Продолжение темы.
Начало: http://virusinfo.info/showthread.php?t=1356


Кстати, в направлении уменьшения размера баз ведутся какие-то работы? А то уж больно разрослись.
начаты конкретные мероприятия по уменьшению количества записей в базе без потери качества детектирования. сегодня первый реальный шаг: -3.000, будем продолжать. в ближайших версиях в планах есть отказ от счётчика вообще, чтобы не смущать пользователей скачками цифр ;)

начаты конкретные мероприятия по уменьшению количества записей в базе без потери качества детектирования. сегодня первый реальный шаг: -3.000, будем продолжать. в ближайших версиях в планах есть отказ от счётчика вообще, чтобы не смущать пользователей скачками цифр ;)

Надеюсь, это не выкидывание процедур восстановления (лечения) результатов поражения (во, блин, загнул ;-))) достаточно древних "гадов".

Dr.Xmas
Кинь плз линк на текущую бету GUI, а то вот тестирую консольку, интересно еще поганять монитор.

P.S. Не помню, писал ли что готов стать бетатестером.

Dr.Xmas
Кинь плз линк на текущую бету GUI, а то вот тестирую консольку, интересно еще поганять монитор.

P.S. Не помню, писал ли что готов стать бетатестером.
Для установки бета версии Комплекса нужно взять инсталляцию с Сайта http://anti-virus.by/download/products/ (лучше для раб. станции) , установить путь обновления www.anti-virus.by/beta/update/ и обновить программу. Если у Вас нет ключа для полной бета - версии, то ознакомтесь с http://anti-virus.by/download/beta/ .

HA
Спасибо за подсказку :)

Доступны для обновления доработанный Карантин (многие пожелания уже реализованы), и антидозвонщик.... По возможности, обратите внимание именно на эти два компонента. Ждем замечания по работоспособности.

Ждем замечания по работоспособности.
Антидиалер работает нормально.
Хотелось бы иметь возможность временно отключать его (не просто «не блокировать попытки дозвона», а убирать из автозагрузки).

Антидиалер работает нормально.
Хотелось бы иметь возможность временно отключать его (не просто «не блокировать попытки дозвона», а убирать из автозагрузки).
Спасибо. Предложение принимается. Постараемся реализовать.

к разработчкикам VBA32
Высылал Вам вот уже пару дней назад файлик crack.zip, запароленный с паролем virus и пока никакой реакции.
На сей раз предыдущий и еще один файлик в архиве virus.zip с паролем virus. Оба этих вируса VBA32 не распознает (надеюсь пока).

Кстати, да. Исключая все горящие "угрозы", которые обрабатываются в первую очередь, хочется понять алгоритм обработки поступающих образцов.
Понятно, что зараза сыпется в огромных количествах и аналитики не сидят без работы.
================================================== ===================
2 Grey: А отправляли Вы через Карантин или почтой?
В карантине в настоящее время реализован весьма удобный метод отсылки образцов на анализ.

И мне что-то с [email protected] не отвечают :) Напишу-ка я сюда :). Иногда при проверке tar с вложенными другими архивами в vba32 что-то слетает и он проверяет файлы дважды.

Кстати, да. Исключая все горящие "угрозы", которые обрабатываются в первую очередь, хочется понять алгоритм обработки поступающих образцов.
Понятно, что зараза сыпется в огромных количествах и аналитики не сидят без работы.

валится действительно много и непрерывно :\ есть несколько стратегий, как поступить с образцом. если образец действительно "горячий" (эпидемия, заражены компьютеры крупного предприятия), приоритет самый высокий плоть по выпуска внеочередного апдейта. если образец детектируется эвристикой и его уже задетектил какой-то антивирус (тем самым подтвердив предположение эвристики), вирус вставляется с минимальным временем на анализ. что-то "высаживаем" на специально подготовленных компьютерах, чтобы получить экземпляры. что-то изучаем в отладчиках и дизассемблерах. что-то с минимальным проритетом оседает в коллекцию для последующего изучения.

валится действительно много и непрерывно :\ есть несколько стратегий, как поступить с образцом. если образец действительно "горячий" (эпидемия, заражены компьютеры крупного предприятия), приоритет самый высокий плоть по выпуска внеочередного апдейта. если образец детектируется эвристикой и его уже задетектил какой-то антивирус (тем самым подтвердив предположение эвристики), вирус вставляется с минимальным временем на анализ. что-то "высаживаем" на специально подготовленных компьютерах, чтобы получить экземпляры. что-то изучаем в отладчиках и дизассемблерах. что-то с минимальным проритетом оседает в коллекцию для последующего изучения.

Я так и предполагал ;-0). Спасибо. Тогда вопрос: необходимо ли периодически направлять недетектируемые образцы аналитикам или полученные один раз они гарантированно будут обработаны со временем? А то забанят, нафик ;-))) за спам...

к разработчкикам VBA32
Высылал Вам вот уже пару дней назад файлик crack.zip, запароленный с паролем virus и пока никакой реакции.
На сей раз предыдущий и еще один файлик в архиве virus.zip с паролем virus. Оба этих вируса VBA32 не распознает (надеюсь пока).
crack.zip есть, троян будет вставлен в следующий апдейт, virus.zip найти не удалось. когда (хотя бы примерно) и на какой почтовый ящик было послано письмо?

Я так и предполагал ;-0). Спасибо. Тогда вопрос: необходимо ли периодически направлять недетектируемые образцы аналитикам или полученные один раз они гарантированно будут обработаны со временем? А то забанят, нафик ;-))) за спам...
никто банить не будет ;) напротив, лёгкие пинки и тычки приветствуются. бывает, перепоручаем друг другу с чем-то разобраться и.... нет, мы конечно не забываем об этом вообще ;) лучше, если у письма будет чётко выраженная тема и толковый текст. как правило, письма валятся вообще без текста с прикреплёнными архивами. сидим, гадаем, что автор от нас хотел ;)

Спасибо! Вот и чудненько ;-)))).

Файл один и тот же, но из-за разницы в названии директорий, скопирован в карантин 2 раза.

13:52:12 16-10-2005 Монитор загружен
13:52:12 16-10-2005 Пользователь: Official beta tester
13:52:12 16-10-2005 Лицензия №000000119 Действительна до 30.11.2005
13:52:12 16-10-2005 Компьютер: ORG
13:52:12 16-10-2005 Система: Windows XP
13:52:12 16-10-2005 Vba32 WinNT Workstation 3.10.5 beta / 14.10.2005 (Vba32.NT.W)
13:52:12 16-10-2005 Загружено 112850 моделей вирусов.
13:52:12 16-10-2005 Монитор включен
13:56:26 16-10-2005 F:\WINDOWS\system32\Drivers\AMBRIM.sys : похож на Backdoor.Robobot.1 (paranoid heuristics)
14:00:07 16-10-2005 Монитор выгружен

10:55:33 17-10-2005 Монитор загружен
10:55:33 17-10-2005 Пользователь: Official beta tester
10:55:33 17-10-2005 Лицензия №000000119 Действительна до 30.11.2005
10:55:33 17-10-2005 Компьютер: ORG
10:55:33 17-10-2005 Система: Windows XP
10:55:33 17-10-2005 Vba32 WinNT Workstation 3.10.5 beta / 14.10.2005 (Vba32.NT.W)
10:55:33 17-10-2005 Загружено 112850 моделей вирусов.
10:55:33 17-10-2005 Монитор включен
15:42:57 17-10-2005 F:\WINDOWS\system32\drivers\AMBRIM.sys : похож на Backdoor.Robobot.1 (paranoid heuristics)

Почему отличаются директории?

И мне что-то с [email protected] не отвечают :) Напишу-ка я сюда :). Иногда при проверке tar с вложенными другими архивами в vba32 что-то слетает и он проверяет файлы дважды.
Есть такое. Спасибо, исправим.

Спасибо Kertis. Действительно в Карантине в подобных случаях - появляются две записи. Файл в Карантине сохраняется один. Будем исправлять.

лучше, если у письма будет чётко выраженная тема и толковый текст. как правило, письма валятся вообще без текста с прикреплёнными архивами. сидим, гадаем, что автор от нас хотел ;)как Что? Прикреплённое файло следует схватить, засунуть в virustotal и наблюдать результаты ;) ... Хмм... что-то я забыл... Когда из карантина отправляю файл, к нему каммент цеплять можно?

