то там еще валяется глянь.

P.S. Включи проверку потоков NTFS по умолчанию пожалуйста

ПО поводу скриптов. Нужнен для форума скриптик который запускает сканирование всех дисков с копированием в карантин всего подозрительного, после чего создаёт лог исследования системы и архив с содержимым карантина.
В принципе не плохо бы его положить прямо в архив с АВЗ.

Что означает:
"3. Сканирование дисков
C:\Documents and Settings\.......\avz3[1].zip Invalid file - not a PKZip file" ?

Круто
Кроме поиска вредоносных она еще может проводить общую диагностику?
(Жалуется что не нашла библиотеки rsapi32)
Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF

Вот собстно лог.

Вот собстно лог.

А что, собственно, смущает?
Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам:
http://virusinfo.info/showthread.php?t=1235
И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.

Если строки:
"E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_L inuxIntel_install.tar Spanning not supported by this Archive type
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB/wfcclean.exe Ошибка распаковки
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_02.CAB/javabase.cab Ошибка распаковки"" - То эти образцы необходимо Олегу предоставить. (Мэйл в меню "О программе")

Если эти строки:
". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами"
То сделать тоже самое (отправить для внесения в базу безопасных файлов). Это, вроде, драйвера от Нвидиа?

А что, собственно, смущает?
Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам:
http://virusinfo.info/showthread.php?t=1235
И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.
Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
А по поводу лога исправляюсь...

Если строки:
"E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_L inuxIntel_install.tar Spanning not supported by this Archive type

Если эти строки:
". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
Это, вроде, драйвера от Нвидиа?
Ну то, что он архивы tar не понимает это естественно, он же под Виндовс...А второе действительно дрова Нвидии, тоже не парюсь.

Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
А по поводу лога исправляюсь...

Да всё нормально! ;-))). Просто чуточку уточнений, что Вы хотите показать в данном случае.

ps: Oleg - Spanning not supported by this Archive type - Походу на ошибку - Scanning

Да, и ещё желательно в лог выводить установленные все опции настройки. Что бы не было разночтений.

файл справки не полностью проиндексирован

Несколько проблем с проверкой по базе безопасных в "Исследовании системы":

1. В "Службах" не опознаются безопасными файлы (хотя они есть в базе):
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\DrWeb\SpiderNT.exe
Видимо, AVZ их не находит (см. лог) из-за пробела в пути...

2. Строку: \??\C:\Program Files\DrWeb\spider.sys AVZ благополучно относит к безопасным в "Модулях пространства ядра", но не понимает в "Драйверах".

3. Строка в "Автозапуске" вида: C:\WINDOWS\system32\dumprep 0 -k по-прежнему не понята AVZ.

4. В "Драйверах" не опознаются файлы без четкого пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают со значениями в поле "Служба", имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

5. "Черные дыры" в "Модуле расширений проводника".

P.S. Исправление этих багов упростит работу Helper-ам при обнаружении новой заразы...
P.P.S. "Менеджер внедренных DLL" вываливается с ошибкой (Win XP), как и у всех...

Вышла новая новая версия AVZ - 3.80.
...
[+] Сохранение даты/времени файла при помещении файла в карантин
...

Сохранение даты/времени не работает...

Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF
да. под Win2000.

...и что-то там еще валяется глянь.
Да. Это я 1го числа заливал, Олег должен быть в курсе.

Скачал,поставил,открыл.....

пишет:версия 3.75.04 от22.08.05...?????

Скачал,поставил,открыл.....

пишет:версия 3.75.04 от22.08.05...?????
Скорее всего виноват прокси - файл вязлся из кеша. Именно поэтому год назад я выкладывал апдейты, включая в их имена дату - чтобы бороться с кеширующим прокси.

Версия 3.80.02
[-] Исправлена ошибка при вызове менеджера внедренных DLL
[-] Копирование даты/времени файла при его помещении в карантин. Плюс в описывающий файл INI заносится информация не только о дате карантина, но и о дате/времени файла
[-] Улучшена справка (индексация, немного расширены некоторые разделы)
[+] Включено сканирование NTFS потоков по умолчанию
[+] Доработан анализатор имени файла, отделающий имя от параметров и т.п.

Отлично. Остались только "черные дыры" в менеджере расширений проводника.

Олег
Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.

Олег
Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.
Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.

Отлично. Остались только "черные дыры" в менеджере расширений проводника.
Да, я их сегодня постараюсь закрыть. В новом апдейте будет это + скриптик для автопроверки ПК

Да, я их сегодня постараюсь закрыть. В новом апдейте будет это + скриптик для автопроверки ПК
Я подумал, наверное нужен еще бетч который будет запускать АВЗ с этим скриптом, что бы не объяснять как запускать из коммандной строки с ключами. Что-то типа virusinfo.bat :)

P.S. Нужно бы выводить в лог версию Вин, и если лог сделан в защищённом режиме писать об этом тоже

Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.
Ну с этим ясно, спасибо.

А теперь обращаюь ща помощью:
на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
Лог менеджера расширений проводника в аттаче.

Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".

Ну с этим ясно, спасибо.

А теперь обращаюь ща помощью:
на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
Лог менеджера расширений проводника в аттаче.

Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".
Логично предположить что все расширения отсюда D:\Grey\Trash\Soft\Shell\DirOpus\8.xx\wrtg\ нужно отключить

Отключил все.
Но проблема не решена.
Может конечно еще и перегрузиться нужно ...

Круто
...
Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF
Да, Олег, у меня тоже не работает (Windows XP SP2), Выдает "Access violation... Read of address... " хотя та "внутренняя" версия, что ты мне присылал, работала без проблем. Странно, однако...

Олег
Проблема "съедания" памяти при включении "Отчет о чистых объектах" пока осталась (т.к. весь лог пишется в Мемо).
Помню, Вы говорили что временно отказались от кеширования лога в файл для возможности запуска AVZ под WinPE. Но при загрузке WinPE создается RAM-drive, может на него сразу и писать? Или уж указывать имя лог-файла? Для лога чистых объектов сие не очень то критично, но тем не менее... Кроме того получается что "теоретически" может возникнуть подобная ситуация и при отключенном "Отчет о чистых объектах", в случае когда будет оооочень много зараженных и подозрительных объектов. Понимаю что такое маловероятно, поэтому то и пишу "теоретически"

Менеджер ДЛЛ заработал
Программа класс, объединить бы ее с APS... то и в трее не зря бы висела.
Когда там МакАфи устраняет прорехи не так впечатляет, тысячи сотрудников, бешенные бабки, а здесь на лету.
Догоните и обгоните буржуев.

В версии 3.80.02 по-прежнему осталось несколько проблем с проверкой по базе безопасных:

1. В "Драйверах" не опознаются файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

2. Строка в "Автозапуске" вида: C:\WINDOWS\system32\dumprep 0 -k не понята AVZ.

Затестил ради интереса работу AVZ на компе с Win NT 4 SP6 Server. Вот такой раритет, но все же в хелпе AVZ написано, что должна работать на Windows NT.
Привожу результаты (см. лог):

1. Кусок лога:

Не найдена библиотека rasapi32.dll
...
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана Т.е. поиск перехватчиков API, работающих в KernelMode, не производится. Выдается ошибка загрузки драйвера avz.sys.

2. Проверка памяти:

Количество найденных процессов: 0
Количество загруженных модулей: 0
Проверка памяти завершена Т.е. память не проверяется, хотя в "Исследовании системы" видны запущенные процессы.

3. В логе "Исследование системы" и "Диспетчере процессов" нет ни одной DLL, используемой процессами, что странно.

4. В "Настройки SPI/LSP" - Поставщики пространства имен (NSP):

Обнаружено - 2, опознано как безопасные - 2 Это не соответствует действительности, т.к. эти файлы неизвестны AVZ и должны быть закрашены в темный цвет.

P.S. Обратил внимание, что почти все системные файлы Win NT 4 SP6 Server неизвестны AVZ. Похоже, кроме меня ей уже никто не пользуется. :)

:? Олег, есть смысл высылать Вам эти файлы для включения в базу безопасных или работа AVZ в этой системе не будет поддерживаться?

Наверное, не имеет смысла. NT4 по внутренностям довольно сильно отличается от 2K и более поздних. Драйвер, скорее всего, придётся писать заново.

Лично я свои раритеты намерен к Новому году проводить на пенсию. Их осталось всего два - контроллеры домена, однако, так просто не заменить.

Под NT 4 у AVZ не работают новые разновидности драйвер - в принципе я могу прислать приватную версию, которая там функционирует - там в драйвере нет некоторых "наворотов", которые приводят к несовместимости с NT4. А вот процессы он обязан показывать, тут нужно разбираться.

Как я понял из ветки: http://virusinfo.info/showthread.php?t=2395 сообщения AVZ вида:

Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8 это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!

Как мне удалось понять из ветки: http://virusinfo.info/showthread.php?t=2395 сообщения AVZ вида:

Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8 это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!
Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.

Как я понял сообщения AVZ вида:

Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!

Помнится, у меня подобные две строки исчезли после сноса Нортоновских утилит.

Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.
В данном случае Geser прав - решение должен принимать человек, в хелпе и FAQ я это прописал ...

В данном случае Geser прав - решение должен принимать человек, в хелпе и FAQ я это прописал ...
А определить название перехватчика в UserMode невозможно?

А определить название перехватчика в UserMode невозможно?
К сожалению практически нереально - руткит как правило инжектирует свой код в поражаемое приложение и ставит на него ссылку. Попытка обнаружения ведется - на случай, если код перехватчика находится в DLL, которая подгружена в поражаемый процесс - но я не помню срабатываний этого анализатора.

Уважаемые господа
у меня при инсталяции DrWeb4.33 нехорошо прописалась DLL для проверки доктором из контекстного меню. Удалить вручную естественно неполучалось, так как не давала ОС или Доктор. Попробовал AVZ отложенное удаление, показал файл, назначил отложенное удаление, AVZ предложил перезагрузиться, паралельно через стартер установил автозапуск AVZ. Но ничего не удалилось. Пришлось в ДОС.
На будущее, я наверное что-то сделал неправильно, или следовало из автозапуска удалить Спайдер гард?

Попробовал бы моей утилитой грохнуть ;)

у меня при инсталяции DrWeb4.33 нехорошо прописалась DLL для проверки доктором из контекстного меню. Удалить вручную естественно неполучалось, так как не давала ОС
Имелась в виду drwsxtn.dll? Поскольку этот расширитель Проводника, то именно он её и держит. Надо в командной строке сделать CD в папку с Доктором и набрать:

regsvr32 /u drwsxtn.dll
После этого удалятся без всяких заморочек.

Олег, поиском по "AVZ" в инете находится и такое
http://plati.xost.biz/pay.php?id_d=141253
http://www.shopdc.ru/pay.asp?id_d=141253

Олег, поиском по "AVZ" в инете находится и такое
http://plati.xost.biz/pay.php?id_d=141253
http://www.shopdc.ru/pay.asp?id_d=141253
Прикол :)

Прикол :)
Ага - человек пытается сделать деньги из воздуха. Что интересно - размер архивчика маловат - судя по всему он торгует версией 1.0 :) Я отписал на оба сайта - пуская принимают меры. Кстати, "продавец" в обоих случаях один и тот-же ...

В Модули пространства ядра путь отображается так:
\SystemRoot\System32\DRIVERS\nv4_mini.sys
нельзя ли SystemRoot заменять на реальный путь к системной директории?

В Модули пространства ядра путь отображается так:
\SystemRoot\System32\DRIVERS\nv4_mini.sys
нельзя ли SystemRoot заменять на реальный путь к системной директории?
Можно - он всеравно приводится к полному имени - для проверки по базе безопасных и карантина. Записываю в список доработок

Некорректно рапортует о работе с некоторыми службами. Например, попытался я снести драйвер звук. карты :) . AVZ сказал, что остановил, но реально ничего не произошло, в самом AVZ статус драйвера не изменился, и в журнал событий ничего не записалось.

И еще, в разделе "Автозапуск" нужно бы помечать файлы которые не найдены на диске

Некорректно рапортует о работе с некоторыми службами. Например, попытался я снести драйвер звук. карты :) . AVZ сказал, что остановил, но реально ничего не произошло, в самом AVZ статус драйвера не изменился, и в журнал событий ничего не записалось.
Да, есть такое дело - если система рапортует, что остановка драйвера прошла успешно, то это не означает, что он остановился .... я переделаю там идеалогию ...
to Geser
Да, я тоже так думаю - надо реализовать, к понедельнику сделаю. И не только в автозапуске - в остальных анализаторах тоже. А если есть - мелким шрифтом размер, атрибуты ...
.....
Что интересно - я написал на http://plati.ru/asp/pay.asp?idd=141253 про торговлю AVZ, получил пока кучу отписок ...

Что интересно - я написал на http://plati.ru/asp/pay.asp?idd=141253 про торговлю AVZ, получил пока кучу отписок ...
Что отписывают?:)

Что отписывают?:)
Вот что пишут:


Приносим свои извинения, возникли небольшие трудности.
Данный продавец зарегистрирован на торговой площадке Plati.ru и для его блокировки Вам необходимо обратиться к администрации Plati.ru по адресу [email protected]

Данные продавца:
Продавец S1P ( id 32676 ),
товар: "Антивирусная утилита AVZ" расположен по адресу http://plati.ru/asp/pay.asp?idd=141253 .

Мы связывались с администратором Plati.ru, на что получили ответ о необходимости получения официального обращения от правообладателя, т.е. от Вас.

Олег, срочно делай лицензию или регистрируй! Не знаю, как это точно называется. Короче, регистрируй права. Я думаю, что пора.

в справке встречаются опечатки, иногда по две штуки на фразу:
"естьменю, вызываемое по правой кнопке мышы"
а здесь скобка не туда ушла : "междугородные (международные звонки)"
а здесь окончание: "некий файл с расширение AVZ"
"Base не изврекается"

после запуска первая мысль была такая - а есть ли англоязычная версия?
в принципе, для этого не нужно делать отдельный пучок исходников -
достаточно вынести все тексты в отдельный конфиг.
это позволит "перевести" программу не только на английский, но и на
любой другой, было бы желание (и помощь) пользователей.

и еще такое предложение - реализовать в программе отдельную опцию (в
том же меню "Сервис\Менеджер...") для поиска на диске всех
PE-EXE файлов, работающих с сетью. проверять можно с помощью поиска
стандартных функций стандартных библиотек (winsock, wininet, rasapi32 и т.д.).
тем более что такие возможности у программы уже есть.

пожелание - чтобы программа знала САМА СЕБЯ как безопасный файл.
т.е. чтобы была в белом (или зеленом?) листе. и все ее предыдущие версии
тоже. а то получается странно:
Файл: D:\avz3\avz.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ

кстати, если нужны безопасные системные EXE/DLL, отсутствующие в белом листе, залил архивчик на FTP.

посканировал свою файловую базу, обнаружил несколько ложных срабатываний (подозрений) на безвредные файлы
(в том числе на GUI для моей антитроянской программы ;-)), а также кучку подозрений на реальные троянцы. сборник файлов искать на FTP.

замечание: зачем писать эвристическое предупреждение на файл, если он уже детектируется как конкретный троян?
d:\detected\files[1].chm/{CHM}//file.exe>>>>> Вирус !! Backdoor.Agent.ah
d:\detected\files[1].chm/{CHM}//file.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла

и еще - базы обновляются чаще, чем выходят новые версии программы, поэтому неплохо было бы иметь точный линк на daily (или им подобные) обновления

Да, есть такое дело - если система рапортует, что остановка драйвера прошла успешно, то это не означает, что он остановился .... я переделаю там идеалогию ...
А разве в системный журнал при этом ничего не должно заноситься? У меня не пишется, только рапорт AVZ.