По карантину следующие пожелания:

Просто жизненно необходимо увеличить объем текстового поля для написания примечаний. В идеале длинна текста должна быть неограничена. Кроме того неплохо бы иметь возможности прикладывать к тексту логи и снимки экрана и сохранять описание.

При повторном добавлении файла в карантин (например при повторном сканировании) происходит сброс статуса послан Да/Нет. Наверное стоит проверять: если добавляемый файл уже имеется в карантине и не изменился, то ни обновлять его и не сбрасывать статус отправки.


Необходима возможность группировать подозрительные файлы в "пакеты", да бы разделять на группы присылаемые файлы. Например разделять скаченное разными TrojanDownloader или сгруппировать несколько образцов одного и того же вируса

Четче обозначать конец отправки файлов, например изменив цвет суммарного статусбара после окончания процесса с черного на зеленый.

Перед отправкой сжимать и подписывать образцы и у Вас уверенность в целосности и у нас экономия трафика ;)


В целом можно реализовать такой подход запаковывая образцы вирусов расположенные в одном "пакете" в архив с некоторой структурой. В эту же структуру можно добавить и описательную часть например в виде xml файлов.
В итоге должно получиться что-то наподобие:
virarch.zip
>virus
>>virus1.exe
>>virus2.exe
>>...
>>virusn.exe
>note
>>note.xml
>>log
>>>1.log
>>>2.log
>>>...
>>>n.log
>>pic
>>>pic1.jpg
>>>pic2.bmp
>>>...
>>>picn.jpg

Скрипту, получающему файл, передавать перед отправкой контрольную сумму архива.

При перезагрузке компа вдруг перестал загружаться монитор. При клике в трей - иконка disable. Загружается только в ручную.

Причём, при повторном клике на иконку загрузчика(запуск на выполнение) - иконка в трее появляется. Есть такое.

Minos
изменив цвет суммарного статусбара
прогресссёкла? Вообще да, этот момент сейчас не очень как-то.

Перед отправкой сжимать и подписывать образцы
подписывать?

Скрипту, получающему файл, передавать перед отправкой контрольную сумму архива.
если по-умному, то контрольная сумма хранится в архиве :)

При перезагрузке компа вдруг перестал загружаться монитор. При клике в трей - иконка disable. Загружается только в ручную.
можно ли уточнить условия при которых происходит такая "незагрузка" - ОС, комплектация, когда это началось.... Может еще какая особенность вспомнится... ? :)

По карантину следующие пожелания:

Просто жизненно необходимо увеличить объем текстового поля для написания примечаний. В идеале длинна текста должна быть неограничена. Кроме того неплохо бы иметь возможности прикладывать к тексту логи и снимки экрана и сохранять описание.


Длину поля увеличим. Остальное - вряд ли. Это все-таки система отправки подозрительных файлов. А скриншоты, 100-килобайтные логи - для этого всегда есть e-mail


При повторном добавлении файла в карантин (например при повторном сканировании) происходит сброс статуса послан Да/Нет. Наверное стоит проверять: если добавляемый файл уже имеется в карантине и не изменился, то ни обновлять его и не сбрасывать статус отправки.


Спасибо, исправим



Необходима возможность группировать подозрительные файлы в "пакеты", да бы разделять на группы присылаемые файлы. Например разделять скаченное разными TrojanDownloader или сгруппировать несколько образцов одного и того же вируса


Сейчас для этого можно просто отправлять группы файлов по очереди, каждой группе давать свое описание. А группировка IMHO будет нужна очень немногим, но при этом усложнит пользовательский интерфейс


Четче обозначать конец отправки файлов, например изменив цвет суммарного статусбара после окончания процесса с черного на зеленый.


ОК, поправим


Перед отправкой сжимать и подписывать образцы и у Вас уверенность в целосности и у нас экономия трафика ;)


Сжатие уже реализовано

прогресссёкла? Вообще да, этот момент сейчас не очень как-то.

Да, описался.



подписывать?
Да, открытым ключем.



если по-умному, то контрольная сумма хранится в архиве :)
Можно и так, но иногда архивы приходят в таком виде... :(, лучше передать отдельно при посылке файла

Причём, при повторном клике на иконку загрузчика(запуск на выполнение) - иконка в трее появляется. Есть такое.
Можете ли посмотреть: до клика и до появления иконки в трее есть ли процесс Vba32ldr.exe в памяти?

Можете ли посмотреть: до клика и до появления иконки в трее есть ли процесс Vba32ldr.exe в памяти?
Да, процесс в памяти есть.

Да, процесс в памяти есть.
Еще раз просьба: уточнить условия при которых происходит такая "незагрузка", а точнее непоявление иконки в трее - всегда ли, какая ОС, комплектация vba, когда это началось.... Может еще какая особенность вспомнится... ?

Происходит после запланированного рестарта, не всегда. ОС -WinXP Sp2 VL. Началось, около недели назад, может быть после одного из апдейтов MS.
VBA - VBA32 WinNT personal 3.10.4.

Происходит после запланированного рестарта, не всегда. ОС -WinXP Sp2 VL. Началось, около недели назад, может быть после одного из апдейтов MS.
VBA - VBA32 WinNT personal 3.10.4.
Похожая проблема исправлялась в бете 3.10.5. Если есть возможность - попробуйте ее. Скоро бета станет релизом.

Похожая проблема исправлялась в бете 3.10.5. Если есть возможность - попробуйте ее. Скоро бета станет релизом.
Я бы с радостью. :)
Да пока видать, опять неполадки с апдейтами.

Я бы с радостью. :)
Да пока видать, опять неполадки с апдейтами.
Для обновления до бета-версии путь к обновлениям должен быть:
http://www.anti-virus.by/beta/update/

Спасибо, поправил путь в настройках.

Очередное обновление модулей Карантина, Антидиалера, файлов помощи и языковых файлов. Учтены многие замечания и пожелания бета-тестеров. Большое спасибо за дельные предложения. Ждем сообщения об ошибках в работе модулей.

Хотелось бы НЕ видеть всплывающих окон появляющихся после каждого обновления.

Хотелось бы НЕ видеть всплывающих окон появляющихся после каждого обновления.

Диспетчер - вкладка Дополнительно - Обновление периодическое
Интерактивное - "псису" снять.

Хотелось бы НЕ видеть всплывающих окон появляющихся после каждого обновления.
Да, была такая проблема - псиса устанавливалась при ручном обновлении. Исправили. Будет повторяться, дайте знать, плз.

Не подскажите, а что сейчас с ICAP-демоном для проверки HTTP-траффика, как обстоят дела?

Интересуюсь, поскольку не получил ответа по email.

Меня интересует, ведуться ли разработки сейчас или проект как и был, так и остаёться замороженным? Обещали в октябре-ноябре продолжить разработку.

umask at yandex dot ru

Зарегистрировался как бета тестер и сейчас просканил комп.
Использовал сканер(естевственно эвристика по максимуму). Возник такой баг: Он не создал резервную копию (или не предложил сделать это) фаила в карантине. Если фаил был найден при "paranoid heuristics".
лог прилагается....

я его внес в ручную,добавил коментарии и загрузил через карантин на сервер.

Зарегистрировался как бета тестер и сейчас просканил комп.
Использовал сканер(естевственно эвристика по максимуму). Возник такой баг: Он не создал резервную копию (или не предложил сделать это) фаила в карантине. Если фаил был найден при "paranoid heuristics".
лог прилагается....
я его внес в ручную,добавил коментарии и загрузил через карантин на сервер.

Сейчас архивы которые содержат подозрительные файлы не добавляются в
Карантин, прошу не путать с подозрительными архивами.
В ближайшее время решим эту проблему.

Не подскажите, а что сейчас с ICAP-демоном для проверки HTTP-траффика, как обстоят дела?

Интересуюсь, поскольку не получил ответа по email.

Меня интересует, ведуться ли разработки сейчас или проект как и был, так и остаёться замороженным? Обещали в октябре-ноябре продолжить разработку.

разработка продолжается. о результатах будем сообщать на форуме и в новостях. а email, похоже, к нам не дошел...