Выдало сейчас:
3. Сканирование дисков
C:\WINDOWS5\system32\CTF\ctfmon.exe>>>>> Вирус !! Keylogger.Win32.FamilyKeyLogger.283 успешно удален
C:\WINDOWS5\system32\CTF\ctfmon.dll>>> подозрение на Keylogger.Win32.HomeKeyLogger.170 ( 0A0CA250 0217AFF6 000EC219 00000000 5632)
Автоматическая чистка следов удаленных в ходе лечения программ
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 382 TCP портов и 9 UDP портов
>>> Обратите внимание: Порт 4590 TCP - ICQTrojan (c:\program files\internet\emule\emule v0.45b morphxt 6.7\emule.exe)
Зайцев Олег
emule.exe - ''обычный осёл'', DragnDrop - Plugins Far...
Добавь в свои базы безопасных файлов...
А с ctfmon.exe - совсем ''непонятка'' - он всегда там ''жил''...

Kроме этого, Real Time protector FDISK после работы AVZ 3.80 нaчал ''кричать'' на C:\WINDOWS5\Temp\AV55327.tmp Infection: BAT/DelTree@troj...

Kроме этого, Real Time protector FDISK после работы AVZ 3.80 нaчал ''кричать'' на C:\WINDOWS5\Temp\AV55327.tmp Infection: BAT/DelTree@troj...
Это антивирусник на временный вал AVZ судя по всему выругался - он (AVZ) такие файлы создает в ходе проверки архивов. Насчет emule.exe и компании - стоит их прислать мне, я внесу в базы безопасных. А вот насчет
ctfmon.dll и всего остального из папаки CTF - судя по всему это дейтсвительно шпион-кейлоггер. Если интересно, я могу учточнить, где он держит логи и настройки - стоит выяснить, кто и с какой целью его поставил ...

Это антивирусник на временный вал AVZ судя по всему выругался - он (AVZ) такие файлы создает в ходе проверки архивов. Это, как раз, я понимаю...
Кстати, в той же C:\WINDOWS5\Temp\ осталось после работы еще 52 файла (2.45 Мб)... Он после себя не почистил?
Или оставил на следующий раз?

А вот насчет ctfmon.dll и всего остального из папаки CTF - судя по всему это дейтсвительно шпион-кейлоггер. Если интересно, я могу учточнить, где он держит логи и настройки - стоит выяснить, кто и с какой целью его поставил ... Интересно, конечно...

Относительно ctfmon.dll в его папке в readme.txt написано:
SpyArsenal.com - Family Keylogger v2.83
-----------------------------------------
Family Key Logger v2.83 - this is the best choice,
if you want to know what others are doing on your
own computer while you are not at home (or office).
Install Family Keylogger, set options "Start in
hidden mode" and "Hide in task list", so that it
makes itself invisible to anyone. After you return,
you can just press keystroke to unhide.
Family Key Logger - you have the right to Know!

Order
-----
http://www.spyarsenal.com/familykeylogger/order.html
License
-------
See License.txt
Copyright (C) 2002-2004. KMiNT21 Software. All Rights Reserved.

Относительно ctfmon.dll в его папке в readme.txt написано:
Это подтверждает диагноз - это классический клавиатурный шпион - осталось узнать, кто его проинсталлил и для чего :) (он кстати инсталлится запуском сетапа, т.е. это ручная операция)

Выдало сейчас:
А с ctfmon.exe - совсем ''непонятка'' - он всегда там ''жил''...
Прижился, почти домашний стал.
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090753
Хотя если сам ставил, тогда ...

Это, как раз, я понимаю...
Кстати, в той же C:\WINDOWS5\Temp\ осталось после работы еще 52 файла (2.45 Мб)... Он после себя не почистил?
Или оставил на следующий раз?

Это временные файлы, я усовершенствую алгоритм их зачистки после проверки, чтобы хвосты не оставались

в справке встречаются опечатки, иногда по две штуки на фразу:
...
и еще - базы обновляются чаще, чем выходят новые версии программы, поэтому неплохо было бы иметь точный линк на daily (или им подобные) обновления
распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.

распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.

Проще всего на главной странице сделать пунктик AVZ-daily,
Лучше всего - автообновление, ИМХО.

Прижился, почти домашний стал.
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090753
Хотя если сам ставил, тогда ...
Так в папке его цивилизованно даже uninstaller.exe ''лежал''. :D
Запустил - сам себя ''снес''...

распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.
тогда еще до кучи ;-))

Замечена такая проблема - отсутствует кнопка/возможность "обновить дерево каталогов" на вкладке "Область поиска".
Т.е. если я создал в каталоге (где раньше не было подкаталогов) подкаталог, то просканировать только его AVZ не сможет ибо в списке каталогов он будет отсутстувовать.
В настоящий момент проблема решается закрытием и новым запуском программы.

Еще одна проблема - если я регулярно сканирую одну и ту же систему, то я вырабатываю/устанавливаю удобные для себя настройки.
Хотелось бы иметь возможность сохранять текущие настройки (профиль) с последующей загрузкой его по умолчанию (хранить можно в файле или реестре - по усмотрению автора).
Иначе каждый раз приходится расставлять все галочки по новой.

Нельзя просканировать файлы в каком-либо каталоге без сканирования подкаталогов.
Если убрать галочки со всех подкаталогов, то автоматически убирается галочка и с каталога. А ведь в нем тоже находятся файлы, которые нужно проверять. (перефразируя - "Не подкаталогами едиными..." ;)

Заметил, что с RAR-архивами у программы работа не сложилась. Это так и задумано, или у меня просто архивы особые? В любом случае, во избежании подобных вопросов желательно описать все типы проверяемых архивов в справке в разделе "О программе".

Снова по hlp - "в любом лсучае AVZ расчитан на возможность"

Заметил, что возможна ситуация, когда AVZ "вышибает из колеи" и после проверки файлов
программа (пропуская пункты 4,5,6,7, а также вывод строк
Просканировано файлов: 105, извлечено из архивов: 102, найдено вирусов 0
Сканирование завершено в 11.09.05 14:23:46
выдает
Сканирование длилось 00:00:02
и завершает поиск.
Происходит это при включенной опции "Проверять архивы" (максимальный размер выставлен по умолчанию, но файлов размером более 2мб в папке нет).
Происходит при проверке CHM внутри ZIP архива размером 1.8мб
Самое интересное, что в строке статуса продолжают мелькать проверяемые после этого имена файлов, но на экран уже ничего не выводится.
Но происходит это не всегда (т.е. при перекладывании файла в другое место там этот глюк не проявляется), видимо влияют еще и предшествующие файлы.

Замечена такая проблема - отсутствует кнопка/возможность "обновить дерево каталогов" на вкладке "Область поиска".
Т.е. если я создал в каталоге (где раньше не было подкаталогов) подкаталог, то просканировать только его AVZ не сможет ибо в списке каталогов он будет отсутстувовать.
В настоящий момент проблема решается закрытием и новым запуском программы.
F5 (стандартная виндовая функция "обновить") или Right-Click в этом окне и "Обновить".


Еще одна проблема - если я регулярно сканирую одну и ту же систему, то я вырабатываю/устанавливаю удобные для себя настройки.
Хотелось бы иметь возможность сохранять текущие настройки (профиль) с последующей загрузкой его по умолчанию (хранить можно в файле или реестре - по усмотрению автора).
Иначе каждый раз приходится расставлять все галочки по новой.
Это предложение уже было... Олег, ты обещал создать тему со всеми предложениями по доработке AVZ, где же она? :) А то уже начинаем повторяться... и, кажется, не первый раз!