Есть предложение по интерфейсу программы.
Очень долго искал "карантин". как выиснилось выйти на него можно только кликнув на иконке VBA в трее правой клавишей мыши. ИМНО,если есть диспетчер,с оконным интефейсом,то почему не вынести все управление и ссылки на компоненты туда. А то, пока найдешь...

Кстати, в новом пакете Неро 7:
C:\soft\Nero-7.0.1.2_rus.exe:<RAR>\Cab\92820133.cab:<CAB>\NeroStartSmart30AE7AA1.exe : похож на Downloader.Small.157 (paranoid heuristics)

Сам пакет не послать,100 метров. Файлик сам 4 метра...как вам его забросить? если надо.

можно и так покачать ftp://ftp.nero.com/software/nero7/Nero-7.0.1.2_rus.exe

можно и так покачать ftp://ftp.nero.com/software/nero7/Nero-7.0.1.2_rus.exe

Уже не надо. После вчерашнего апдейта перестал детектить.
Тех. поддержка работает,что Очень радует:)

Есть предложение по интерфейсу программы.
Очень долго искал "карантин". как выиснилось выйти на него можно только кликнув на иконке VBA в трее правой клавишей мыши. ИМНО,если есть диспетчер,с оконным интефейсом,то почему не вынести все управление и ссылки на компоненты туда. А то, пока найдешь...

Кстати, в новом пакете Неро 7:
C:\soft\Nero-7.0.1.2_rus.exe:<RAR>\Cab\92820133.cab:<CAB>\NeroStartSmart30AE7AA1.exe : похож на Downloader.Small.157 (paranoid heuristics)

Сам пакет не послать,100 метров. Файлик сам 4 метра...как вам его забросить? если надо.
лучше всего для передачи использовать Карантин. По возможности указывайте Ваш E-mail и причину передачи файла (можно строку из лога....)

лучше всего для передачи использовать Карантин. По возможности указывайте Ваш E-mail и причину передачи файла (можно строку из лога....)

Я так и делаю... и е-маил пишу. Иногда стараюсь дать лог с Virustotal.com о проверке файла.
Такой вопрос: А разве у вас на сервере не пишутся строки "информация и состояние", при приеме файла от пользователя с помощью карантина? Там все причины есть.

Я так и делаю... и е-маил пишу. Иногда стараюсь дать лог с Virustotal.com о проверке файла.
Такой вопрос: А разве у вас на сервере не пишутся строки "информация и состояние", при приеме файла от пользователя с помощью карантина? Там все причины есть.
Самое необходимое, что нужно от пользователя (бета-тестера) при передаче файла - это его E-mail и, конечно же, вопрос о пересылаемом объекте (к примеру, сомнение в сообщении антивируса: ложное срабатывание или же наоборот - не обнаружение). А так же желательно происхождение данного файла или принадлежность к какому либо софту... А информацию и состояние выдаваемое Комплексом мы всегда имеем возможность получить.
Еще раз спасибо Вам за присылаемые сообщения.

у меня почтовый сервер недоступен, так что пишу сюда.
Когда в карантине перепроверяю файл (архив, добавлен вручную), он получается подозрительным, но state остаётся unknown, хотелось бы, чтобы он менялся на suspicious...

у меня почтовый сервер недоступен, так что пишу сюда.
Когда в карантине перепроверяю файл (архив, добавлен вручную), он получается подозрительным, но state остаётся unknown, хотелось бы, чтобы он менялся на suspicious...
Выставьте настройки перед проверкой файла: Карантин - Файл - Проверить... - Настройки... - Изменять сведения при проверке объекта.

Умеет ли VBA32 видеть вирусы в архивах .uha (WinUHA) и .zip (WinZip 10.0) по методам PPMd , bzip2 , deflate ???

D:\MP3\Hits\Shaggy - Angel (Feat. Rayvon).mp3:<RAR>\ѕ›7лgяы’`ЪЂу;YUi FҐj¦
—m™g№©Ђ
М3-+РU$Э+Ф‡]™<ѕлgфUфd?юґ>†octяэTщЎpРАђ ’d№тA'яэ[яж‰ ар%Т4™›¦nЃє`©¦ZЄ¦eUjѕ.`7jh : защищен паролем - обработка невозможна
Вот это весело:) он мп3 почему-то открывает как rar архив. Причем только на двух мп3 у меня такое происходит. Может вам эту мп3 прислать,чтобы вы выиснили и исправили? :?

Еще похоже на ложное срабатывание:
E:\install\&RQ\&RQ.exe : похож на Trojan-Downloader.Delf.10 (paranoid heuristics). Версия клиента 0.9.7.0. В карантин вам на сервер загрузил.

Умеет ли VBA32 видеть вирусы в архивах .uha (WinUHA) и .zip (WinZip 10.0) по методам PPMd , bzip2 , deflate ???
Архивы .uha не поддерживаются, и скорее всего не будут поддерживаться в обозримом будущем. Причина проста (если я , конечно, ничего не напутал) - это новый экспериментальный формат архива, для WinUHA доступны только alpha/beta/pre версии, а релиза вроде пока нет, пишет этот архиватор студент. Думаю всего этого достаточно для того, чтобы не рекомендовать данный архиватор для сколь-нибудь серьезного использования :) Более того, я не смог найти исходников распаковщика для этого формата, а наличие исходников с лицензией, позволяющей их нам использовать - обязательное требование для поддержки форматов архивов в VBA32.

Кстати, по причине отсутствия исходников распаковщика у нас не поддерживается формат ACE (unace.dll нас не устраивает по целой куче причин, начиная от того, что антивирус должен работать еще в unix операционных системах, а также из за того, что мы не можем гарантировать качество этого кода и исправлять в нем ошибки по мере необходимости - а эксплоиты для ACE уже были). Для любого архиватора правилом хорошего тона является наличие свободных исходников распаковки, в противном случае данный архив просто невозможно будет распаковать на альтернативных операционных системах, либо на новых версиях существующих операционок. Например представьте себе архиватор, для которого существует только dos-версия и нет никаких исходников, в Windows x64 эти архивы распаковать уже не получится (без эмулятора dos).

Насчет WinZip, методы bzip2 и deflate поддерживаются, PPMd пока нет. Вообще одним из достоинств zip-формата является тем, что это фактически стандарт, zip-архивы можно распаковать практически где угодно. Ребята из WinZip почему-то решили избавиться от этого достоинства и начинают что-то изобретать. Если так неймется, начали бы лучше разрабатывать новый формат архива.

Вообще меня давно интересует вопрос. Кто-то пытался хотя бы приблизительно прикинуть что лучше в плане быстродействия, совершенствовать эмулятор, что бы он распаковывал все паковщики, или писать отдельный распаковщик для каждого пакера, как это делают, к примеру, ЛК?

По поводу МР3 и нахождения в них архива.....
Хотелось бы их увидеть (услышать :) ) , а то так трудно сказать..... И, второе, если можно укажите параметры сканирования (ключи).

По поводу МР3 и нахождения в них архива.....
Хотелось бы их увидеть (услышать :) ) , а то так трудно сказать..... И, второе, если можно укажите параметры сканирования (ключи).

ссылка на одну из мп3: http://www.megaupload.com/?d=3KFLFLGG
Насчет опций - я пользуюсь оконной версией сканера(не консоль). поэтому с ключами как-то сложновато... Вообщем, настройки по максимуму:) Поэксперементировав немного,заметил что данная вещь возникает,когда установлен флажок "избыточный режим" + "обрабатывать архивы". Уровень эвристики никак не влияет.

Хм, истек срок ключа.

Вообще меня давно интересует вопрос.А вот меня тоже интересует такой каверзный вопрос. Что мешает сделать супермега-анализатор кода, который бы детектил все виды вирусной активности (их ведь не так уж и много)? Это очень сложно (я, конечно, понимаю, что это непросто) или ресурсы будет жрать немеряно или разрабы денежек лишатся?

А вот меня тоже интересует такой каверзный вопрос. Что мешает сделать супермега-анализатор кода, который бы детектил все виды вирусной активности (их ведь не так уж и много)? Это очень сложно (я, конечно, понимаю, что это непросто) или ресурсы будет жрать немеряно или разрабы денежек лишатся?
о чём вообще-то вопрос? активность в операционной системе? анализ конкретного файла? внешние сетевые атаки?