Почитал дискуссию на Кпнемо... В начале и в конце лога нужно что бы выводилось большими буквами что-то типа:
Внимание, эвристический анализатор может выдавать подозрение на вполне безопасные файлы, не удаляйте их! Все "подозрительные" файлы просьба отправлять для проверки на мыло...

Почитал дискуссию на Кпнемо... В начале и в конце лога нужно что бы выводилось большими буквами что-то типа:
Внимание, эвристический анализатор может выдавать подозрение на вполне безопасные файлы, не удаляйте их! Все "подозрительные" файлы просьба отправлять для проверки на мыло...
Ага, я читая это пришел к налогичном мнению ...

Товарищи,
AVZ постоянно видит порты 1025,1026 UDP и TCP открытые процессами RPC.
Видит это и Port Explorer (как SYSTEM) но как RPC определяет AVZ.
DCOM и Remote Connect у меня закрыты еще в реестре, стена Sygate, кроме прочего стоит прямой запрет на все процессы RPC**.EXE и rpc***.dll
Дошло до того, что переименовал все rpc**.dll, кроме одной rpcrt4.dll - система не дает, также из-за отсутствия последней не запускается стенка.
Ни KAV, ни DrWeb, ни AVZ ничего странного не нашли.
Наверное ничего страшного, что-то криво стоит, но, видимо, если это беспокоит, то переустановка либо попробовать другую стенку (я бы другому сам так посоветовал).
Или есть выход?
Почему именно сюда -Автор ведь знает механизм определения процесса утилитой.
Если бы AVZ определила -SYSTEM, я бы, не заморачиваясь, просто поменял Sygate (Ну вот я уже и виноват, подумает Автор)

2 WakenUp

В "сервис" - "открытые порты TCP\UDP" в колонке "Приложение" должен быть указан полный путь к файлу.

Олег
В "Менедженр Winsock" и в "Открытые порты TCP/UDP" в гриде ячейки не в Read-only режиме, на работу это не влияет, но у некоторых юзеров могут появится лишние вопросы.

И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.
Я бы написал "Интегрированная среда для поиска и уничтожения вредоносных программ"
И не стоит поддаваться соблазну переделать АВЗ так что бы с ней могли работать "чайники".

P.S. Вот, предлагаю сменить название на AMT - AntiMalware Toolkit.

Олег
В "Менедженр Winsock" и в "Открытые порты TCP/UDP" в гриде ячейки не в Read-only режиме, на работу это не влияет, но у некоторых юзеров могут появится лишние вопросы.
Глюк, исправлено

И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.
Я бы написал "Интегрированная среда для поиска и уничтожения вредоносных программ"
И не стоит поддаваться соблазну переделать АВЗ так что бы с ней могли работать "чайники".

P.S. Вот, предлагаю сменить название на AMT - AntiMalware Toolkit.
Делать AVZ под "чайника" я не собираюсь ... максимим из того,что я сделаю -это расширю хелп, всякие подсказки введу. Фокус в том, что AVZ имеет минус с точки зрения "чайника" - он много всего пишет в логи ... но лично я не сторонник "однокнопочных антивирусов/антишпионов".

AVZ конечно можно переименовать - но название прижилось, оно в куче статей фигурирует - проще AVZ вирусы научить ловить :) (это кстати планируется, для распространенной заразы типа Nsag, Hidrag ...). А сравнение с антивирем - это конечно неправильно, но ведь в хелпе AVZ написано, что это утилита, дополняющая антивирус ... только хелп никто не читает :)

И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.
А разве АВЗ - это не аббревиатура для "АнтиВирус Зайцева"? :?
Чем плохо сравнивать АВЗ с антивирусом? Да, сигнатур немного (пока), но зато есть неплохой алгоритм поиска новой пакости!
АВЗ - это, можно сказать, уже бренд, известный многим! Зачем же менять ему название?

А разве АВЗ - это не аббревиатура для "АнтиВирус Зайцева"? :?

Угу, антивирус, который не ловит (пока) вирусы (в смысле файловые вирусы) :)

Угу, антивирус, который не ловит (пока) вирусы (в смысле файловые вирусы) :)
Вот вот - получается парадокс :) И все из-за того, что по сути вирусом сейчас модно назвать все, что ни попадя ... короче, придется AVZ научить ловить вирусню ...

1.Вопрос: Порты открытые процессом RPC, Hidden, подозреваемый AVZ как Listener RPF чайника, по Geser`у, беспокоить не должен?
2.Я что-то нигде не прочитал, что AVZ останется в узком кругу, уважаемые профессионалы (кроме Автора) напротив настаивают на скорейшем выходе (видимо коммерческой) к широкой публике, и если интегрированная среда будет применима только профессионалами, то этот выход будет осуществлен в виде сети пунктов приема чайников с компьютерами подмышками для их лечения прфессионалами в интегрированной среде?
3. HATTINFATTOR нет полного пути, AVZ никак не помогает чайнику локализовать этот процесс, и из всего сказанного в теме ясно, что и определение его как RPC может быть достаточно условно, а по Geser`у и опасно в неумелых руках.
Но порты после прочтения и понимания величия мира профессионалов почему-то сами не закрылись, я проверил. Так что отложить пятихатку и ждать пока откроется приемный пункт?
И ,кстати, ошибочно предполагать, что я прошу помощи.
Ситуация нормальная, не AVZ так другая программа увидела открытые порты.
Но AVZ в отличие от TCPview, наверное должна помогать локализовать процесс, определить его как безопасный либо небезопасный.

На этот пост можно не отвечать, хотя кроме HATTINFATTOR`a по делу никто и не ответил.
P.S. Мне кажется, что ценность AVZ еще и в том, что в отличие от сотен других антитроянов (среди них то пара достойных есть?) она эту смычку и может
определять.

1.Вопрос: Порты открытые процессом RPC, Hidden, подозреваемый AVZ как Listener RPF чайника, по Geser`у, беспокоить не должен?

Покажите лог, а то я не совсем понимаю о чём речь.

выход будет осуществлен в виде сети пунктов приема чайников с компьютерами подмышками для их лечения прфессионалами в интегрированной среде?
Пункты сервиса - это самое оптимальное решение. Конечно, в особо тяжёлых (20 кг и более) случаях возможен и выезд специалиста на место ;). Действительно, инструмент мощный, некий ценз понимания происходящего просто обязан быть.

Вот вот - получается парадокс :) И все из-за того, что по сути вирусом сейчас модно назвать все, что ни попадя ... короче, придется AVZ научить ловить вирусню ...
А он ведь и ловит - частенько в логах видел то-ли Mydoom, то ли Netsky.

Олег. Вопрос. Предыстория длинная - но коротенько - удалил ВБА, удалился некорректно, пропал инет и сеть, почистил все с помощью АВЗ, и в частности, делал восстановление системы, со всеми галочками. И теперь, при заходе в админскую часть моего сайта (он сделан на CMS Mambo) я вижу пустой экран. С другого компа - все ОК.
Так вот - что входит в "востановление системы" т.е. Какие конкретно настройки ИЕ АВЗ выставляет?

А он ведь и ловит - частенько в логах видел то-ли Mydoom, то ли Netsky.

Олег. Вопрос. Предыстория длинная - но коротенько - удалил ВБА, удалился некорректно, пропал инет и сеть, почистил все с помощью АВЗ, и в частности, делал восстановление системы, со всеми галочками. И теперь, при заходе в админскую часть моего сайта (он сделан на CMS Mambo) я вижу пустой экран. С другого компа - все ОК.
Так вот - что входит в "востановление системы" т.е. Какие конкретно настройки ИЕ АВЗ выставляет?
Восстановление IE сбрасывает настройки стартовой страницы, поиска, префиксов протоколов и что-то из этой области на дефолтные - все меняемые AVZ настройки достаточно безобидны. Никаких иных перенастроек AVZ не делает. Есть подозрение, что от ВБА все-таки что-то осталось - стоит наверное еще разок его проинсталлить и снести - для чистоты эксперимента. Судя по всему проблема лежит где-то в облати поддержки Java скриптов

Настройки зон безопасности не поменялись?

Олег, восстановление из карантина в AVZ будет?

Олег, восстановление из карантина в AVZ будет?
Да, оно уже есть ... восстановление файла из Infected и карантина -0 скоро выход новой версии

Настройки зон безопасности не поменялись?
Скорей всего, что-то поменялось. Сбрасывал на стандартные - результат тот же.
Попробою ВБА проинсталлить заново.

Да, оно уже есть ... восстановление файла из Infected и карантина -0 скоро выход новой версии
Вот еще одна фича!
А как на счет имевшейся в планах поддержки английского интерфейса?

Вот еще одна фича!
А как на счет имевшейся в планах поддержки английского интерфейса?
Может быть, в этой версии появится - по крайней мере в плане перевода интерфейса. Но я сейчас налегаю на скриптовй язык - я хочу в новую версию внести полноценный скрипт для автоматическойго исследования ПК в рамках правил данной конференции (сканирование, исследовавани системы, создание архива с подозрительными файлами и исследованием системы для отправки).

Не пора ли привести наименование заразы к какому-то общему знаменателю?
Дело даже не в том, что часть заразы именуется с дефисом, а часть - нет.

Просто однотипные программы, имеющие один источник происхождения и единый
первоначальный исходник (т.е. являющиеся модификациями, разными версиями одного и того же),
имеют разные имена (например, Adpower, EMSAT, RussianNorfolk и т.д.)

Вот список из четырех названий, указывающих на заразу из одного семейства:
TrojanClicker.Win32.Adpower.g
Trojan-Clicker.Win32.Adpower.r
Dialer.EMSAT
Dialer.RussianNorfolk

Желающие могут проверить на своих коллекциях.

Не пора ли привести наименование заразы к какому-то общему знаменателю?
Дело даже не в том, что часть заразы именуется с дефисом, а часть - нет.

Просто однотипные программы, имеющие один источник происхождения и единый
первоначальный исходник (т.е. являющиеся модификациями, разными версиями одного и того же),
имеют разные имена (например, Adpower, EMSAT, RussianNorfolk и т.д.)

Вот список из четырех названий, указывающих на заразу из одного семейства:
TrojanClicker.Win32.Adpower.g
Trojan-Clicker.Win32.Adpower.r
Dialer.EMSAT
Dialer.RussianNorfolk

Желающие могут проверить на своих коллекциях.
TrojanClicker/Trojan-Clicker я приведу в единому виду, категорию "Spy" я вообще хочу упразнить для унификации, а вот с родственными категориями - не знаю ... - я стараюсь придерживаться классификации AVP, в частности т.к. эта классификация лежит в основе Viruslist.com ...

TrojanClicker/Trojan-Clicker я приведу в единому виду, категорию "Spy" я вообще хочу упразнить для унификации, а вот с родственными категориями - не знаю ... - я стараюсь придерживаться классификации AVP, в частности т.к. эта классификация лежит в основе Viruslist.com ...
Про дефис - там все элементарно.
Про Spy - тоже понятно, что любой из троянов в той или иной степени Spy.
А вот "родственные связи" на мой взгляд лучше отслеживать - будет проще понять, откуда какой файл пролез. Одно дело, когда обнаруживается на диске куча разноименных и как бы не связанных друг с другом файлов, другое дело когда сразу видно, что источник заражения один. От классификации AVP я вроде бы уже видел отступления, тем более что AVZ - это самостоятельная программа. И есть возможность сделать ее лучше.

попробовал распаковать архив virus.zip, сделанный из карантина АВЗ, с помощью 7-zip. Сказал - is not supported archive. Rar справился.
Пароль вводил.

7-zip по идее должен открыть ... не исключено, что он запароленные zip архивы не поддерживает, т.к. у AVZ класиическая ZIP компрессия

запароленные поддерживает.
Запаковал RAR'ом в zip с паролем - 7-zip его открыл и распаковал.

Вот такую статью нашел
http://oszone.net/display.php?id=3352

у меня есть идея - зделать умный анализатор - если файл - вирус / троян / дроппер то лезть внуть на предмет поиска названия вайлов :) вроде Component searcher ;)

Вот такую статью нашел
http://oszone.net/display.php?id=3352
Только автор статьи отстал от жизни - уж полгода, как вышла AVZ 3, а он все второй бетой пользуется... :D

у меня есть идея - зделать умный анализатор - если файл - вирус / троян / дроппер то лезть внуть на предмет поиска названия вайлов :) вроде Component searcher ;)
идея конечно хорошая, если бы не несколько НО...

1. на днях читал на одном антивирусном сайте, что сейчас 30% вредоносных программ распространяются в упакованном виде. мои практические наблюдения диаметрально противоположные - только 30% программ НЕ упакованы. а без знания всех упаковщиков лезть некуда.

2. если программа по сигнатуре и так определила, что этот файл вирус-троян-дроппер, то значит автору этот файл уже и так извстен и он прекрасно знает, какие именно пути в трояне прописаны, так что и искать нечего.

3. как понять, что это имя файла? они очень часто не похожи на имена файлов. например, файл "o", который иногда используется для закачки с ftp. как отличить обычную текстовую константу от имени файла? нужно определить, в какую функцию передается эта константа. иными словами, нужно на лету дизасемблировать код программы. есть желающий написать такое? ;-)

4. имена файлов и папок хранятся иногда в разных константах и для получения полной картины их нужно конкатенировать. а иногда и вовсе путь к файлу получается комбинацией нескольких переменных.

Олег. При работе в безопасном режиме без мыши, невозможно выбрать область поиска . Все остальные настройки делаются клавой, а диск отметить нельзя.

Описание скриптововго языка - в хелпе или в документации на моем сайте http://z-oleg.com/secur/avz_doc/index.html, раздел "8. Скрипты управления". По воводу скриптового языка - его можно расширять до бесконечности, жду пожелания по командам ...


По поводу справки на сайте. вот вместо этих страниц открывается окно "О программе":
z-oleg.com/secur/avz_doc/index.html?script_intro.htm
z-oleg.com/secur/avz_doc/t_cmdline.htm
z-oleg.com/secur/avz_doc/script_runscan.htm
а также нижеидущие пункты описания скриптовых процедур...
В справке по скриптам затеряно самое важное - ИМЯ, РАСШИРЕНИЕ и РАСПОЛОЖЕНИЕ файла со скриптом,
описание способа подключения скрипта. Это обнаружилось где-то в примерах на задворках хэлпа. На мой взгляд это надо выпячивать в самое начало.
Другая проблема - описаны процедуры и функции, но отсутствует перечень доступных программисту скрипта стандартных переменных.
Нигдe явно не указано, что доступны конструкции if .. then .. else.
В примерах QuarantineFile выступает как процедура, хотя позиционируется как функция.
По этой же функции есть предложение - добавить возможность использования масок, содержащих "*" и "?".
Также желательно завести макроподстановку для системного диска (например %sys%).
Например:
QuarantineFile('%sys%\Program Files\Internet Optimizer\*.*','Файлы троянца IstSvc')
QuarantineFile('%sys%\Documents and Settings\*\Local Settings\Temp\optimize.exe','Файл троянца IstSvc')
И еще я бы посоветовал
Еще вопрос по hlp-справке. в разделе "Параметры командной строки" описаны ключи
DelVir и ModeVirus. Судя по описанию, они занимаются одним и тем же, только ModeVirus более гибок в настройке.
Может тогда упразднить DelVir (или хотя бы убрать из описания, но не из обработки для совместимости со старыми версиями и давними пользователями).
И в конце этой страницы есть слово "Пример", которое относится непонятно к чему.