Вообще меня давно интересует вопрос. Кто-то пытался хотя бы приблизительно прикинуть что лучше в плане быстродействия, совершенствовать эмулятор, что бы он распаковывал все паковщики, или писать отдельный распаковщик для каждого пакера, как это делают, к примеру, ЛК?

ИМНО, вообще логично было бы предположить,что создание более совершенного анализатора (эмулятора) в итоге станет очень весомым плюсом антивируса. Благодаря тому,что не надо будет ждать когда обновяться базы с наличием нового пакера,а сможет сразу определить (или хотя бы заподозрить) вирус. Есть сферы,где лучше перебдеть... Еще аргумент в пользу совершенствования эмулятора в том,что изменение hex editorom заголовка файла сжатого пакером,может привести к тому,что антивирь просто не будет его обрабатывать и пропустит :( Тесты на такую тему проводились,результат не радует...


А вот меня тоже интересует такой каверзный вопрос. Что мешает сделать супермега-анализатор кода, который бы детектил все виды вирусной активности (их ведь не так уж и много)? Это очень сложно (я, конечно, понимаю, что это непросто) или ресурсы будет жрать немеряно или разрабы денежек лишатся?

ИМНО,во-первых сложность написания такого эмулятора,а также алгоритма его работы. По сути,чем в дальше в разработку,тем больше анализатор(эмулятор) будет приближаться к искуственному интелекту по сложности и функциональности. Во вторых его ресурсоемкость, в третьих скорость(время обработки). Хотя второй и третий пункт в связи быстродейсвием нынешнего поколения ПК, отходит на второй план.
А денег разработчики явно не лишаться,а даже получат больше в разы.

ссылка на одну из мп3: http://www.megaupload.com/?d=3KFLFLGG
Насчет опций - я пользуюсь оконной версией сканера(не консоль). поэтому с ключами как-то сложновато... Вообщем, настройки по максимуму:) Поэксперементировав немного,заметил что данная вещь возникает,когда установлен флажок "избыточный режим" + "обрабатывать архивы". Уровень эвристики никак не влияет.

Действительно, так может быть. Сканер в избыточном режиме пытается обработать весь файл в поиске сигнатур - "за чтобы зацепиться".....
Вот и находит среди случайных данных, коей и является МР3, сигнатуры от архиватора, пытается в него зайти, а архив - некорректный...... Вот и ругается.... Такое в избыточном режиме возможно, и на данный момент допустимо.

о чём вообще-то вопрос? активность в операционной системе? анализ конкретного файла? внешние сетевые атаки?про анализатор кода, про замену сигнатур элементами искусственного интеллекта :) (ну это очень сильно сказано)

Во вторых его ресурсоемкость, в третьих скорость(время обработки).вот и хотелось бы узнать; не очевидно, что это будет очень тормозным :) хотя... например, ида может работать над файлом минутами, а может, и часами. Это, конечно, тянет на отдельное нехилое исследование... вдруг в вба что-то такое проводили?

VBA32P beta 3.10.5
При отправке и получении почты c вирусом через Outlook 11(2003) при включеном POP3 фильтр(обезвреживать) вирус уходит и приходит...
Работает только Outlook модуль( работает правильно)...хотя в хелпе Vba32 POP3-фильтр обеспечивает защиту любых почтовых клиентов, принимающих сообщения по протоколу РОР3 (Outlook Express, The Bat!, MS Outlook и других).
Получаются непонятки( при умолчании Outlook модуль не ставится и можно подумать , что вирусы отлавливает POP3... и соответственно модуль продолжает работать при on-off POP3 ...может его вообще убрать???

про анализатор кода, про замену сигнатур элементами искусственного интеллекта (ну это очень сильно сказано)
Я говорил не о замене сигнатур,а о методах работы с ними. Ведь анализатор(эмулятор) это не только сигнатуры...
Но не будем флудить тему,здесь обсуждаеться конкретный антивирус и его бета тестирование. В любом другом месте, с удовольствием побеседую на данную тему.


Получаются непонятки( при умолчании Outlook модуль не ставится и можно подумать , что вирусы отлавливает POP3... и соответственно модуль продолжает работать при on-off POP3 ...может его вообще убрать???

Этот Pop3 модуль и обеспечивает защиту ВСЕХ почтовых клиентов. Но если у пользователя есть Bat или Outlook, то можно посадить плагин под них(не сажая Pop3 модуль).

, в Windows x64 эти архивы распаковать уже не получится (без эмулятора dos).

Насчет WinZip, методы bzip2 и deflate поддерживаются, PPMd пока нет. Вообще одним из достоинств zip-формата является тем, что это фактически стандарт, zip-архивы можно распаковать практически где угодно. Ребята из WinZip почему-то решили избавиться от этого достоинства и начинают что-то изобретать. Если так неймется, начали бы лучше разрабатывать новый формат архива.
Ну чтож ждем добавления PPMd...
А как кстати для Windows XP64 продукт будет?NOD уже сделал,Dr.Web тормозит ...и если кстати ключик покупать он с Windows XP64 будет работать или нужно покупать новый будет?

Этот Pop3 модуль и обеспечивает защиту ВСЕХ почтовых клиентов. Но если у пользователя есть Bat или Outlook, то можно посадить плагин под них(не сажая Pop3 модуль).
POP модуль у меня вообще ничего не защищает...только Outlook плагин работает...и ему наплевать включен модуль или нет...

В качестве рекламы и спокойствия получателей писем неплохо-бы добавить опцию возможности подписывать письма(Вирусов нет. VBA32 база 130512 от 02,12,05)

Собственно Subj.

Кстати, предпологаются усовершенствования которые позволят удалять зверей типа Look2me?

1/ Если включить @ обрабатывать только новые файлы @ , то комп не тормозит-уже получается довольно приличная скорость работы,НО входим в папку с вирусом, делаем EXECUTE(запуск ) и он запускается!!!...монитор срабатывает только на MOVE(перемещение).
отключаем @ обрабатывать только новые файлы @, комп страшно тормозит, но при открытии папки с вирусом сразу его прехватывает.
Должна же быть проверка запускаемых файлов....
2/ В (типовой набор файлов) не входит .ini
А как mIRC вирусы будут ловиться?

1/ Если включить @ обрабатывать только новые файлы @ , то комп не тормозит-уже получается довольно приличная скорость работы,НО входим в папку с вирусом, делаем EXECUTE(запуск ) и он запускается!!!...монитор срабатывает только на MOVE(перемещение).
отключаем @ обрабатывать только новые файлы @, комп страшно тормозит, но при открытии папки с вирусом сразу его прехватывает.
Должна же быть проверка запускаемых файлов....

Когда открывается документ Word с макровирусом - это тоже запуск на выполнение...
Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно. Или третий вариант - выстраивать свой аналог iChecker (а потом юзеры будут стучать разработчикам по голове из-за потоков NTFS, или хранимых где-то отдельно таблиц, или отжирания памяти под динамические таблицы).

Когда открывается документ Word с макровирусом - это тоже запуск на выполнение...
Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно. Или третий вариант - выстраивать свой аналог iChecker (а потом юзеры будут стучать разработчикам по голове из-за потоков NTFS, или хранимых где-то отдельно таблиц, или отжирания памяти под динамические таблицы).
Объяснение понятно...Интересно , что у ПАУКА 4.33 тормозит только (расширенный режим), зато (проверять работающие программы и модули) работает шустро !!! ...(((При установленной галке проверяются все загруженные в память
программы и модули.
Проверка производится в фоновом режиме при изменении
конфигурации спайдера и/или обновлении вирусных баз.))) и такого безобразия вроде бы нет и все перехватывается на лету.

Интересно , что у ПАУКА 4.33 тормозит только (расширенный режим),
Не только. Обычный неоптимальный "Запуск и открытие" ещё более тормозной, поскольку в нём проверка синхронная, а не отложенная, как при расширенной защите.


зато (проверять работающие программы и модули) работает шустро !!! ...(((При установленной галке проверяются все загруженные в память
программы и модули.
Проверка производится в фоновом режиме при изменении
конфигурации спайдера и/или обновлении вирусных баз.)))
Вот именно - это не так уж часто происходит. Кто специально следил - говорят, что притормаживает таки.

Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно...
а ведь какие режимы могли бы быть:'-(
1.оптимальный ("Создание и запись")
2.максимальный("создание и запись"+"запуск и открытие")
3.пользовательский
-"Создание и запись"
-"Запуск" без открытия,т.е не проверять файлы в папке при ее открытии, а только срабатывать при запуске конкретного файла

-"Запуск" без открытия,т.е не проверять файлы в папке при ее открытии, а только срабатывать при запуске конкретного файла
Для макровируса в документе Word Запуск = Открытие (Word открывает документ и уже в нём начинает интерпретацию макросов). Да и вообще для всего, что не является COM/EXE.

notepad.exe и wscript.exe оба просто открывают .js, но дальше начинают вести себя по-разному :)

Сегодня снова обновление на 6 метров... Ждём коментариев разработчиков :)

Сегодня снова обновление на 6 метров... Ждём коментариев разработчиков :)
выложена бета новой версии 3.11. новый скриптовый движок, новый формат баз, дэйли апдейта больше не будет: каждая база будет обновляться дельта-патчингом самостоятельно. завтра может будет более расширенный список изменений...

Ого, круто!
Жаль только трафика мало осталось, так что придётся всему этому великолепию малость обождать :)

Dr.Xmas
И сами базы "поредели", если вчера еще было около 130тыс записей, то сейчас сообщает только о 110тыс. С чем это связано? Может теперь некоторые вирусы пакованные разными пакерами распознаются как один?
Да, и на первый взгляд теперь загрузка вирусной базы происходит дольше, но это на первый взгляд, нужно еще раз потестить, а то 3.10.5 бета была переписана поверху новой :)

Dr.Xmas
И сами базы "поредели", если вчера еще было около 130тыс записей, то сейчас сообщает только о 110тыс. С чем это связано? Может теперь некоторые вирусы пакованные разными пакерами распознаются как один?
Да, и на первый взгляд теперь загрузка вирусной базы происходит дольше, но это на первый взгляд, нужно еще раз потестить, а то 3.10.5 бета была переписана поверху новой :)
мы давно мечтали перевыпустить базы ;) это не сопровождение предыдущих баз, а сформированы новые. счётчик будет постоянно плавать, и чтобы не смущать пользователей, отрежем счётчик вообще :)

Dr.Xmas


отрежем счётчик вообще
как и другие антивири? Счетчик и в самом деле не обязателен, я по нем иногдатолько смотрю обновилась ли база али нет :)
Тогда было б не плохо добавить в консоли параметр для вывода списка всех детектируемых вирей, а еще как вариант отдельно список всех какие VBA32 сможет вылечить (остальные значит просто будт удалять).

выложена бета новой версии 3.11. новый скриптовый движок, новый формат баз, дэйли апдейта больше не будет: каждая база будет обновляться дельта-патчингом самостоятельно. завтра может будет более расширенный список изменений...

Скачал,быстрее и лучше работает... А в планах есть улучшение функциональности интерфейса диспечера?
Кстати,а планируется ли поддержка альтернативных браузеров,например firefox или опера, в проверке скриптов? а то все cканирование только для IE.


POP модуль у меня вообще ничего не защищает...только Outlook плагин работает...и ему наплевать включен модуль или нет...

А ты логи посмотри... работает он или не работает.

выложена бета новой версии 3.11. новый скриптовый движок, новый формат баз, дэйли апдейта больше не будет: каждая база будет обновляться дельта-патчингом самостоятельно. завтра может будет более расширенный список изменений...
А к консольному сканеру под win это относится?

А к консольному сканеру под win это относится?
Да. Обновляйтесь и запускайте.

Да. Обновляйтесь и запускайте.
Обновился.
Standalone Console scanner :
--------------------------------------------
│ VirusBlokAda (Console scanner) ║
│ Vba32 Windows/CL 3.10.5 / 07.12.2005 (Vba32.W) ║
│ Copyright (c) 1993-2005 by VBA Ltd. ║

User: Official beta tester
System: Windows XP

Loaded 130951 virus definitions.
----------------------------

Обновился.
Standalone Console scanner :
--------------------------------------------
│ VirusBlokAda (Console scanner) ║
│ Vba32 Windows/CL 3.10.5 / 07.12.2005 (Vba32.W) ║
│ Copyright (c) 1993-2005 by VBA Ltd. ║

----------------------------
Создайте, плз, update.bat со строкой
@vbaupdx.exe http://www.anti-virus.by/beta/update/
положите его в каталог с консольным сканером и обновитесь.
Вы, судя по всему, обновлялись с релизного пути.
http://www.anti-virus.by/update/ - это релиз.

Я так понимаю что на ФТП еще не пересобраная бетка лежит. Может стоит пересобранную выложить? Людям качать меньше.

Такая идея родилась при работе с карантином: может стоит добавить возможность подхватывать файлы при drag-and-drop перетаскивание? Будет удобнее, чем искать только что подготовленные образцы через окно добавить.
Второй момент, при пересылке файлов суммарный индикатор процесса имеет смысл передвигать пропорцианально переданному объему информации, а ни количеству файлов. А то при сильной разнице в объеме файлов несколько сбивает с толку.

Я так понимаю что на ФТП еще не пересобраная бетка лежит. Может стоит пересобранную выложить? Людям качать меньше.
выложим, сейчас будет ещё один фикс, после него завернём в архив

Вот кусок лога, к-рый мне кажется забавным

Program settings:
/r+vba.log /l=vba32.lst /ha=3 /collect_suspects /pm+ /af+ /fc+ /fd+ /ar+ /qu+ /ok+ /ml+ /rw+

Loaded 109369 virus definitions.
.
.\A571AC70[1].JS : deleted
.\A571AC70[1].JS : is suspected of Trojan-Downloader.JS.Small.af(1) [86] (1.000)
файл сначала удален, потом объявлен подозрительным с вероятностью 1, как я понимаю :). Так и должно быть?

Вот кусок лога, к-рый мне кажется забавным

Program settings:
/r+vba.log /l=vba32.lst /ha=3 /collect_suspects /pm+ /af+ /fc+ /fd+ /ar+ /qu+ /ok+ /ml+ /rw+

Loaded 109369 virus definitions.
.
.\A571AC70[1].JS : deleted
.\A571AC70[1].JS : is suspected of Trojan-Downloader.JS.Small.af(1) [86] (1.000)
файл сначала удален, потом объявлен подозрительным с вероятностью 1, как я понимаю :). Так и должно быть?
В бете на данный момент - да. Если Вы будете использовать в командной строке только документированные ключи (а не строку из технологического батника)- то выводимая информация будет иная. Код обезвреживания (лечения) пока не подключен для скриптовых вирусов. Действие, заданное ключами ком. строки - выдается, а после не подключенного обезвреживания, идет перепроверка и, вирус обнаруживается снова.... Из-за ключа /collect_suspects - выводится информация от эвристика (в данном случае, как Вы и отметили, с вероятностью 1).

Обнаружил интересную вешь: сейчас не детектятся Passview, Openpass и тд. пишет,что файлики чистые. Теперь антивирус не будер реагировать на программы такого типа?
Повторюсь:
Планируется ли поддержка альтернативных браузеров,например firefox или опера, в проверке сайтов и скриптов? а то все cканирование только для IE.

Из-за ключа /collect_suspects - выводится информация от эвристика (в данном случае, как Вы и отметили, с вероятностью 1).
Вот это совершенно непонятно. Почему с максимальной эвристикой /ha=3, но без /collect_suspects vba-beta однозначно определяет вирус и пишет infected, а когда добавляешь /collect_suspects, vba-beta "забывает" про этот вирус, пишет только suspected и добавляет в susp.zip. Я же вам хотел помочь :), выслать suspected - а зачем вам уже известные звери?

Обнаружил интересную вешь: сейчас не детектятся Passview, Openpass и тд. пишет,что файлики чистые. Теперь антивирус не будер реагировать на программы такого типа?