Еще пожелание по скриптам - сделать возможность отправки репорта на заданный e-mail.

Замечание по создаваемым логам: зачем писать
Внимание !!! База поледний раз обновлялась 05.09.2005 - рекомендуется обновить базы с http://z-oleg.com/secur/avz-dwn.htm
если с тех пор все равно никаких апдейтов на сайт не выкладывалось? Или обеспечьте определенную частоту выкладывания обновлений, или подумайте над убиранием этой дезинформирующей строки. А вообще дейли апдейты лучше помещать на отдельной странице, а то та страница из-за гигантских списков вирусов долго грузится.

Если в скрипте написать строчку
SaveLog('avz_'+GetComputerName+'.txt');
(т.е. не указать полный путь на диске C:\...), то файл с отчетом не сохраняется. Считаю это ошибкой.

Команду AddToLog('Протокол с компьютера '+GetComputerName);
заставить работать мне не удалось - в окне программы такой текст появляется, а вот в файле на диске - нет.

Прога пишет.

Внимание !!! База поледний раз обновлялась 05.09.2005 - рекомендуется обновить базы с http://z-oleg.com/secur/avz-dwn.htm

Атам ничего нету нового...

Прога пишет.

Внимание !!! База поледний раз обновлялась 05.09.2005 - рекомендуется обновить базы с http://z-oleg.com/secur/avz-dwn.htm

Атам ничего нету нового...
Сегодня будет - база и AVZ обновляются не реже чем один раз в 14 дней, я просто прозевал ачередной апдейт ...

Вышла версия 3.81:
[+] Скриптовой язык - новые команды GetCurrentDirectory, GetAVZDirectory ...
[+] Древовидный список файлов - выделение элементов клавитурой (при нажатии пробела производится инверсия выделения текущего элемента)
[+] Вывод информации о том, что система загружена в SafeMode в протокол
[+] Восстановление файла из карантина и Infected
[-] Исправлена ошибка в функции SaveLog
[+] Доработки антируткита - модифилирован анализатор для устранения проблем с DEP на Windows 2003 SP1
------
Основная задача, решенная вновой версии - это чистка баз. После размещения на kpnemo версии 3.80 мне прислали более 700 файлов для анализа, они пополнили базы безопасных (и вирусов). сделан ряд шагов по унификации имен в базе, кое что подправлено по мелочам в самой программе.

По поводу справки на сайте .... - пост 105

1. С хелпом на сайте (script_intro.htm) - устраняю, это глюк
2. Имя, расширение и местоположение скрипта - любые, для AVZ они не принципиальны и никак не проверяются. Если файл не в текущей папке - то нужно задать полный путь
3. Подключение скрипта - опишу подробнее в хелпе
4. Стандартные конструкции - согласен, их необходимо описать - сделаю на выходных
5. Поддержка масок - логично, добавлю
6. В новом AVZ поддерживается макрос в пути %SysDisk% - это системный диск в виде C: (т.е. без слеша)
7. DelVir и ModeVirus - это разные вещи. DelVir - глобальный переключатель, разрешающий или запрещающий удаление всех злоовредных программ (аналог переключателя "Выполнять лечение"), а ModeVirus - это уже тонкая настройка. Просто DelVir надо бы назвать как EnableCure или аналогично, имя DelVir пришло исторически ...


... пост 103 ...

В стационарном анализаторе у меня нечто подобное есть - т.е. изучаемый файл автоматом изучается в исходном виде и в распакованном, но это тянет за собой его декомпиляцию и эмуляцию, базу данных с исключениями, базу для сравнения ... Ложных срабатываний будет тьма, часто бывают разные конкантенации имени и прочее... Короче говоря, я совершенно согласен с тем, что проделывать нечто подобное на ПК пользователя нереально. А вот знать, что прибить/заподозрить можно и нужно - для этого у меня микропрограммы лечения предусмотрены - но они пишутся вручную, на основании анализа "зверей".

2. Имя, расширение и местоположение скрипта - любые, для AVZ они не принципиальны и никак не проверяются. Если файл не в текущей папке - то нужно задать полный путь
3. Подключение скрипта - опишу подробнее в хелпе

я это уже установил, но в справке такая информация важна в яном виде.



4. Стандартные конструкции - согласен, их необходимо описать - сделаю на выходных
5. Поддержка масок - логично, добавлю

означает ли это, что скоро будет новая версия? :-)



6. В новом AVZ поддерживается макрос в пути %SysDisk% - это системный диск в виде C: (т.е. без слеша)

спасибо! полезная вещь



7. DelVir и ModeVirus - это разные вещи. DelVir - глобальный переключатель, разрешающий или запрещающий удаление всех злоовредных программ (аналог переключателя "Выполнять лечение"), а ModeVirus - это уже тонкая настройка. Просто DelVir надо бы назвать как EnableCure или аналогично, имя DelVir пришло исторически ...

просто использование термина "Vir" сразу смущает



В стационарном анализаторе у меня нечто подобное есть - т.е. изучаемый файл автоматом изучается в исходном виде и в распакованном, но это тянет за собой его декомпиляцию и эмуляцию, базу данных с исключениями, базу для сравнения ... Ложных срабатываний будет тьма, часто бывают разные конкантенации имени и прочее... Короче говоря, я совершенно согласен с тем, что проделывать нечто подобное на ПК пользователя нереально. А вот знать, что прибить/заподозрить можно и нужно - для этого у меня микропрограммы лечения предусмотрены - но они пишутся вручную, на основании анализа "зверей".
интересно, а как Вы решили для себя снятие некоторых крипторов, типа MEW или Yoda Crypt?

p.s. программу скачал, буду тестировать. надеюсь, что другие замеченные проблемы и пожелания будут учтены в ближайших версиях.

p.p.s. к сожалению, в связи с гибелью HDD отправленные мной через FTP файлы у меня теперь отсутствуют, так что проверить детектирование этих файлов не на чем ... :((

Жаль, что в версии 3.81 по-прежнему не исправлены следующие баги в разборе имен и путей файлов:

1. В "Драйверах" не опознаются файлы без пути и расширений (см. лог здесь (http://virusinfo.info/showpost.php?p=54560&postcount=33)), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

2. В "Автозапуске" AVZ не понимает строки:
C:\WINDOWS\system32\dumprep 0 -k
RunDll DeskTop16.dll,COLOR_INIT (т.е. запуск 16-битных DLL)
hpfsched (прописан в C:\WINDOWS\win.ini, windows, run; имеет расширение EXE, лежит в стандартном месте)

Соответственно, не работает автодобавление этих файлов в карантин.
Следовательно, скрипт автопроверки не сможет их отловить без вмешательства квалифицированного специалиста. Простой юзер не сможет самостоятельно прислать файлы на проверку...

Олег, планируете ли Вы исправления в алгоритме разбора имен и путей файлов?

P.S. Черные дыры в "Модуле расширения проводника" остались...

Олег
Во всех диспетчерах и менеджерах где строки отмечаются зеленым, так вот при выборе этих строк - они не читабельны. При их выборе стоит менять цвет шрифта на другой.

Может это фича, но мне не понравилось. AVZ не проверяет перед запуском, что одна копия уже запущена.

Опять наверное какие-то проблеммы с прокси , скчиваеться версия 3.802 :(

Кто-нибудь может внести ясность в такие вот результаты?

Кто-нибудь может внести ясность в такие вот результаты?
А какие проблемы? Кроме того, что два сетевых экрана работают: outpost и sygate, ничего странного не вижу.