да, не будет



Повторюсь:
Планируется ли поддержка альтернативных браузеров,например firefox или опера, в проверке сайтов и скриптов? а то все cканирование только для IE.
идея хорошая и интересная. но сейчас конец года, завершение и сдача всевозможных проектов. после Нового года обсудим это на внутреннем совещании и определим сроки создания такого модуля

Вот это совершенно непонятно. Почему с максимальной эвристикой /ha=3, но без /collect_suspects vba-beta однозначно определяет вирус и пишет infected, а когда добавляешь /collect_suspects, vba-beta "забывает" про этот вирус, пишет только suspected и добавляет в susp.zip. Я же вам хотел помочь :), выслать suspected - а зачем вам уже известные звери?
На данном этапе в бета-версии идет отладка скриптового куска (обнаружение, скорость, стабильность и, конечно, возможные ложные срабатывания). Нам пока интересны все файлы, которые попадут в susp.zip. Так что большое спасибо за присылаемые файлы, Вашу помощь и Ваше внимание к продукту. В дальнейшем - известные вирусы, как и в предыдущих бетах, не будут попадать в susp.zip.

Я так понимаю что на ФТП еще не пересобраная бетка лежит. Может стоит пересобранную выложить? Людям качать меньше.
ftp://anti-virus.by/pub/vba32-console-scanner-beta-20051212.zip

Не совсем согласен с вышесказанным.Пользователи ВБА-это люди с нестандартным мышлением и подходом к софту.Именно такие люди ищут альтернативу майкрософтовским и симантековским продуктам.Не берусь утверждать,но подозреваю,что значительная часть пользователей ВБА сидит на опере и лисе.Стандартная веб-публика сидит на ИЕ и пользуется нортонами-макафями-трендмикрами и альтернатвыи (вроде ВБА)не ищет.Так что пользователей оперы"Лиса" можно и уважить

Не совсем согласен с вышесказанным.Пользователи ВБА-это люди с нестандартным мышлением и подходом к софту.Именно такие люди ищут альтернативу майкрософтовским и симантековским продуктам.Не берусь утверждать,но подозреваю,что значительная часть пользователей ВБА сидит на опере и лисе.Стандартная веб-публика сидит на ИЕ и пользуется нортонами-макафями-трендмикрами и альтернатвыи (вроде ВБА)не ищет.Так что пользователей оперы"Лиса" можно и уважить
;) разве кто спорит? речь только о том, что есть планы разработки, о которых пользователи не знают (кое о чём им и не следует знать ;) ). вот в эти планы и нужно "втиснуть" разработку таких модулей

Такая идея родилась при работе с карантином: может стоит добавить возможность подхватывать файлы при drag-and-drop перетаскивание? Будет удобнее, чем искать только что подготовленные образцы через окно добавить.
В ближайшее время будет сделано.

Второй момент, при пересылке файлов суммарный индикатор процесса имеет смысл передвигать пропорцианально переданному объему информации, а ни количеству файлов. А то при сильной разнице в объеме файлов несколько сбивает с толку.
С этим тож разберемся в ближайшее время.

На одной машине созданы 2 учетные записи. Загрузили компьютер, вошли под первой учетной записью, как админ. Загрузили VBA. В настройках монитора указали – «дополнительный вопрос» для действий над объектами. После чего Выходим из системы и меняем пользователя. Загрузилась учетная запись 2, тоже, как админ.
Что имеем: первое - выскакивает предупреждение о том, что комплекс VBA уже загружен под другой учетной записью, хотелось бы иметь возможность отключить это предупреждение.
И второе. Подсовываем антивирусу реальный вирус, антивирус его корректно распознает. И не получаем никаких сообщений об этом, под учетной записью 2. Заходим под первой учетной записью, и видим на экране кучу окошек – что бы вы хотели сделать с вирусом?. Логично, что решение должен принимать тот, кто установил антивирус. Но и другим пользователям системы неплохо бы знать, почему у них «файлики не запускаются». Может, другим пользователям выдавать просто предупреждение, о том, что произошло?

выскакивает предупреждение о том, что комплекс VBA уже загружен под другой учетной записьювроде ж пофиксено было?.. Дистриба какая? Персонал али Воркстейшн?

Vba32 WinNT Workstation 3.11.0 beta / 19.12.2005 (Vba32.NT.W)

идея хорошая и интересная. но сейчас конец года, завершение и сдача всевозможных проектов. после Нового года обсудим это на внутреннем совещании и определим сроки создания такого модуля

А будет ли улучшение интефейса программы?

Еще бы хотелось уменьшения времени загрузки системы,а то приходиться ждать минуты 1,5 - 2 пока антивирь проверит все компоненты. Система в этот момент недоступна...

Хотелось бы предложить идею для обсуждения:
При отправке образцов на анализ через карантин очень трудно отслеживать их статус потому, что ответы приходят только для "зверей", а результаты анализа чистых файлов остаются не известны (по крайней мере я не видел). Сами ответы содержат только вирдикт и полное название файла, а оно в системе не всегда уникально (например svchost в папку Windows добавляет больше сотни троянов) и в карантине может оказаться несколько таких файлов). По такой информации в карантине трудно ориентироваться. Кроме того, при попытке обратной связи бывает трудно объяснить о каком именно образце идет речь. В связи с этим хочу высказать ряд предложений:
для однозначной идентификации файла, позле завершения отправки образца присваивать ему уникальный номер;
что бы пользователю не гадать, файл чистый или его просто еще не успели проанализировать имеет смысл отправлять отчеты не только о зараженных файлах, но и о чистых;

P.S. можно добавить ключик к консольному сканеру для отключения компьютера после окончания сканирования, хотя бы для бета-версий?

....... Может, другим пользователям выдавать просто предупреждение, о том, что произошло?

Да, в дальнейшем будем работать над улучшением совместимости работы ВБА с многопользовательскими ОС. Комплекс в основном был (да и сейчас в своем большинстве) нацелен на корпоративных пользователей, доменную структуру сети..... Там этих проблем нет. Будем думать - улучшим....

А будет ли улучшение интефейса программы?
Еще бы хотелось уменьшения времени загрузки системы,а то приходиться ждать минуты 1,5 - 2 пока антивирь проверит все компоненты. Система в этот момент недоступна...

Улучшения происходят. Может не очень заметные.... Будет расти функциональность и информативность, будут добавляться модули и плагины. А если есть конкретные предложения по изменениям - можно на мыло ([email protected]).
Загрузка (время подгрузки баз) будет ускорена уже в начале след. недели. Уточните, плз, конфигурацию Вашего ПК и напишите, что и при выполнении каких событий наблюдается торможение..... Возможно это не проверка всех компонент (целостность), а проверка памяти, загрузчиков, подгрузка баз. Все это тоже можно на [email protected]

P.S. можно добавить ключик к консольному сканеру для отключения компьютера после окончания сканирования, хотя бы для бета-версий?
Ключика пока нет.... А вот утилка, которая выключит ваш ПК прилагается в архиве... Можно добавить ее в батник.... Ключей никаких у нее нет - при ее запуске - ПК будет выключен. Будьте внимательны.

Ключика пока нет.... А вот утилка, которая выключит ваш ПК прилагается в архиве... Можно добавить ее в батник.... Ключей никаких у нее нет - при ее запуске - ПК будет выключен. Будьте внимательны.
Спасибо за утилиту, со своей стороны могу предложить еще один способ выключения через батник - это штатная команда WindowsNT shutdown -s, обычно использую ее. Но управлять через пакетные файлы антивирусом не всегда удобно.

Обновлена Бета-версия Комплекса.
1. Учтены пожелания и предложения бета-тестеров (добавлен почтовый карантин для РОР3-фильтра, Outlook-модуля; реализован Drag-and-drop для Карантина).
2. Изменены предлагаемые действия над инфицированными объектами в РОР3-фильтре, Outlook-модуле.
3. Ускорена загрузка баз.
4. Увеличена скорость работы ядра Комплекса в результате оптимизации обработки скриптов.
5. Улучшены механизмы эвристического анализа, позволяющие обнаруживать новые и модификации (варианты) известных скриптовых ВП.
6. Улучшена скорость проверки упакованных PE-файлов, эффект особенно заметен на относительно старых машинах класса Pentium/Pentium II
7. Исправлены ошибки работы различных модулей.
По прежнему ждем замечания, предложения, ложные срабатывания и необнаруженные ВП …..

Как правильно лечить Neshta ? http://www.viruslist.com/ru/viruses/encyclopedia?virusid=105045
При заражении остаються хвосты.

Как правильно лечить Neshta ? http://www.viruslist.com/ru/viruses/encyclopedia?virusid=105045
При заражении остаються хвосты.
Нужно запустить сканер на лечение компьютера (при активном мониторе, чтобы не допустить дальнейшего распространения заразы во время сканирования).
Сам вирус содержит ошибки и в определенных случаях некорректно инфицирует файлы. Для таких файлов будет выдано сообщение "файл испорчен вирусом, лечение невозможно", соответственно данные файлы придется удалить а софт, к которым они относятся, придется переинсталлировать.

Вообще не плого было бы если бы был встроенный просмотрщик логов, или хотя бы возможность быстрого просмотра списка последних обнаруженных зверей. А то что-то где-то обнаружилось, закрыл окошко не посмотрев, а потом копай логи.

Поддерживаю Geser-а, просмоторщик логов просто не обходим, и если уже начали использовать LiteSQL, может стоит и журнал вести в форме базы данных, хотя бы для сканера.

необновляется хотя всЁ сделал по инструкциям :
После установки Комплекса на Ваш ПК в настройках Диспетчера (закладка «Дополнительно», раздел «Обновление») в поле «Путь» впишите путь для обновления до Beta-версии http://www.vba.com.by/beta/update/ и обновите .
может что та пропустил-HELP

необновляется хотя всЁ сделал по инструкциям :
После установки Комплекса на Ваш ПК в настройках Диспетчера (закладка «Дополнительно», раздел «Обновление») в поле «Путь» впишите путь для обновления до Beta-версии http://www.vba.com.by/beta/update/ и обновите .
может что та пропустил-HELP

Ответ ушел по почте. В задаваемых вопросах лучше давать выдержки из выдаваемых программой сообщений и строки из логов, чем цитаты из рекомендаций... :)

Поддерживаю Geser-а, просмоторщик логов просто не обходим, и если уже начали использовать LiteSQL, может стоит и журнал вести в форме базы данных, хотя бы для сканера.
Вообще не плого было бы если бы был встроенный просмотрщик логов, или хотя бы возможность быстрого просмотра списка последних обнаруженных зверей. А то что-то где-то обнаружилось, закрыл окошко не посмотрев, а потом копай логи.
В планах такое усовершенствование у нас есть. Приоритет повышаем, обдумываем. От вас ждем предложения по функционалу нижнего окна Сканера. Лучше на [email protected] .

Улучшения происходят. Может не очень заметные.... Будет расти функциональность и информативность, будут добавляться модули и плагины. А если есть конкретные предложения по изменениям - можно на мыло ([email protected]).
Загрузка (время подгрузки баз) будет ускорена уже в начале след. недели. Уточните, плз, конфигурацию Вашего ПК и напишите, что и при выполнении каких событий наблюдается торможение..... Возможно это не проверка всех компонент (целостность), а проверка памяти, загрузчиков, подгрузка баз. Все это тоже можно на [email protected]

Долго приходиться ждать только при загрузки системы от логон скрина виндовс до готовности. Лог я приложил (для сравнения за разные числа месяца). Монитор и сканер не тормозят. А главное, пока он не просканирует все процессы начать работать нельзя,ничего не запускается.
Моя система 2,8Ghz nortwood HT/FSB 800 Hz/2*512 ram (dual 400Hz)/40 Gb Hdd ATA133 (остальное я думаю не важно).

Долго приходиться ждать только при загрузки системы от логон скрина виндовс до готовности. Лог я приложил (для сравнения за разные числа месяца). Монитор и сканер не тормозят. А главное, пока он не просканирует все процессы начать работать нельзя,ничего не запускается.
Моя система 2,8Ghz nortwood HT/FSB 800 Hz/2*512 ram (dual 400Hz)/40 Gb Hdd ATA133 (остальное я думаю не важно).
В настройках диспетчера на закладке инициализации стоит обе галочки напротив обрабатывать память и быстрый режим?

Если нет, обязательно поставьте быстрый режим. У меня похожая картина наблюдается только на P166/16Mb, и то происходит не "подвисание", а просто затормаживание работы.

В настройках диспетчера на закладке инициализации стоит обе галочки напротив обрабатывать память и быстрый режим?

Если нет, обязательно поставьте быстрый режим. У меня похожая картина наблюдается только на P166/16Mb, и то происходит не "подвисание", а просто затормаживание работы.

Стоит все там... Я писал что комп не зависает,а тормозит минуты 1.5-2 когда идет загрузка антивиря. А потом все хорошо и жизнь прекрасна :)

Кстати,всех с наступающим! Надеюсь в следующем году наши антивирусы обеспечат такую же хорошую защиту наших копьютеров!

От вас ждем предложения по функционалу нижнего окна Сканера. Лучше на [email protected] .
Это в смысле окно результатов сканирования?
Там очень нужна возможность производить действия над тем что было найдено в результате поиска.
Лечить, удалить, поместить в карантин...
И еще, ейчас есть возможность скопировать только путь к файлу. Не плохо бы что бы мозно было и результат скопировать.

Господа бета-тестеры, появился новый ключ в известном месте - забирайте, не стесняйтесь ;-)).

Стоит все там... Я писал что комп не зависает,а тормозит минуты 1.5-2 когда идет загрузка антивиря. А потом все хорошо и жизнь прекрасна :)

Кстати,всех с наступающим! Надеюсь в следующем году наши антивирусы обеспечат такую же хорошую защиту наших копьютеров!

Да, проверка процессов весьма ресурсоемка. Будем работать над оптимизацией обработки памяти и попробуем ввести альтернативные проверки автоматически загружаемых объектов при запуске системы. Возможно это будет более приемлемо в определенных конфигурациях.
За поздравление - спасибо. Взаимно.

Не помню писалось или нет. Статус файлов в карантине после повторного сканирования не меняется :(
Кроме того, у меня в последнее время после проверки почты иконка в трее застревает с конвертиком в середине. Не понятно, то ли простой глюк, то ли письмо там застряло какое...

Здравствуйте уважаемые разработчики антивируса Vba !
Тестировал Вашу программу (движок 3.11.0) запустив heuristics-test. Впечатления очень хорошие.:D Программа работает очень быстро. ::)
Тест проводился на 12 компьютерах. На 3 компьютерах был найден вирус Win32.HLLW.BadtransII.29020. Интересно то, что NAV 2005 и Dr.Web его пропустили. Ну да ладно - это не на моей машине ! :) А вот на моей машине:
файл : is suspected of Email-Worm.Bagle.22
файл : password protected - unable to process,
хотя KAV определил его как Email-Worm.Win32.Bagle.fb.
На http://virusscan.jotti.org/ - Vba его определяет под таким же именем.:?
Нужно ли Вам переслать этот файл ?
Да и 3 вопроса и 1 пожелание:
Проблема с обновлением (версия сканера 3.11.0). Запустил update.bat - ничего. Через vbaupdx.exe /p=адрес:порт - тоже ничего. Объясните подробно как узнать, что программа обновляется. Как записать лог работы в файл ? Или узнать в чем проблема ?
Ключ до 31.12.2005 ? Значит файлы лечить Vba не будет ?
После завершения работы программа почему-то не создала архив для отправки в Вашу лабораторию ?
Пожелание:
Выложите полный список команд сканера с комментариями на русском языке и с возможными вариантами их использования. (vba32w /? на русском). Жду ответа. Спасибо.

Здравствуйте уважаемые разработчики антивируса Vba !
Тестировал Вашу программу (движок 3.11.0) запустив heuristics-test. Впечатления очень хорошие.Программа работает очень быстро.
Тест проводился на 12 компьютерах. На 3 компьютерах был найден вирус Win32.HLLW.BadtransII.29020. Интересно то, что NAV 2005 и Dr.Web его пропустили. Ну да ладно - это не на моей машине ! :) А вот на моей машине:
файл : is suspected of Email-Worm.Bagle.22
файл : password protected - unable to process,
хотя KAV определил его как Email-Worm.Win32.Bagle.fb.
На http://virusscan.jotti.org/ - Vba его определяет под таким же именем.:?
Нужно ли Вам переслать этот файл ?