Может это фича, но мне не понравилось. AVZ не проверяет перед запуском, что одна копия уже запущена.
Это специально было сделано - чато бывает необходимость запустить две копии AVZ ... но когда появится отдельное окно настроек и их сохранение, то будет опция "блокировать повторный запуск"

Олег
Во всех диспетчерах и менеджерах где строки отмечаются зеленым, так вот при выборе этих строк - они не читабельны. При их выборе стоит менять цвет шрифта на другой.
Знаю, борюсь ... если есть идеи (RGB коды цветов для обоих случаев) - то буду весьма признателен

Жаль, что в версии 3.81 по-прежнему не исправлены следующие баги в разборе имен и путей файлов:
....
Олег, планируете ли Вы исправления в алгоритме разбора имен и путей файлов?

P.S. Черные дыры в "Модуле расширения проводника" остались...
Да, это планируется - просто в 3.81 тот-же анализатор, что в 3.80 ... но работы идут. Кстати, еще одно "исключение" - Rundll32 <что-то там>

означает ли это, что скоро будет новая версия? :-)

Несомненно - после выходных




просто использование термина "Vir" сразу смущает

Меня это тоже смущает - но менять исторически прижившийся ключ проблемно



интересно, а как Вы решили для себя снятие некоторых крипторов, типа MEW или Yoda Crypt?

А их снять достаточно просто - если идти по пути SandBox ... - т.е. рано или поздно продукт распакуется и начнет исполнение. Второй путь - распаковка пошаговой эмуляцией - нечто подобное сделано в VBA



p.s. программу скачал, буду тестировать. надеюсь, что другие замеченные проблемы и пожелания будут учтены в ближайших версиях.

Замечаниям/предложениям я всегда рад, тем более что мелкие замечания достаточно легко править ...

Меня это тоже смущает - но менять исторически прижившийся ключ проблемно

можно оставить старый, но в новых релизах (в хелпе) афишировать только новый. имена будут разные, а выполнять одно и то же.



А их снять достаточно просто - если идти по пути SandBox ... - т.е. рано или поздно продукт распакуется и начнет исполнение.

а как же anti-debugging tricks? :)

Предлагаю в лог AVZ (и текстовый, и HTM) включать версию ОС и, опционально, версию броузера.

При наведении курсора в карантине на кнопку "восстановить" в подсказке - "удалить отмеченные файлы"

Олег! Внеси пожалуйста в базу чистых файлов библиотеку или полностью прогу WinPatrol 9.7.0.22 (АВЗ перехватывает работу монитора WinPatrol) http://www.winpatrol.com/cgi-bin/version.pl?&userid=1C10101001&build=9.7.0.22:9.7.0.22&Loc=en

C:\PROGRA~1\BILLPS~1\WINPAT~1\PATROLPRO.DLL --> Подозрение на Keylogger или троянскую DLL

По поводу упорядочивания имен. Игорда получаются смешные ситуации - когда три файла из одного пакета называются тремя разными именами. Например как тут:

C:\temp\SmileyCentralInitialSetup1.0.0.8.cab>>>>> &#194;&#232;&#240;&#243;&#241; !! Spy.FunWebProducts
C:\temp\SmileyCentralInitialSetup1.0.0.8.cab/{CAB}/f3initialsetup1.0.0.8-2.inf>>>>> &#194;&#232;&#240;&#243;&#241; !! Spy.MyWebSearch
C:\temp\SmileyCentralInitialSetup1.0.0.8.cab/{CAB}/f3Setup1.exe>>>>> &#194;&#232;&#240;&#243;&#241; !! AdvWare.ToolBar.MyWebSearch

кстати, не знаю как будет читаться слово "Вирус" после отправки этого сообщения, но этот кусок я скопировал прям из окна программы АВЗ.

Вот эти два тоже из одного источника:
EGDACCESS_1059_XP.cab/{CAB}/EGDACCESS_1059.dll>>>>> &#194;&#232;&#240;&#243;&#241; !! Dialer.Win32.InstantAccess
svcsysnet32_FR_XP.cab/{CAB}/svcsysnet32.dll>>>>> &#194;&#232;&#240;&#243;&#241; !! Dialer.Win32.E-Group.q
но имена почему-то разные...

Олег
Самый продолжительный этап ,естественно
3. Сканирование дисков
Но до его завершения никакой информации нет.
Специально ожидаешь полное завершение?

Короче прикол такой. Иду в "Модули пространства ядра", и вужу там два драйвера которые не зелёные. Пытаюсь найти их на диске, а файлов с такими именами нет. В чём прикол?

Короче прикол такой. Иду в "Модули пространства ядра", и вужу там два драйвера которые не зелёные. Пытаюсь найти их на диске, а файлов с такими именами нет. В чём прикол?
Это известная "шутка юмора", допустимая для драйверов. Суть ее в том, что можно создать на диске файл *.sys, загрузить его как драйвер и тут-же удалить. Т.е. драйвер спокойно висит в памяти, а файла на диске давно нет. Такое еще, кстати, очень хорошо можно наблюдать на программах от SysInternals - можно запустить тот-же RegMon - драйвер от него виден в модулях пространства ядра, а на диске его нет.

Это известная "шутка юмора", допустимая для драйверов. Суть ее в том, что можно создать на диске файл *.sys, загрузить его как драйвер и тут-же удалить. Т.е. драйвер спокойно висит в памяти, а файла на диске давно нет. Такое еще, кстати, очень хорошо можно наблюдать на программах от SysInternals - можно запустить тот-же RegMon - драйвер от него виден в модулях пространства ядра, а на диске его нет.
Тогда вопрос такой. С целью индентификации и исследования (скажем какой вредоносный/чистый драйвер, нужно получить его код для внесения в базу) можно ли сделать дамп этого драйвера на диск?

По поводу упорядочивания имен. Игорда получаются смешные ситуации - когда три файла из одного пакета называются тремя разными именами. Например как тут:

C:\temp\SmileyCentralInitialSetup1.0.0.8.cab>>>>> Spy.FunWebProducts
C:\temp\SmileyCentralInitialSetup1.0.0.8.cab/{CAB}/f3initialsetup1.0.0.8-2.inf>>>>> Spy.MyWebSearch
C:\temp\SmileyCentralInitialSetup1.0.0.8.cab/{CAB}/f3Setup1.exe>>>>> AdvWare.ToolBar.MyWebSearch

кстати, не знаю как будет читаться слово "Вирус" после отправки этого сообщения, но этот кусок я скопировал прям из окна программы АВЗ.

Вот эти два тоже из одного источника:
EGDACCESS_1059_XP.cab/{CAB}/EGDACCESS_1059.dll>>>>> &#194;&#232;&#240;&#243;&#241; !! Dialer.Win32.InstantAccess
svcsysnet32_FR_XP.cab/{CAB}/svcsysnet32.dll>>>>> &#194;&#232;&#240;&#243;&#241; !! Dialer.Win32.E-Group.q
но имена почему-то разные...
тут главная проблема в том, что на анализ то эти звереи поступают в разное время и порознь - отсюда и разнобой с именами. Например, f3initialsetup1.0.0.8.inf попал в базу 02.02.2004, а последний образец AdvWare.ToolBar.MyWebSearch - 23.08.2005. Аналогично с порнозвонилками - но тут имена даны по Касперскому, хотя идея та-же - обычно имена им даются по копирайтам или заголовку окна

Олег
Самый продолжительный этап ,естественно
3. Сканирование дисков
Но до его завершения никакой информации нет.
Специально ожидаешь полное завершение?
Т.е. как никакой информации нет ?? Пока идет сканирования, ползет прогресс индикатор (правда, он врет иногда :) - т.к. сканирование диска и подсчет файлов идут параллельно).