+++Да, высылайте :) Причём встроенными средствами Карантина.
всё, что suspected - имеет смысл передавать Разработчикам+++

Да и 3 вопроса и 1 пожелание:
Проблема с обновлением (версия сканера 3.11.0). Запустил update.bat - ничего. Через vbaupdx.exe /p=адрес:порт - тоже ничего. Объясните подробно как узнать, что программа обновляется. Как записать лог работы в файл ? Или узнать в чем проблема ?
+++При работе через прокси необходимо создать файл, отличный от стандартного, например, update_VBA.bat . По умолчанию, любой апдейт заменяет файл update.bat на файл со стандартным содержимым.+++

+++В приложении - новый. Сделать ему расширение .key.+++

После завершения работы программа почему-то не создала архив для отправки в Вашу лабораторию ?
+++Собственно, желательно видеть, что Вы запускаете: Консольную версию или обучную Гуёвую?+++

Пожелание:
Выложите полный список команд сканера с комментариями на русском языке и с возможными вариантами их использования. (vba32w /? на русском). Жду ответа. Спасибо.

+++Например, Вас спасёт это: Vba32w.exe >aa.txt+++
==================================================
Просто Пользователь ;-))
Удачи.
P.S. Пытался сделать выделение при цитировании - пишет слишком много тегов. Уж не обессудъте ;-)).
P.P.S. Всё вышесказанное является моим ИМХО ;-0)), апробированным на моих компах.

Не помню писалось или нет. Статус файлов в карантине после повторного сканирования не меняется :(
Перед проверкой объектов в Карантине в Настройках (окно Настройки проверки) установите галочку Изменять сведения при проверке объектов.
Или это происходит в других ситуациях?


Кроме того, у меня в последнее время после проверки почты иконка в трее застревает с конвертиком в середине. Не понятно, то ли простой глюк, то ли письмо там застряло какое...
Конверт появляется на время обработки объекта. Процесс приема - последовательный, так что если почта после появления конвертика продолжает приниматься, то это не глюк и письмо застрять не должно....
Если прием почты постоянно прерывается на определенном письме, то оно нам интересно..... Примите без РОР3 и , плз, перешлите нам...

Так что же должно быть внутри update_Vba.bat ?
Запускаю консольную версию.
Vba32w.exe >aa.txt - это еще от MS-DOS, описание будет на английском.

Так что же должно быть внутри update_Vba.bat ?
Запускаю консольную версию.
Vba32w.exe >aa.txt - это еще от MS-DOS, описание будет на английском.

Пользователь: Official beta tester
Лицензия №000000119 Действительна до 31.03.2006
Запуск из командной строки:
VBA32{W|X|O}.EXE [путь] ... [путь] [/ключ] ... [/ключ],
где ПУТЬ - диск:\каталог\...\каталог\ или
*: - локальные диски, **: - сетевые диски;
@имя_файла - обработка списка файлов
КЛЮЧ - задает режимы работы программы:

/?[+|-] - вывод данной справки;
/M=1 - быстрый режим обработки;
/M=2 - безопасный режим обработки (/AF+);
/M=3 - избыточный режим обработки (/AF+ /PM+);
/AF[+|-] - все файлы;
/PM[+|-] - избыточный поиск;
/RW[+|-] - детектирование Spyware, Adware, Riskware;
/CH[+|-] - включить кэш при обработке объектов;
/FC[+|-] - обезвреживание инфицированных файлов;
..............................
Это только кусочек помощи.
По поводу содержимого - что-то вроде этого: @vbaupdx.exe http://www.anti-virus.by/update/beta/ p=10.10.10.1:3128
Vba32w.exe >aa.txt - стандартная системная команда перенаправления.

С архивированием разобрался. Оказывается если ничего подозрительного программа не нашла, то и архив не создается. Вот нашла, что-то подозрительное и создался архив по окончанию проверки. Только зачем нужен bat файл для перехода на формат 7zip ? Я так и не понял. Остальные советы проверю. Спасибо за советы Iceman. Если что не получится завтра напишу.

Да кстати консольная версия для домашних пользователей отсутствует ?
А где она присутствует ?

С архивированием разобрался. Оказывается если ничего подозрительного программа не нашла, то и архив не создается. Вот нашла, что-то подозрительное и создался архив по окончанию проверки. Только зачем нужен bat файл для перехода на формат 7zip ? Я так и не понял. Остальные советы проверю. Спасибо за советы Iceman. Если что не получится завтра напишу.

7z лучше "жмёт" файлы и "свободно-распространяемая".

Мой, чуть модифицированный файлик для проверки:

:: запуск консольного сканера на проверку всех дисков и сбор
:: подозрительных файлов
@if -%1==- goto NoParam
vba32w.exe %1 %2 %3 %4 %5 %6 %7 %8 %9 /rw/nc/bt-/as-/mr- /af/ar/ml /ha=3/collect_suspects/r=susp.rpt /l=list.txt
@goto End

:NoParam
vba32w.exe *: /rw/nc/bt-/as-/mr- /af/ar/ml /ha=3/collect_suspects/r=susp.rpt /l=list.txt

:End
:: Теперь можно запустить bat-файл 'recompress-to-7z.bat' для того,
:: чтобы конвертировать архив с собранными подозрительными файлами
:: (susp.zip) в 7-zip формат (susp.7z) для лучшей степени сжатия

Да кстати консольная версия для домашних пользователей отсутствует ?
А где она присутствует ?

с точки зрения маркетинга (ИМХО) - это отдельно распространяемый (продаваемый) продукт. Но он есть в комплекте бета-тестера ;-))) и для WS.
Пожалуйста ;0-)).
Удачи!

Перед проверкой объектов в Карантине в Настройках (окно Настройки проверки) установите галочку Изменять сведения при проверке объектов.
Или это происходит в других ситуациях?
Спасибо, не заметил. С галкой всё нормально.

Спасибо Iceman !
А вот с ключем и обновлением не получилось. Может я что-то не так делаю ? При замене ключа Vba вообще не запускается ! С обновлением тоже адрес и порт вписал но обновлений нет.

Спасибо Iceman !
А вот с ключем и обновлением не получилось. Может я что-то не так делаю ? При замене ключа Vba вообще не запускается ! С обновлением тоже адрес и порт вписал но обновлений нет.

Прикреплённый файлик (выше, VBA.txt) - сохранить в папку с установленным ВБА. Переименовать его в VBA.key. И всё будет хорошо.
И проверить путь обновления для бетки: _http://www.anti-virus.by/beta/update/

Файл переименовал. Vba не запускается говорит ключ испорчен !?

Программу вчера скачивал. Интересно почему в ней ключ устаревший ?
Где еще можно взять ключ для beta test ?

Файл переименовал. Vba не запускается говорит ключ испорчен !?
Непонятно. Можно по шагам расписать действия и выдаваемый результат? А также содержимое батника?

Удаляю старый ключ из папки и c помощью команды ren переименовываю скаченный. Или не так ?:?

Удаляю старый ключ из папки и c помощью команды ren переименовываю скаченный. Или не так ?:?
А просто 3 буквы поменять из любой оболочки, без команд?

А просто 3 буквы поменять из любой оболочки, без команд?
Как это ?

Как это ?

1. создать батник update_VBA.bat с содержимым:
@vbaupdx.exe http://www.anti-virus.by/beta/update/ /r=aa22.txt
2. Показать лог обновления. Потом дальше думать будем.

Вот лог

Вот лог
Error: Connection error - что-то мешает апдейтеру попасть сеть. Что?
какой файрвол есть? или прокси?

Error: Connection error - что-то мешает апдейтеру попасть сеть. Что?
какой файрвол есть? или прокси?
Файрволом я не пользуюсь. На диске только KAV Personal. Прокси 192.168.0.7:80 Так что же не так ?:embarasse

Файрволом я не пользуюсь. На диске только KAV Personal. Прокси 192.168.0.7:80 Так что же не так ?:embarasse
А это и предстоит выяснить ;-)).
Настройки прокси в батник внесли? Покажите, пожалуста содержимое батника.
В КАВ персонал, вроде модуль IDS есть. Уточнить у коллег здесь стоит, оказывает ли он какое влияние или нет.

Что-то стянул, а количество детектируемых вирусов (110741) и номер движка не поменялись. Вот лог и bat.

Какое количество вирусов у Вас ? Как быть с ключем ?