тут главная проблема в том, что на анализ то эти звереи поступают в разное время и порознь - отсюда и разнобой с именами. Например, f3initialsetup1.0.0.8.inf попал в базу 02.02.2004, а последний образец AdvWare.ToolBar.MyWebSearch - 23.08.2005. Аналогично с порнозвонилками - но тут имена даны по Касперскому, хотя идея та-же - обычно имена им даются по копирайтам или заголовку окна
про даты - понятное дело. но ведь регулярно выходят новые версии АВЗ с новыми базами, и в этих выпусках можно проводить переименования.
про КАВ - в нем тоже регулярно осуществляются переименования вирусов и троянцев, когда становится понятно к какому семейству они принадлежат.
про заголовки окон - понятно что в одном пакете есть программы с заголовками (например) Install и Uninstall, но это вовсе не значит, что программы совершенно различны и ничего общего друг с другом не имеют.
про необходимость переименования - гораздо понятнее, когда на диске находятся троянцы с одним именем, но с разными версиями. и ставит в тупик, когда находится десяток различных имен (а на самом-то деле ловить нужно одну единственную программу).
p.s. выпуск daily еще не налажен?

про необходимость переименования - гораздо понятнее, когда на диске находятся троянцы с одним именем, но с разными версиями. и ставит в тупик, когда находится десяток различных имен (а на самом-то деле ловить нужно одну единственную программу).
p.s. выпуск daily еще не налажен?
Учитывая что Олег занимается программой один, думаю будет намного разумнее если он будет тратить время на её усовершенствование и пополнение баз, а не на постоянное переименование находимых "зверей".

Учитывая что Олег занимается программой один, думаю будет намного разумнее если он будет тратить время на её усовершенствование и пополнение баз, а не на постоянное переименование находимых "зверей".
кто-то мешает ему помочь? или Олег сам против?

Учитывая что Олег занимается программой один, думаю будет намного разумнее если он будет тратить время на её усовершенствование и пополнение баз, а не на постоянное переименование находимых "зверей".
Я вот поэтому и не трачу на это время - дело в том, что меня больше интересует праввильное отнесение к классу (например, Dialer), а дальше уже конкретное название мелочи (периодически конечно я причесываю базу, но не системно). Тут очень много исключений - например, несколько компонент AdWare.BetterInternet тот-же KAV считает троянами (и правильно по сути считает), причем с разными именами. Некоторые Dialer идут как Trojan.Dialer.<буквы> ... а многие известные ввобще идут как Diualer.Gen - поскольку аналитикам явно лень их относить к некому классу.
MOCT
Помочь в разгребании базы очень непросто - там около 17 тыс. записаей без повторов,

Тогда вопрос такой. С целью индентификации и исследования (скажем какой вредоносный/чистый драйвер, нужно получить его код для внесения в базу) можно ли сделать дамп этого драйвера на диск?
Дамп сделать можно - и опознавать потом по этому дампу ...

Я вот поэтому и не трачу на это время - дело в том, что меня больше интересует праввильное отнесение к классу (например, Dialer),
...
Помочь в разгребании базы очень непросто - там около 17 тыс. записаей без повторов,
Я, в свое время, приводил примеры, когда и классы путают.

По поводу базы - я никогда и не говорил, что нужно все бросить и только и заниматься как переименовыванием записей. Также я не говорил, что следить за этим должен сам автор. Но когда курьезные наименования выявляются кем-либо, то не так сложно их переименовать. Надеюсь, что я не заблуждаюсь.

Бага.
Винда находится d:\win_xp
АВЗ запускают из e:\virus\Инфо\backdoor_win32_rbot-gen\avz3\avz3\avz.exe
В результате имеем
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WIN_XP\system32\ntoskrnl.exe)

Есть предложение по базе безопасных файлов - в дистрибутивах, например, винды, офиса, есть куча cab-ов, chm-ов. Да и в установленном офисе CHM есть кучей. Они однозначно типовые и пользователем не меняются. Может, стоило бы определять их по контрольной сумме и внутрь не лезть?

Есть предложение по базе безопасных файлов - в дистрибутивах, например, винды, офиса, есть куча cab-ов, chm-ов. Да и в установленном офисе CHM есть кучей. Они однозначно типовые и пользователем не меняются. Может, стоило бы определять их по контрольной сумме и внутрь не лезть?
Я думаю по этому поводу - но AVZ проверяет контролльную сумму всего файла, и расчет суммы может быть сопоставим с проверкой файла по нагрузке на систему. Тут есть другая идея - контролировать размер - если файл с таким размером есть, то CRC первых 2 кб, последних 2 кб - при его совпадении CRC всего файла. Тогда ускорение будет, причем существенное.

А планируется ли в логах AVZ отображать ссылки на гадосодержащие сайты аналогично hijackthis?

Я думаю по этому поводу - но AVZ проверяет контролльную сумму всего файла, и расчет суммы может быть сопоставим с проверкой файла по нагрузке на систему. Тут есть другая идея - контролировать размер - если файл с таким размером есть, то CRC первых 2 кб, последних 2 кб - при его совпадении CRC всего файла. Тогда ускорение будет, причем существенное. :good:

Ну вряд ли проверка КАЖДОГО файла из тех 200 шт, содержащихся внутри какого либо CHM будет сопоставимой с 1/200 проверки контрольной суммы самого CHM. Файл нужно извлечь в temp, etc. А если ещё и какой нибудь резидентный сканер работает.... :(
А CRC первых и последних 2 кб можно использовать как ключ для поиска файла в базе. Полную CRC надо обязательно считать для тех архивов, у которых нет глобального каталога и нет внутренней CRC, входящей в глобальный каталог.

Я думаю по этому поводу - но AVZ проверяет контролльную сумму всего файла, и расчет суммы может быть сопоставим с проверкой файла по нагрузке на систему. Тут есть другая идея - контролировать размер - если файл с таким размером есть, то CRC первых 2 кб, последних 2 кб - при его совпадении CRC всего файла. Тогда ускорение будет, причем существенное.
таким образом база безопасных файлов вырастем втрое: нужно быдет хранить 3 CRC вместо одного. может обойтись всего двумя CRC?

предлагаю оптимизацию: считается CRC начала файла, дойдя до 2-килобайтовой границы сравнивается с базой, если в базе 2-килобайтных сигнатур она есть, то _продолжается_ процесс подсчета CRC для всего файла (чтобы первые 2 килобайта дважды не пересчитывать).

и еще - считать 2-килобайтовую CRC не для всех подряд файлов, а только для файлов определенной внутренней структуры (типа CHM или CAB).

...

и еще - считать 2-килобайтовую CRC не для всех подряд файлов, а только для файлов определенной внутренней структуры (типа CHM или CAB).
:yes_2:
Ну безусловно, об этом я и говорил в своём первом сообщении (http://virusinfo.info/showpost.php?p=55785&postcount=139). :)

:yes_2:
Ну безусловно, об этом я и говорил в своём первом сообщении (http://virusinfo.info/showpost.php?p=55785&postcount=139). :)
я добавил свой голос в копилку ;-)

еще желательно добавлять ZIP-архивы из Java (%WINDIR%\JAVA\Packages\)

Просмотр карантина->Автодобавление->Пуск
Несколько раз подряд ближе к финалу автодобавления
Access violation at address 004048b4 in module "avz.exe" Write of address 0000000c
Потом все нормально.

Может я чего недопонял, но по ходу в версии 3.80.2 нету автообновления баз, а на сайте я их как-то в упор не нахожу :( Неужели нужно каждый раз скачивать прогу заново ради обновления баз??? Так же никакого инета не напасёсси. :(

Речь идет об автодобавлении в карантин. Обновления баз в AVZ нет.
AVZ в среднем обновляется раз в две недели. 2мб трафика в месяц- не очень страшно ;)

Обновления баз нет "здесь и сейчас", поскольку сама программа всё ещё очень интенсивно меняется вместе с форматом самих баз. Как устаканится - будут и отдельные обновления.

Можно ли добавить в AVZ сканирование по сети? Или это можно как-нибудь сделать в данной версии? Очень нужно. Заранее спасибо.